El Análisis de Riesgo de un Sistema de Información Organizacional expuesto

hacia la Internet

Resumen

El análisis de riesgos debe ser continuo, porque la relevancia de los riesgos y peligros
identificados debe evaluarse periódicamente; es fundamental porque determina el impacto futuro
en la estructura de riesgos de la organización. Los sistemas de información son una herramienta
en el campo de la organización, son importantes para el desarrollo de actividades y la toma de
decisiones gerenciales. El objetivo es describir la calidad de los sistemas de información
accesibles en Internet. Por lo tanto, en las organizaciones públicas y privadas de cualquier
tamaño, la información es el activo más importante e impactado, y toda organización debe estar
atenta a ella e implementar sistemas de seguridad basados en el análisis de riesgos para evitar o
mitigar las consecuencias. no bien recibido. Además, existe un estándar internacional, ISO
27005:2008, que establece estándares para la gestión de riesgos de seguridad de la información y
proporciona un marco estandarizado para guiar a cada organización en la definición de su
enfoque. Este estándar es compatible con ISO 27001: 2005 y proporciona un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un determinado sistema
de gestión de seguridad de la información.

Palabras clave: Análisis de riesgos, internet, sistemas de información, vulnerabilidades,

tratamiento.

Abstract

The risk analysis must be continuous, because the relevance of the identified risks and dangers
must be evaluated periodically; it is essential because it determines the future impact on the
organization's risk structure. Information systems are a tool in the field of organization, they are
important for the development of activities and managerial decision making. The objective is to
describe the quality of information systems accessible on the Internet. Therefore, in public and
private organizations of any size, information is the most important and impacted asset, and
every organization must be aware of it and implement security systems based on risk analysis to
avoid or mitigate the consequences. not well received. In addition, there is an international
standard, ISO 27005:2008, which sets standards for information security risk management and
provides a standardized framework to guide each organization in defining its approach. This
standard is compatible with ISO 27001: 2005 and provides a model for establishing,
implementing, operating, monitoring, reviewing, maintaining and improving a given information
security management system.

Keywords: Risk analysis, internet, information systems, vulnerabilities, treatment.

Introducción

Los sistemas de información dentro de las organizaciones no son nuevos. Incluso antes de
que las computadoras se usaran para la automatización, las organizaciones recopilaban,
almacenaban y actualizaban manualmente la información sobre sus actividades. Los sistemas de
información, pasados y presentes, incluyen estándares establecidos para procesar, almacenar y
distribuir información a los miembros de una organización, especialmente como herramientas, y
cada tarea requiere información diferente. Por lo tanto, proporciona información relacionada con
temas de protección de la información en la toma de decisiones y actividades de gestión, y en
particular, proporciona información en el campo del análisis de riesgo de los sistemas de gestión
de la seguridad de la información operados por diversas organizaciones para proteger los activos.
Con la llegada de sistemas como la información e Internet, las organizaciones están prestando
cada vez más atención a los riesgos inherentes a la naturaleza del propio sistema de información
y la pérdida económica debido a la mala calidad del desarrollo. En este sentido, la gestión de
control y riesgos de sistemas de información juega un papel clave en la protección de los riesgos
relacionados con información y brinda a las organizaciones la capacidad de: Minimizar sus
pérdidas. Las organizaciones hoy en día cuentan con la tecnología y sofisticación para
administrar su información a través de Internet y pueden verse seriamente amenazadas por
diversas limitaciones que explotan la vulnerabilidad, confidencialidad, integridad, disponibilidad
y no repudio de la información dentro de la empresa. Además de ser cautos, es importante saber
que el análisis de riesgos es parte integral del desarrollo y operación de un sistema de gestión de
seguridad de la información, ya que es en esta etapa que la organización debe establecer. Este es
un "modelo de seguridad". Cuando se trata de la seguridad de la información publicada en
Internet, es importante considerar el análisis de riesgos en el corazón de cualquier organización.
Por ello, a modo de aporte, se presentan los planteamientos de diferentes autores sobre esta
problemática. Incluye la definición, finalidad, beneficios, limitaciones y tratamiento del análisis
de riesgos.

La metodología de los sistemas de información

En los últimos años, se ha involucrado en la investigación de sistemas de información a

través de un proceso de investigación acción en organizaciones para apoyar la disciplina desde
una perspectiva organizacional (Checkland & Poulter, 2006). La mayoría de estas perspectivas
muestran que el desarrollo de los sistemas de información se ha acelerado en los últimos años y
que acompañan el cambio organizacional desde el punto de vista de la funcionalidad, flexibilidad
y usabilidad de la información. Sin embargo, los sistemas de información no son inmunes a
errores y/o cambios en el entorno operativo en el que prestan servicios, más si estos están
expuestos hacia la internet como en la actualidad, por lo que es necesario realizar periódicamente
estudios de evaluación de riesgos a los que están expuestos, con el fin de generar medidas de
control que reduzcan los costos asociados con la pérdida de información y recursos. Cabe
recalcar que básicamente, si nos adentramos en la definición o concepto de sistemas de
información, podemos encontrar un patrón común, caracterizado por un conjunto de procesos,
operaciones de bases de datos. En este sentido, los sistemas de información funcionan
convirtiendo los datos en instrucciones. Es por eso que necesita identificarlos y mantenerlos
donde las estimaciones sean útiles.

