Nombre: Marcelo Arias Materia: Gestión de la Seguridad Informática

Fecha: 2023-05-30 NRC: 10067

1.- Defina que es riesgo en seguridad de la información.

Al riesgo se lo puede definir como la probabilidad de que ocurra un incidente el cual va a generar
un impacto negativo hacia un sistema.

2.- Explique los elementos del riesgo.

Incertidumbre o Indeterminación: es una situación en la cual se desconoce o no se tiene

información certera para lograr determinar si un evento puede ocurrir o no. Mientras más
complicada sea la situación a analizar, mayor podrá ser la incertidumbre.

Pérdida: es un evento posterior a un incidente el cual dejó un resultado negativo dejando

indispuestos uno o varios recursos.

3.- En qué consiste el riesgo inherente y cómo le aplicamos en el análisis de riesgo en seguridad
informática.

Este tipo de riesgo es aquel en el cual no se le ha dado ningun tipo de tratamiento el cual
permitirá reducir su probabilidad de ocurrencia y el impacto que podrá causar en dado caso que
ocurra.

En un hipotético caso de que un activo sea importante y aún no se le haya aplicado ciertas
medidas de seguridad, entregará resultados con alta probabilidad de ocurrencia y gran impacto.
A este activo se le deberá prestar mucha atención si se obtienen los resultados anteriormente
mencionados.

4.- Explique en no menos de 300 palabras en que consiste el análisis del riesgo cuantitativo.

Se puede definir que este tipo de análisis evalúa el efecto de combinado de los riesgos sobre los
resultados de un proyecto, cuyos resultados se basan en datos y estadísticas de acuerdo al
contexto en que se lo requiera aplicar. Se obtienen conclusiones acerca del efecto que el riesgo
va a tener sobre un proyecto. No se puede establecer juicios de valor sobre los riesgos, para
cuantificar el efecto de un riesgo se debe aplicar modelos matemáticos. A diferencia de un
análisis cualitativo, el análisis cuantitativo debe ser realizado por personal calificado ya que
deben tomar en cuenta múltiples parámetros que se deben evaluar.

El análisis de riesgo cuantitativo se centra en evaluar numéricamente la influencia de los riesgos

del proyecto en los elementos del mismo. Se realiza para comprender la probabilidad y el
impacto de los riesgos en los objetivos del proyecto. Por ejemplo, en un proyecto de
construcción, el análisis de riesgo cuantitativo nos ayuda a calcular el impacto de un retraso en
el proyecto, como la obtención tardía de un permiso que provoca un retraso de veinte días con
un costo de $80,000.
El análisis de riesgo cuantitativo es una herramienta objetiva que cuantifica los riesgos del
proyecto que generalmente se priorizan durante el análisis de riesgo cualitativo. Es difícil realizar
este análisis de riesgos para todos los riesgos del proyecto debido a limitaciones de tiempo. Por
lo tanto, a menudo se realiza para los riesgos que tienen mayor probabilidad e impacto. El
objetivo principal de realizar un análisis de riesgos es determinar las estrategias más adecuadas
para hacer frente a los riesgos tanto positivos como negativos.

Así mismo, este análisis apoya a la toma de decisiones. Teniendo en cuenta las decisiones
comerciales críticas, esta herramienta proporciona más datos e información que el análisis
cualitativo. Ayuda a los gerentes de proyectos y dueños de negocios a hacer mejores
estimaciones de costos y duración. Este es un punto importante porque, si las estimaciones no
son correctas, conducirán a decisiones equivocadas.

5.- Cómo podríamos aplicar el método Montecarlo a la seguridad informática?

Este método podría ser aplicado al momento de determinar el riesgo de fuga de información por
parte de los empleados de una organización, se podrían medir aspectos como la criticidad de
información que maneja, inicios de sesión fuera de la jornada laboral, entre otros. De esta forma
si se encuentra una tendencia que podría generar una sospecha se podría definir las respectivas
acciones que se pueden tomar.

6.- Realice un ejercicio de análisis cuantitativo orientado a la seguridad informática y

documéntelo apropiadamente.

Un ejemplo que podría aplicar para el desarrollo de un análisis de riesgos sería el de una empresa
encargada de vender productos por internet. En dicha empresa existen alrededor de 200
empleados, al ser la venta por internet se cuenta con una base de datos con alrededor de 20
millones de registros de datos personales de clientes y posibles clientes.

Para realizar el análisis, primero se identifican y priorizan los activos de la empresa, en este
ejemplo se toma a consideración los equipos de TI, los datos de los clientes, el almacén donde
están los productos y los empleados.

Luego de haber identificado los activos, se procede a definir las posibles amenazas y
vulnerabilidades de cada uno de ellos. Las amenazas pueden ser robo de información o de los
equipos informáticos, un desastre natural como terremotos, incendios o inundaciones que
destruyan todos los artículos almacenados en el almacén y en el caso de los empleados estos
pueden entregar información confidencial de forma no intencional.

Luego como siguiente paso se debería analizar los controles que se están implementando en la
organización, si cuenta con sistemas de detección de intrusos, un seguro que cubra los productos
y equipos en caso de un desastre natural, si se realizan copias de seguridad de la información
entre otros. Consecuentemente se procede a intentar determinar la probabilidad de que un
incidente ocurra, se las clasifica dentro de las siguientes clases: alta, media o baja, aquí se debe
tomar en cuenta el tipo de vulnerabilidad, la motivación de la fuente de la amenaza y si hay
existencia de controles. Finalmente se debe considerar cual podría ser el impacto que podría
tener el incidente en el activo y recomendaralgunos controles para mitigar el riesgo identificado.