Wiki

Análisis riesgos informáticos

Estudiantes

Harold Niray Vargas Arévalo

Walther Alexander Martínez Ramírez

Docente

Luis Francisco López Urrea

Facultad de Ingenierías y Ciencias Básicas.

Fundación Universitaria del Área Andina

Eje 2 - 05 de septiembre de 2022.

Contenido

Objetivo

Establecer relaciones entre los diferentes elementos que se deben tener en cuenta para
hacer la evaluación de riesgos en un sistema informático.
Introducción

Hoy en día encontramos que entre los bienes más preciados para una organización está la
información que se encuentra almacenada de manera digital, la cual es de vital importancia
garantizar su buen estado, es por ello que riesgo informático es absoluto para todas las
organizaciones, ya que esta es la vulnerabilidad o amenazas, a que ocurra algún tipo de
evento cuyos efectos sean negativos y que alguien o algo puedan verse afectados por él y la
responsabilidad de este recae en el personal encargado de la seguridad informática dentro
de la organización. Dicho esto el presente documento tiene como objetivo el desarrollo de
una WIKI, con el objetivo de presentar un análisis que nos permita reflejar la importancia de
implementar dentro de una organización la norma técnica ISO 27001:2013, la cual establece
criterios y fija aspectos para garantizar la seguridad informática dentro de una organización,
a su vez encontramos la norma ISO 31000:2018, la cual establece principios y directrices de
carácter genérico respecto a la gestión del riesgo en cualquier tipo de organización, de igual
manera nos encontramos con el método 300:80.

Para comprender mejor qué es la materialización de un riesgo informático plantaremos la

siguiente pregunta ¿Qué pasaría por fuga de información se diera a conocer la receta de la
Colombiana?, su receta que ha sido resguardada por mucho tiempo pasando de generación
en generación sería el fin de la popular marca ya que todos tendrían acceso a ella lo mismo
pasa con la información que una compañía pueda resguardar en sus instalaciones. ¿Pero
cómo defendernos de una amenaza tan real?, ya sea por una exposición sencilla de los
empleados de la empresa que pueden compartir sus credenciales o ya sea por una catástrofe
natural para esto tenemos el SGSI (Sistemas de Gestión de Seguridad de la Información), la
cual nos brinda una visión sobre cómo definir nuestra política de prevención y cómo atacar
los riesgos y amenazas que podamos tener. Para soportar nuestro Sistema de Gestión de
Seguridad de la Información nos podemos avalar en la norma ISO 27001:2013 y en la
Metodología de Gestión de Riesgo NIST 800-30, que nos permitirá realizar analizar los
posibles riesgos que tenemos dentro de nuestras compañías o aquellos que a primera vista
parecen inofensivos pueden convertirse en un peligro latente.
Instrucciones de la actividad

Hacer la lectura integral del referente de pensamiento en clave del análisis y evaluación de
riesgos.

Visitar el sitio web de la NIST y consultar en detalle los recursos relacionados con el método
800-30.

Elabore un documento en Google Docs. compartido en el que el grupo desarrolle su

análisis.

Desarrollo de la actividad

Dadas las instrucciones con la finalidad de ampliar nuestros conocimientos elaborar

habilidades para el desarrollo de la actividad elaboramos un plan estratégico par lograr
cumplir las metas dadas en el eje efectuando un correcto análisis de las herramientas dadas
por parte de los integrantes de este grupo vamos a realizar la wiki por medio de la drive la
cual nos ayuda a estar alineados en la creación del documento a entregar realizando aportes
significativos al proyecto a ejecutar.

Dirección del enlace de la Wiki

https://sites.google.com/estudiantes.areandina.edu.co/norma-iso-27001/inicio

MÉTODO 800:30

El propósito principal de la norma NIST establece una metodología la cual se basa en un

proceso de 3 pasos: Evaluación del riesgo, mitigación del riesgo y análisis y evaluación.

Sin embargo la NIST 800-30 es el estándar desarrollado para la evaluación de riesgos de

seguridad de la información, especialmente para los sistemas de TI (Tecnología de la
información).

El objetivo del método 800:30 es el aseguramiento de los sistemas de información que

almacenan procesan y transmiten la información que almacenan procesan y transmiten
información Optimizando la administración de riesgos a partir del resultado en el análisis de
riesgos, protegiendo así las habilidades de la organización para alcanzar su misión (no
solamente relacionada a la IT, sino de toda la empresa).

Pasos en el proceso de evaluación de riesgos

Proveer una base para el desarrollo de la gestión del riesgo

Proveer información acerca de controles de seguridad en función de la rentabilidad del

negocio
El segundo componente de la gestión de riesgos se ocupa de cómo las organizaciones evalúan
el riesgo en el contexto del “marco de riesgo” de la organización. El objetivo del componente
de la evaluación de riesgos es identificar:
Las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o amenazas
dirigidos a través de organizaciones en contra de otras organizaciones o la Nación; las
vulnerabilidades internas y externas a las organizaciones;
El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las amenazas
explotando vulnerabilidades; y
La probabilidad de que el daño se produzca. El resultado final es una determinación del riesgo
(es decir, por lo general en función del grado de daño y la probabilidad de que se produzcan
daños).

Características

Proporciona una visión general sobre la gestión de riesgos, conceptualización de amenazas

y riesgos, explica cómo encaja dentro del ciclo de vida de desarrollo de un proyecto o
programa así como los roles de las personas que soportan y utilizan este proceso.

Describe la metodología de evaluación del riesgo y los 9 pasos primarios para dirigir una
evaluación de riesgos de un sistema de IT.

Describe el proceso de mitigación de riesgos, incluyendo estrategias de mitigación de

riesgos, enfoque a implementación y categorías de control, análisis coste-beneficios y
riesgos residuales.

Discute las buenas prácticas y la necesidad de evaluar la progresión de los riesgos, y los
factores que conducirán a un programa de gestión de riesgos exitoso.

Este procedimiento establece 9 pasos los cuales se estructuran de la siguiente forma:

1. Caracterización de los sistemas:

○ Se determina su criticidad con el fin de clasificar los potenciales riesgos que

se tengan dentro del sistema, las cuales pueden definirse mediante su análisis
de exposición en la red y fácil acceso al sistema.

2. Identificación de las amenazas:

○ Se valida el histórico de ataques en bases de datos de agencias de

inteligencia.
○ Datos en medios de comunicación.
○ Auditorías al sistema afectado.
○ Pruebas de seguridad al sistema.

3. Identificación de las vulnerabilidades:

 ○ Se realiza el análisis de los datos obtenidos en el paso anterior. Con el fin de
verificar cuáles fueron los puntos vulnerables que tenía el sistema.
4. Análisis de controles:
○ Se realiza validación de los controles que existían antes del ataque, con el fin
de evaluar y fabricar nuevos controles para la mitigación de las
vulnerabilidades identificadas.
5. Determinación de probabilidades:
○ Con la información recopilada en las anteriores fases, se identifican las
posibles motivaciones del ataque, con el fin de clasificar las probabilidades de
materialización de las amenazas y categorizarlas (Baja, media, alta). Para así
elevar los controles y asegurar los planes de contingencia.
6. Análisis de impacto:
○ En esta fase se identifica si el ataque o amenaza cumplió con su objetivo
(pérdida de integridad, disponibilidad y confidencialidad).
7. Determinación del riesgo:
○ Aquí se retoma la clasificación de las amenazas y las probabilidades del riesgo
(Baja, media y alta).
8. Recomendación de controles:
○ Se establecen los controles necesarios para evitar los posibles futuros ataques
y/o amenazas. Se sugieren revisiones a las políticas de seguridad, instalación
de firewalls o sanciones en caso de incumplimientos a las políticas
establecidas.
9. Documentación de resultados:
○ Se realiza un informe detallado donde muestra la valoración de riesgos y todo
lo recopilado dentro del procedimiento anteriormente realizado.
Conclusiones

● Podemos evidenciar cómo se logró establecer las relaciones que existen entre los
diferentes elementos que se deben tener en cuenta para hacer la evaluación de
riesgos en un sistema informático.
● Así mismo identificar qué herramientas nos ayudan a generar nuestro Sistema de
Gestión de Seguridad de la Información, así mismo somos conscientes que pese a
todas herramientas o métodos de prevención que se nos mencionan en la
metodología o en la norma siempre existirá un riesgo mínimo de acuerdo a la
implementación que se decida por la empresa.
● De igual forma debemos analizar qué tan grande puede ser nuestro nivel de
impacto y el periodo de medición que tendremos y con estos dos datos podemos
definir una escala de riesgo asignada a un valor numérico.
●
● Por último también debemos tener en cuenta la regulación y si se cuenta con
legislaciones vigentes, también tenemos que evaluar que tanto la implementación
del sistema de gestión afecta la operación de la operación.

Referencias

GoConqr. (2020). GoConqr - Metodología de Gestión de Riesgo NIST 800-30. [online]

https://www.goconqr.com/es/mindmap/3511863/metodolog-a-de-gesti-n-de- riesgo-nist-800-
30

Imágenes: Gonzalo Romero (2021) Análisis de Riesgos NIST 800-30

https://prezi.com/p/2atiepmxchdv/analisis-de-riesgos-nist-800-30/

ISOTools Excellence (2021) Seguridad de la información https://www.pmg-

ssi.com/2021/08/metodologia-nist-sp-800-30-para-el-analisis-de-riesgos-en-sgsi/

Renato (2019)Como crear una Wiki en Google Sites https://youtu.be/KWcrmSdic0E

ISO 27001 - Software ISO 27001 de Sistemas de Gestión. (n.d.). ISOTools. Retrieved

https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/