Objetivos del análisis de riesgo

Identificar, evaluar y administrar los riesgos de seguridad asociados con el uso de Internet;
necesidad de estimar la exposición de los recursos a amenazas específicas, determinar una
combinación de medidas de seguridad que proporcione un nivel aceptable de seguridad a un
costo aceptable de Información y protección que tome mejores decisiones de seguridad para los
bienes de información.

Beneficios del análisis de riesgo

Realizar un análisis de riesgos en una organización ofrece muchas ventajas que se reflejan
en la misma relación costo-beneficio. Éstos varían de una organización a otra y siguen políticas
individuales, pero generalmente se resumen como:
 • Garantizar la continuidad del negocio

• Saber cómo administrar las amenazas y los riesgos clave

• Mantener la protección y la mitigación de riesgos

• Certeza económica/financiera

• Demostrar una mejora continua en la seguridad de la información

• Permitir que la seguridad se convierta en un aspecto organizacional

• Interpretación del análisis costo-beneficio resultante

• Decisión de aceptar o rechazar las recomendaciones de tratamiento

Limitantes del análisis de riesgo

El proceso de análisis de riesgos tiene muchas limitaciones, tales como: complejidad de

aumentar el conocimiento del objetivo, facilidad de aplicación de análisis en el sitio, baja
penetración, bajo conocimiento, variedad de métodos de análisis, inversión de tiempo y recursos
en actividades, las soluciones a los problemas de seguridad no están disponibles de inmediato. La
vulnerabilidad en sí es una situación resultante de la falta de controles que permitan que se
produzca una amenaza, mientras que el riesgo es la posibilidad de que una amenaza se
materialice y afecte a una organización. Para su determinación se deben considerar los siguientes
puntos: El tipo de consecuencia, las posibles causas de la situación de riesgo y la probabilidad de
ocurrencia de la situación.

Las empresas de hoy enfrentan muchas vulnerabilidades y amenazas cibernéticas. Por ello,
las inversiones en sistemas de seguridad y ciberprotección se han incrementado
significativamente en los últimos años. Además, las principales amenazas y vulnerabilidades que
enfrentan las organizaciones hoy en día son:

• Amenazas maliciosas (virus, troyanos, keyloggers)

• Errores de acceso a directorios

• Vulnerabilidades generadas por contraseña

• Vulnerabilidades generadas por usuarios

Tratamiento del riesgo

Una de las acciones más representativas es diseñar una estrategia para manejar y mitigar
los riesgos enfrentados. Esta acción implica seleccionar estrategias de mitigación que mejoren la
seguridad de la empresa al reducir el riesgo en factores como la Internet.

Los planes se desarrollan y establecen para permitir la implementación ordenada de las

decisiones tomadas y planificadas para abordar los riesgos. Para desarrollar adecuadamente un
plan de tratamiento de riesgos, se recomiendan los siguientes puntos:

• Priorizar los riesgos.

• Definir posibles opciones de tratamiento.

• Seleccione una opción apropiada.

• Explicar los resultados del análisis de costo-beneficio y decidir si aceptar o rechazar la

opción de tratamiento.

• Designar a una persona responsable de implementar la opción.

• Desarrollar un plan de implementación.

• Determinar cómo gestionar los riesgos y las opciones de tratamiento.

Conclusiones

Dado que las innovaciones tecnológicas son cada vez más el tema de las empresas que
impactan en Internet, ahora es esencial ser consciente de que existen riesgos para los activos y
que se pueden medir para mantener un nivel aceptable de seguridad para la empresa. comience
con las cosas más simples, consuma menos recursos, pero tome muchos riesgos; Dado que
algunas empresas invierten mucho en seguridad perimetral, no se puede robar información del
exterior sin considerar la protección interna.

La complejidad de las vulnerabilidades que enfrenta Internet debe abordarse

metódicamente cubriendo lo más posible lo que se supone que debe cubrirse y siendo capaz de
explicar a las distintas entidades involucradas lo que necesitan y esperan como actores del
proceso de gestión de riesgos.
 Es por esto que cada organización debe estar atenta y saber construir sistemas de
seguridad basados en análisis de riesgo para identificar amenazas a los activos, estimar la
frecuencia de estas amenazas y evaluar su impacto en los activos. Organizar la ejecución de las
amenazas antes mencionadas para minimizar el riesgo; por otro lado, el análisis de riesgos es un
proceso analítico que involucra una gran cantidad de variables, por lo que un solo método no se
aplica a todas las organizaciones,

En este sentido, los sistemas de información evolucionan de acuerdo a los resultados que
obtienen y se desarrollan de manera óptima cuando: cruces de información, procesos duales o
cuando se han establecido flujos formales de información para entender los problemas de la
empresa, evitando el camino directo.

Referencias

Guerrero Julio, M. L., & Gómez Flórez, L. C. (2012). Gestión de riesgos y controles en
sistemas de información: del aprendizaje a la transformación organizacional. Estudios
gerenciales, 28(125), 87-95.

[5] ISO/IEC 27001:2005. Information technology - Security techniques - Information

security management systems - Requirements.

Checkland, P. (2000a). Soft systems methodology: a thirty year retrospective. Lancashire:

Wiley.

Gómez, L., & Olave, Y. (2007). Una reflexión sistémica sobre los fundamentos
conceptuales para sistemas de información. Revista Colombiana de Computación, 8, 71-92.

Stonebumer, G. (2002). Risk management guide for information technology systems.

Recommendations of the National Institute of Standards and Technology. NIST. Special
Publication 800-30, Estados Unidos. Disponible en:
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf.