Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Proyecto Final
22 Mayo de 2023
Plan de Gestión y Control de Riesgos para la Empresa Ficticia "CybeLegal"
I. Introducción
La seguridad de la información se ha convertido en una preocupación fundamental para
las organizaciones en la era digital. Con el aumento constante de las amenazas cibernéticas,
es esencial que las empresas adopten un enfoque proactivo y estratégico para gestionar y
controlar los riesgos asociados con la seguridad de sus activos de información. En este
contexto, se presenta el siguiente plan de gestión y control de riesgos para la empresa ficticia
"CyberLegal".
• Sistemas
• Redes
• Datos
• Recursos humanos
También se considerarán las amenazas internas y externas que podrían afectar a la
organización.
C. Descripción de la empresa ficticia "CyberLegal"
"CyberLegal" es una empresa líder en el sector de la ciberseguridad que brinda servicios
de consultoría y soluciones de seguridad a sus clientes. La empresa cuenta con una
infraestructura tecnológica crítica, que incluye servidores, bases de datos y sistemas de
comunicación.
Activos Físicos:
Equipos de Dispositivos Dispositivos de Equipos de Infraestructura
Cómputo: de Red: almacenamiento: seguridad física:
física:
Activos Digitales:
Datos y bases Aplicaciones y Sitios web y Derechos de Credenciales
de datos: software dominios: propiedad de usuario:
intelectual:
Archivos de Software de
audio y video seguridad
Correos
electrónicos
• Integridad
• Confidencialidad
• Disponibilidad
D. Priorización de riesgos
Los riesgos se clasificarán según su nivel de prioridad, utilizando una escala que tome en
cuenta la probabilidad e impacto. Esto permitirá establecer una lista de riesgos prioritarios
para su mitigación.
1
Riesgo: Brechas de seguridad en la red interna.
Mitigación: Implementar firewalls y sistemas de
detección de intrusos (IDS) para monitorear
y filtrar el tráfico de red. Además, se deben
aplicar políticas de seguridad robustas,
como contraseñas fuertes, autenticación
multifactor y restricciones de acceso
basadas en roles.
2
Riesgo: Fuga de información confidencial debido
a la pérdida o robo de dispositivos
móviles.
3
Riesgo: Ataques de phishing dirigidos a
empleados.
Mitigación: Realizar campañas de concientización y
capacitación en seguridad para educar a los
empleados sobre los riesgos de phishing y
cómo identificar correos electrónicos
maliciosos. Se debe fomentar el uso de
filtros de correo electrónico y sistemas de
protección antimalware.
• cifrado de datos,
• la autenticación multifactor,
• la segmentación de redes
• la implementación de parches
• Actualizaciones de seguridad.
B. Transferencia de riesgos
Cuando el caso lo amerite, se buscarán acuerdos de transferencia de riesgos, como la
contratación de pólizas de seguros de ciberseguridad para mitigar las pérdidas financieras
asociadas a posibles incidentes de seguridad.
C. Aceptación de riesgos
Esto podríamos aplicarlo para casos de baja probabilidad o impacto, se puede optar por
aceptarlos sin tomar medidas adicionales. Pero, aun así, es necesario realizar un seguimiento
continuo para garantizar que los riesgos sigan siendo aceptables a lo largo del tiempo.
D. Evitación de riesgos
Esto puede incluir la eliminación de determinadas tecnologías o prácticas que representen
un riesgo significativo para la organización.
• políticas de seguridad
• controles de acceso físico y lógico
• firewalls
• sistemas de detección de intrusiones
V. Implementación y Seguimiento
A. Responsabilidades y roles
Se designará a un equipo de seguridad encargado de coordinar y ejecutar las actividades
necesarias.
B. Calendario de implementación
Se establecerá un calendario detallado para la implementación de las estrategias,
auditorías y revisiones periódicas.
VI. Conclusiones
La implementación de este plan no solo permitirá a "CyberLegal" proteger su
infraestructura tecnológica, sino también tomar decisiones informadas sobre la asignación de
recursos, implementar controles de seguridad adecuados y establecer una cultura de
seguridad en toda la organización. Al adoptar un enfoque proactivo de gestión de riesgos,
"CyberLegal" estará mejor preparada para enfrentar los desafíos actuales y futuros de la
ciberseguridad y mantener su posición como líder en el mercado.
Así mismo permitirá la implementación de un ambiente y cultura preventiva respecto
a la ciberseguridad y una conciencia sobre la importancia de la implementación de un plan
integral que permita una mayor seguridad de la información y sus estructuras para el bien de
la empresa, sus empleados y los clientes en general.