Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion de Riesgos - Equipo 29
Gestion de Riesgos - Equipo 29
ACTIVIDAD 2
PROFESOR DE LA ASIGNATURA
PRESENTAN:
21 de junio de 2022
© Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Índice
1. Introducción.....................................................................................................................1
1.1. Presentación del trabajo...............................................................................................1
1.2. Justificación...................................................................................................................2
1.3. Objetivo general............................................................................................................4
1.4. Objetivos específicos.....................................................................................................4
1.5. Metodología..................................................................................................................5
2. Marco teórico...................................................................................................................5
2.1. Proceso de planeación del SGSI.....................................................................................5
2.2. Contexto de la situación actual de la organización........................................................7
3. Ejecución del Proyecto......................................................................................................8
3.1. Caracterización de los activos........................................................................................8
3.2. MAR. 2 Identificar la problemática..............................................................................10
3.3. MAR. 3 Propuesta de solución que permitan controlar los riesgos.............................11
3.4. MAR.4.: Estimación del impacto..................................................................................12
4. Políticas del SGSI.............................................................................................................12
4.1. Políticas para el tratamiento y protección de datos personales..................................12
4.2. Políticas de control de acceso.....................................................................................13
5. Conclusiones...................................................................................................................13
6. Referencias.....................................................................................................................14
Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
1. Introducción
1.1. Presentación del trabajo
Vivimos en una era de interconexión, en el que aproximadamente el 60% de la
población se encuentra conectada a internet y es raro ver a personal que no tengan
por lo menos un Smartphone o internet en su hogar, tanto es así que se ha creado una
tendencia llamada IoT (el internet de las cosas), pue bien el internet de las cosas es
una red de interconexión digital entre dispositivos, personas y el mismo internet el
cual permite un intercambio de datos entre ellos, permitiendo así que se pueda
capturar información claves sobre el uso, rendimiento de los dispositivos, objetos para
detectar patrones, mejorar la eficiencia y así crear mejores experiencias para los
usuarios, los dispositivos IoT se conectan en un proceso llamado maquina a máquina
(M2M) en el que dos dispositivos o maquinas se comunican entre sí utilizando
cualquier tipo de conectividad, puede ser (cable, wifi, bluetooth, etc), haciendo el
trabajo sin la necesidad de que algún humano intervenga. Estos dispositivos
conectados entre sí generan una gran cantidad de datos que llegan a una plataforma
IoT, que recolecta, procesa y analiza dichos datos.
Un ejemplo de dispositivos IoT, es el altavoz inteligente de Amazon de Alexa, el cual se
encuentra conectado a la red de redes para obtener información e interactúa con
otros dispositivos para darnos la capacidad de controlarlos a través de simples
comandos de voz.
Podemos decir que el internet de las cosas no almacena datos y datos de conocimiento
humano, más bien almacena el comportamiento humano y la forma en la que
interactuamos con el día a día, esto es algo que para muchos nos resulta incómodo ya
© Universidad Internacional de La Rioja (UNIR)
que podemos decir que tenemos una gran cantidad de ojos y oídos escuchándonos los
cuales están recopilando datos de nosotros, muchas maquinas que están aprendiendo
nuestras rutinas los cuales tendrían que hacer nuestra vida más fácil.
1
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Dicho lo anterior se identificarán y gestionarán los riesgos a los cuales están expuestos
los activos de información, para preservar su confidencialidad e integridad de Rinku
Research Group una Startup (organización) de tecnología dedicada al monitoreo
médico a distancia. Se basa en una arquitectura enmarcada en el Internet de las Cosas
(IoT) [1], la organización conecta diferentes dispositivos médicos con tecnología
Bluetooth (báscula, oxímetro de pulso, termómetro, glucómetro) a una plataforma IoT
en la nube (servidor remoto) que permite almacenar, procesar y visualizar desde
cualquier dispositivo inteligente la información enviada por los dispositivos médicos.
La conexión entre los dispositivos y la plataforma IoT se realiza mediante un Gateway
IoT (llamado Gateway Rinku) desarrollado por la propia organización que captura la
información Bluetooth y la convierte en paquetes de datos que son enviados mediante
WiFi a la plataforma IoT, utilizando un proceso sistemático para lograr un tratamiento
adecuado de los riesgos e implementar controles efectivos.
1.2. Justificación
De los riesgos que pueden llegar a presentarse en la ejecución de la arquitectura Rinku
(Figura 1), el de mayor importancia es la pérdida o mal uso de los datos sensibles de
los pacientes [2], ya que el paciente puede quedar expuesto y causarle algún daño
moral o físico.
Lo anterior puede derivar en controversias legales que afecten la economía y
credibilidad de la organización hasta el punto del cierre o bancarota.
Motivo por el cual la organización se ha preocupado por la seguridad de la información
siendo esta uno de los activos más importantes para la organización.
Los pacientes reciben un kit clínico (caja de cartón) que contiene los dispositivos
© Universidad Internacional de La Rioja (UNIR)
médicos junto con el Gateway IoT (Rinoceronte de cartón). EL Gateway IoT toma la
información de los dispositivos médicos y la manda a la nube (plataforma IoT)
mediante el enrutador casero. Una vez que se tiene la información en la plataforma
2
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
IoT, el médico puede tener acceso a la información de las variables fisiológicas del
paciente mediante cualquier dispositivo inteligente.
