Actividad Evaluativa Eje 2

Análisis de riesgos informáticos Grupo 202260-6A - 063

Profesor:

Luis Francisco Lopez Urrea

Estudiantes:

Angie Meliza Landazabal Gallego

Maria Natalia Niño Hernandez

Jully Paola Vela Chinchilla

Fundación Universitaria del Área Andina

Facultad de Ingeniería

Ingeniería De Sistemas

Bogotá

2022

Introducción
En la actualidad uno de los bienes más preciados para una organización es la información,
por lo que el análisis y la gestión de riesgos juegan hoy en día un papel muy importante para
las organizaciones, por lo que es importante estar a la vanguardia de las nuevas amenazas ya
que pueden tener un impacto significativo en los sistemas de información por lo que es
importante tener controles disponibles y aplicaciones que permitan evitar, solventar y
prevenir estas amenazas. Dicho esto el presente documento tiene como finalidad el desarrollo
de una wiki en donde presentaremos un análisis donde mostraremos la importancia de
implementar en una organización la norma ISO27000 2013, también nos guiaremos por la
NIST 800-30.
 Objetivos Generales.

1. Conocer los diferentes riesgos a los que están expuestos las organizaciones.

2. Aprender a analizar los riesgos informáticos que pueden presentarse en una

organización.

3. Aprender a remediar y prevenir los riesgos informáticos.

4. Analizar los diferentes conceptos que se presentan en la gestión y análisis del riesgo.
 MÉTODO 800-30

Este método nos brinda orientar estrategias que permitan ejecutar análisis para que se
prevenga y se pueda controlar los riesgos asociados a la información. A continuación vamos
a ver algunos objetivos para asegurar la información apropiada a su nivel:

● Seguro de los sistemas de información que se encargará de almacenar, procesar y

transmitir la información
● Gestionar los riesgos
● Mejorar la administración de riesgos a partir de un resultado de los análisis
● Ser una función esencial de la administración

De esta manera se aborda la situación de ataque de forma que se pueda evaluar estos
riesgos, responder a los propios riesgos y poder monitorearlos

También es necesario hacer evaluaciones de riesgos relacionados con la seguridad de

la información, cuáles son los pasos para evaluar estos riesgos:

● Preparación de la evaluación
● La realización de la evaluación
● Comunicar los resultados de la evaluación
 Tendremos una fase de riesgos donde se pondrán gestionar los cuales son :

1. Vamos a priorizar las acciones : A partir de los diferentes niveles de riesgos se

procederá a realizar un ranking de acciones

2, Evaluación de operaciones de control recomendados: Vamos a analizar su viabilidad y

eficacia además de la adecuación a nuestro modo de trabajo para determinar si realmente
pueden enfrentar estos riesgos

3. Análisis de coste-beneficio: Conocer que impacto supondría la implantación o no de los

controles sugeridos

4. Seleccionar los controles que nos ayudarán a eliminar los riesgos: Para evitar instrucciones
en la red tenemos que contemplar que controles utilizar

PROCESOS DE RIESGOS :

1. Vamos a identificar las amenazas: Donde se definirán fuentes de motivación,

revisaremos el historial de ataques, datos de agencia de inteligencia medios de
comunicación
2. Identificamos las vulnerabilidades: Se desarrollara una lista de defectos o debilidades
para conocer las ilusiones de una amenaza
3. Análisis de controles: El control de número de personas que tienen acceso a los
equipos y el registro de información confidencial
4. Análisis de impacto: Se evaluará el riesgo real en el sistema de información, se
proporcionará qué controles se mitigará el riesgo identificado
 Norma ISO 27000 2013

Esta es una norma internacional que se encarga de la gestión y control de los riesgos de
seguridad a los que las organizaciones se encuentran expuestos, una vez una empresa cumple
con los controles y requisitos indicados por la norma pueden recibir la certificación que
garantiza que la organización ha realizado la gestión de análisis y ha realizado los respectivos
controles de seguridad para disminuir las amenazas a las que está expuesta una empresa. Esta
norma nos permite el aseguramiento, la confidencialidad y la disponibilidad de los datos y de
la información.

Para llevar a cabo un buen análisis y gestión de riesgos se deben tener presente diferentes
puntos como lo son la determinación de ocurrencia e impacto y los controles que se deben
adaptar en dado caso de que un riesgo se materialice.
Para iniciar debemos tener presente, que para comenzar con los análisis de riesgos se deben
identificar y evaluar los activos, posibles vulnerabilidades y amenazas que se puedan
presentar.
En el análisis se debe determinar si se requiere o se va a implementar una evaluación
cualitativa o cuantitativa, ya que con esta se podrá realizar la escala de medición y los niveles
aceptables de un riesgo, junto a esta se deberán establecer las reglas con las cuales se
gestionará el riego, una vez ya se hayan definido, se deberá realizar una lista de activos donde
se podrán señalar las diferentes amenazas, vulnerabilidades, impacto, y probabilidades de
ocurrencia, esto con el fin calcular el nivel del riego.
Ya en este momento se deben tener presentes que hay unos riesgos con los cuales se deben
manejar de manera más profunda y rápida bien sea para disminuirlos o tratarlos.
Siguiendo a Alexander (2013), podemos visualizar una metodología para analizar un riego
según la norma en mención:
● Lo primero que nos indican es que se debe realizar una identificación y valores de
activos, teniendo en cuenta que no son solo los materiales, sino todos aquellos que
tengan un valor en una organización, ejemplo el activo humano.
● Segundo, se deben establecer condiciones de seguridad, es decir, se deben definir
objetivos y necesidades con los cuales se va a ejecutar, adicionalmente se deben
implementar las condiciones que el sistema debe satisfacer, por último se deben
generar registros todas las amenazas, vulnerabilidades e impacto que se puedan
generar y materializar.
● Tercero, se debe realizar una evaluación de las vulnerabilidades y posibles amenazas
que se generaron en el punto anterior.
● Cuarto, en este punto se generan los controles que se deben implementar bien sea para
mitigar o reducir el riesgo a niveles aceptables.
● Quinto, se deben elegir las normas con las cuales se van a tratar los riesgos.
● Sexto, en este último punto, se calculan los riesgos de la amenaza ya materializada.

Teniendo en cuenta lo anterior, podemos visualizar los puntos clave que se deben tener
presente para el diseño de un SGSI, a través de la norma ISO. (adjunto)
 CONCLUSIONES

● En este trabajo pudimos concluir que la seguridad es un trabajo importante para todas
las empresas por lo cual es necesario implantar estas metodologías donde se pueda
evitar este tipo de riesgos y poderlos identificar para poderlos mitigar para que la
organización nunca esté expuesta a un ciberataque, la metodología sp800-30 hace la
especificación de estos 3 niveles de riesgo para que puedan tener un buen
funcionamiento dentro de la organización.
● Finalizando la actividad nos dimos cuenta que el riesgo es inherente, siempre estará
allí, que se pueden optar por tomar y aplicar metodologías para mitigarlos o
reducirlos, en la metodología ISO como en todas las que se conocen es importante
identificar el valor de los activos, ya que por estos es que se toman las medidas
necesarias para protegerlos.
● Es importante establecer una metodología ya que a través de ellas se podrán visualizar
las debilidades y fortalezas con las que cuenta una organización por cada uno de los
activos que esta misma tenga incluido en ella, adicionalmente se logrará tomar las
respectivas protecciones para evitar que un riesgo sobre un activo se materialice.
 ● Bibliografía

● https://www.mintic.gov.co/gestionti/615/articles-
5482_G8_Controles_Seguridad.pdf

● https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

● https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-https://
hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/
1435/1874800-30-para-el-analisis-de-riesgos-en-sgsi/

● https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/Spanish
%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

● Referente #2 Análisis de riesgos ¿Qué relación existe entre los elementos de

sistema de información, su vulnerabilidad y las fortalezas de exposición?

● https://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/
view/1435/1874