Una de las aplicaciones de la arquitectura Rinku en el monitoreo médico a distancia es
la toma de muestras de la oxigenación en sangre de pacientes con enfermedad
pulmonar obstructiva crónica (EPOC, por sus siglas en ingles). La plataforma IoT lleva
un registro de la fecha, hora y valor de la muestra recolectada. Ver (Figura 2).
3
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
4
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
2. Marco teórico
2.1. Proceso de planeación del SGSI
2.1.1. Fase 1. Obtener la aprobación para iniciar el proyecto
En esta fase se dará a conocer qué importancia tiene la implementación del SGSI
teniendo como fin que la alta dirección apruebe y se comprometa para poder iniciar la
implementación del SGSI.
2.1.2. Fase 2. Definir el alcance y la política del SGSI
Alcance del SGSI: En esta fase tendremos en cuenta los problemas internos y externos
© Universidad Internacional de La Rioja (UNIR)
de la organización, así como los requisitos y expectativas de las partes interesadas
relacionando las actividades esenciales y deben ser aquellas que permitan cumplir con
los objetivos.
5
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Política del SGSI: Mediante la política la organización revelará como como hará para
realizar la protección de sus activos de información para la implantación y el soporte
del SGSI.
2.1.3. Fase 3. Análisis de requerimientos del SGSI
En esta fase buscamos analizar y definir cuáles van a ser los requerimientos
considerando los activos de la información la formas las que se procesara, y gestionara
la información requerimientos legales y obligaciones, así como identificar los activos
de información para determinar el nivel de protección que deseemos, las
vulnerabilidades y el estado actual de nuestro SGSI.
2.1.4. Fase 4. Valoración del riesgo y planeación para el tratamiento
Para identificar el riesgo se determinará todo lo que pueda causar pérdidas en la
organización para lo cual identificaremos los activos relevantes, las amenazas que
atentan contra nuestros activos, así como las vulnerabilidades en la organización y las
consecuencias de que estas amenazas se materialicen.
Tomando en cuenta lo anterior sobre el análisis de riesgos tomaremos en cuenta la
ilustración del ejemplo. Figura 3.
Figura
3.
6
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Factores
Externos
Factores
Internos
7
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
8
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Perdidas
económicas
© Universidad Internacional por (UNIR)
de La Rioja
la Mínimo (1) Medio (3) Grave (5) Muy grave (7)
indisponibilidad
de los activos
9
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Valoración Valor
Mínimo 1
Medio 3
Grave 5
Muy grave 7
10
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Puesto que ésta última representa la mayor de las amenazas se elaborará al respecto
en lo puntos subsecuentes.
3.3. MAR. 3 Propuesta de solución que permitan controlar los
riesgos.
El conocimiento sobre los riesgos es el primer paso para su solución. En este caso, el
primer paso, será la delimitación clara y explícita de los roles y responsables del
manejo de la información sensible del paciente. Igualmente, es necesario establecer
los mecanismos de control pertinentes que habiliten a cada usuario exclusivamente
para desempeñar su rol, las herramientas para ese fin incluyen, políticas, permisos,
© Universidad Internacional de La Rioja (UNIR)
etc.
Adicionalmente, se propone que el almacenamiento de la información incluya
estrategias de protección como puede ser la disociación de los datos recolectados de
11
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
12
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
5. Conclusiones
Es importante reconocer que en la organización hay riesgos internos y externos que
mal gestionados pueden derivar en pérdida de dinero, fuga de información, problemas
legales y hasta el cierre de la organización.
Existen diferentes frameworks (marcos de referencia), que ayudan a tener conciencia
de las ventajas de implementar estrategias para una gestión del riesgo adecuada,
como la familia de normas ISO31000.
De acuerdo con la norma ISO31000 el riesgo es la incertidumbre sobre los objetivos de
una organización. Aplicar una metodología como MARGERIT V3 para analizar y
gestionar los riesgos ayuda a la organización a decidir qué objetivo se encuentra en
mayor riesgo de no lo lograrse.
© Universidad Internacional de La Rioja (UNIR)
En Startups donde el recurso económico es limitado, es muy útil poder identificar y
gestionar el riego que derive en el cierre de la organización, como es el caso que se
presenta en este documento, donde se identificaron múltiples riesgos de los cuales
sólo uno tiene el impacto para cerrar la organización.
13
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
14
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
6. Referencias
[1] Rodríguez F. (21 de junio del 2022). Página oficial de Rinku research group:
https://demuxdigital.wixsite.com/rinkuiomt
[2] Ley federal de protección de datos personales en posesión de los particulares. Art.
3, sección VI, 5 de julio del 2010. Página oficial :
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
[3] Ejemplo de clase. “Gestión del riesgo de SI con base en la norma ISO IEC 27005
adaptando la metodología MARGERIT V3.
[4] Digital Ocean. (21 de junio del 2022). Página oficial de DigitalOcean
https://www.digitalocean.com/
15
Actividades
Asignatura Datos del alumno Fecha
Análisis de Riesgos Apellidos: Equipo 29
21/06/2022
Informáticos Nombre: Equipo 29
Ninguna o una
Tareas o entregas a realizadas Dos tareas Tres tareas
tarea
16
Actividades