Entregable Previo 2 - Javier Mendoza (3)

Vista previa del material en texto

Índice. 
1. Gestión y control de riesgos ……………………………………………………………………………2
 1.1. Estrategias de control de riesgos …………………………………………………………………………….2
 1.1.1. Aceptar el riesgo ……………………………………………………………………………………………………………2
 1.1.2. Mitigar el riesgo …………………………………………………………………………………………………………….2
 1.1.3. Transferir el riesgo ………………………………………………………….................................................2
 1.1.4. Evitar el riesgo ……………………………………………………………………………………………………………….2
 1.2. Métodos alternativos para la gestión de riesgos ……………………………...........................3
 1.2.1. Metodología para la evaluación de vulnerabilidad, activos y amenazas operativas críticas / Operational critical threat, asset and vulnerability evaluation, OCTAVE………………………………………..3
 1.2.2. Método para la gestión de riesgos de Microsoft …………………………………………………………….3
 1.2.3. Otros métodos ………………………………………………………………………………………………………………4
 1.3. Estudios de viabilidad y análisis costo-beneficio ………………………………………………………7
 1.4. Presentación y defensa de decisiones para el control de riesgos ……………………………8
2. Estándares y regulación ………………………………………………………………...................8
 2.1. Certificaciones para los profesionales de la seguridad de información ……................8
 2.1.1. Consorcio internacional de certificación de seguridad de sistemas de información / International information systems security certification, ISC2 ……………………………………………………….8
 2.1.2. Asociación de auditoría y control de sistemas de información / Information systems audit and control association, ISACA ……………………………………………………………………………………………………..9
 2.1.3. Certificación global de aseguramiento de información / Global information assurance certification, GIAC ………………………………………………………………………………………………………………………..10
 2.1.4. Asociación de la industria de la tecnología de cómputo / Computing technology industry association, CompTIA …………………………………………………………………………………………………………………..10
 2.2. Tendencias en certificación y acreditación …………………………………………………………….11
3. Conclusiones…………………………………………………………………………………………………12
4. Referencias……………………………………………………………………………………………………13
1. Gestión y control de riesgos
1.1.	Estrategias de control de riesgos
La identificación y gestión de riesgos en las organizaciones es una parte muy importante de la que depende en gran medida el éxito de la organización, su permanencia en el mercado y hasta el bienestar de las partes involucradas en la gestión de esta, la gestión de riesgos tiene un espectro amplio de aplicación tanto en temas corporativos, de seguridad y salud, de medio ambiente, de seguridad de la información, entre otros. Existen diferentes metodologías para la gestión de riesgos, la organización puede definir su propia metodología, o adaptar alguna existente de acuerdo con las necesidades.
El primer paso para llevar a cabo un proceso de gestión del riesgo en una organización es definir la metodología que se va a seguir, con el objetivo de que todas las partes de la organización conozcan la metodología para que la gestión del riesgo se haga en todas las áreas, posteriormente se realizaría el análisis de los posibles problemas que podrían surgir en la organización, para realizar esta evaluación se debe contabilizar todos los activos que la misma posee, así como las amenazas y debilidades a las que se enfrenta, una vez realizado esto, podemos conocer el nivel de riesgo al que se enfrenta la organización.
 1.1.1. Aceptar el riesgo 
La opción de aceptar el riesgo se refiere para los casos específicos en lo que el coste de eliminar el riesgo es mayor que el daño que causará, o que simplemente no representan un riesgo considerable para la organización y se puede dejar pasar.
 1.1.2. Mitigar el riesgo 
Este tratamiento nos indique que se implementan controles de seguridad para disminuir el impacto del riesgo, aunque este riesgo siga presente.
 1.1.3. Transferir el riesgo 
La transferencia del riesgo significa que se delegara la responsabilidad a un tercero que se encargara de aplicar los controles necesarios para remediar el problema o hacerse cargo de las consecuencias de este.
 1.1.4. Evitar el riesgo
Este tratamiento se consigue deteniendo la actividad responsable del riesgo identificado o haciéndola de una forma diferente para evitar que el riesgo se presente nuevamente.
1.2.	Métodos alternativos para la gestión de riesgos
Existen diferentes métodos para la gestión de riesgos, a continuación, se muestra algunos de los más representativos;
 1.2.1. Metodología para la evaluación de vulnerabilidad, activos y amenazas operativas críticas / Operational critical threat, asset and vulnerability evaluation, OCTAVE
OCTAVE es una metodología de análisis de riesgos desarrollada por la Universidad Carnegie Mellon en el año 2001, y su acrónimo significa “Operationally Critical Threat, Asset and Vulnerability Evaluation “, estudia los riesgos en base a tres principios Confidencialidad, Integridad y Disponibilidad. Además, se desarrollan planes para mitigar los riesgos prioritarios y una estrategia de protección para la organización, cuenta con tres fases durante el proceso de desarrollo de la metodología:
1) La primera contempla la evaluación de la organización, se construyen los perfiles activo-amenaza, recogiendo los principales activos, así como las amenazas y requisitos como imperativos legales que puede afectar a los activos, las medidas de seguridad implantadas en los activos y las debilidades organizativas.
2) En la segunda se identifican las vulnerabilidades a nivel de infraestructura de TI.
3) En la última fase de desarrolla un plan y una estrategia de seguridad, siendo analizados los riesgos en esta fase en base al impacto que puede tener en la misión de la organización.
 1.2.2. Método para la gestión de riesgos de Microsoft 
La metodología para la gestión de riesgos de Microsoft (MSAT) está diseñada para ayudar a las organizaciones a evaluar los puntos débiles de su entorno de seguridad de TI, presenta un listado de cuestiones ordenadas por prioridad, así como orientación específica para minimizar esos riesgos, permite fortalecer la seguridad del entorno informático y del negocio de manera fácil y efectiva. Para comenzar es necesario tomar un análisis del estado actual de la seguridad y posteriormente se emplea esta metodología para monitorizar de forma constante la capacidad de su infraestructura para responder a las amenazas de seguridad.
La principal prioridad en esta metodología es la seguridad de las redes de los clientes, los servidores de las empresas, los usuarios finales, dispositivos móviles y los activos de datos. MSAT está diseñado para ayudar a identificar y abordar los riesgos de seguridad en el entorno de TI. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnología.
MSAT proporciona:
· Un conocimiento constante, completo y fácil de utilizar del nivel de seguridad,
· Un marco de defensa en profundidad con análisis comparativos del sector.
· Informes detallados y actuales comparando su plan inicial con los progresos obtenidos.
· Recomendaciones comprobadas y actividades prioritarias para mejorar la seguridad.
· Consejos estructurados de Microsoft y de la industria.
La evaluación está diseñada para identificar los posibles riesgos de negocio y las medidas de seguridad implementadas para mitigarlos, centrándose en problemas comunes, las recomendaciones sugeridas para la gestión de riesgos tienen en cuenta la tecnología existente, la presente situación de la seguridad y las estrategias de defensa en profundidad, las sugerencias están pensadas para ayudarle a reconocer las prácticas más recomendadas,. 
 1.2.3. Otros métodos
MEHARI
MEHARI es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías previas Melissa y Marion. La metodología ha evolucionado proporcionandouna guía de implantación de la seguridad en una entidad a lo largo del ciclo de vida, del mismo modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y confidencialidad. 
SP800-30
SP800-30 es un documento de la serie SP-800 dedicada a la seguridad de la información y desarrollada por el NIST (National Institute of Standards and Techonogy), el cual es una agencia del Departamento de Comercio de los Estados Unidos, la publicación de esta guía data julio de 2002.
ISO 310001
Tiene como finalidad, establecer lineamientos, directrices para la gestión de riesgos en esta se destacan las siguientes etapas para la gestión:
· Establecer el alcance: se refiere a que la organización debe definir la dimensión, los niveles o procesos en los que gestionará actividades para la gestión del riesgo.
· Definir el contexto: realizar el análisis de su entorno tanto interno como externo, para definir los factores que pueden ser origen de riesgos.
· Evaluar el riesgo: para ello se debe realizar inicialmente la identificación de este, posteriormente realizar un análisis mediante variables que definan el nivel del riesgo, y por último la valoración que implica comparar el resultado del riesgo en el análisis contra el resultado de la valoración para establecer panes de tratamiento.
· Plan de tratamiento: establecer actividades, responsables, metas y fechas de cumplimiento para dar respuesta a los riesgos encontrados.
· Seguimiento y revisión: monitoreo de los resultados y establecimiento de nuevos planes de tratamiento de ser necesario.
ISO 27005
Establece lineamientos para a gestión de riesgos relacionados con la seguridad de la información, establece cuatro pasos fundamentales para la implementación de esta:
· Establecer el contexto.
· Identificación de los riesgos relacionados con seguridad de la información.
· Análisis.
· Evaluación.
Al respecto también es importante tener en cuenta en el caso de los riesgos de seguridad de la información, establecer un inventario y calificación de activos de la información que se integran posteriormente a la gestión de los riesgos.
ISO 31022-2020
Establece una guía para las actividades que deben desarrollar las organizaciones para la gestión del riesgo legal a través de las siguientes etapas:
· Establecer el contexto 
· Evaluación del riesgo legal.
· Tratamiento del riesgo legal.
· Mecanismos de consulta y reportes acerca de la gestión del riesgo legal.
Project Management Institute 
Establece una metodología que permite maximizar la probabilidad yo el impacto de los riesgos positivos y minimizar la probabilidad o el impacto de los riesgos negativos, enfocados en el logro del éxito de los proyectos, establece los siguientes pasos:
· Planificación de la gestión de riesgos.
· Identificación de los riesgos.
· Realizar análisis cualitativo y cuantitativo de los riesgos.
· Establecer e implementar las respuestas ante los riesgos.
· Realizar seguimiento y monitoreo.
Existen metodologías que apoyan la medición, la cuantificación de los riesgos, entre la más conocidas encontramos:
· Método DELPHI:  consiste en una metodología en la que un panel de expertos realiza discusiones acerca de las causas técnicas, científicas y económicas de un evento, en este caso enfocados al análisis de riesgos para al final llegar a soluciones en común.
· Mapa de Riesgos: herramienta que se basa en la identificación de los procesos o actividades que pueden dar origen a los riesgos cuantificando la probabilidad e impacto en caso de que se materialice el riesgo y se puede aplicar en cualquier modelo de negocio.
· Magerit V3: metodología creada por Consejo Superior de Administración Electrónica de España, enfocada en la gestión de los riesgos relacionados con las tecnologías de la información y las comunicaciones, tomando en cuenta las dimensiones de disponibilidad, integridad y confidencialidad, establece un modelo que integra la gestión de riesgos con los pasos y lineamientos de la norma ISO 31000.
· Indicador Clave de riesgos: corresponde a indicadores que ayudan a conocer que tan posible es que se materialice un riesgo y el impacto que este generaría, para este tipo de indicadores es muy importante establecer los límites, es importante basarse en las mediciones históricas y establecer planes de tratamiento al respecto.
1.3.	Estudios de viabilidad y análisis costo-beneficio 
Antes de que cualquier ejecutivo apruebe un proyecto es indispensable realizar un estudio de viabilidad, en donde se determinara si es probable que el proyecto tenga éxito, este se lleva a cabo antes de que se tomen las medidas necesarias para avanzar con un proyecto, incluida la planificación, es uno de los factores más importantes, si no el más importante, para determinar si el proyecto puede avanzar. El estudio identifica el mercado para el proyecto, destaca los objetivos clave del proyecto basados en estudios de mercado, traza un mapa de posibles obstáculos y ofrece soluciones alternativas, tiene en cuenta los requisitos de tiempo, de presupuesto, de mano de obra y jurídicos para determinar si el proyecto no solo es posible sino también ventajoso para que la empresa lo lleve a cabo.
Un estudio de viabilidad evalúa las siguientes áreas:
1. Capacidad técnica
2. Presupuesto
3. Legalidad
4. Riesgo
5. Viabilidad operativa
6. Tiempo
Por otra parte, está el análisis costo-beneficio, este es un método de evaluación económica de proyectos de inversión, el método consiste en comparar los beneficios generados por un proyecto contra sus costos, para dos propósitos: el primero, determinar si el proyecto es una buena inversión y el segundo para comparar proyectos alternativos.. Los principales indicadores son los siguientes: 
• Valor actual neto (VAN). Es la diferencia entre beneficios y los costos descontados (también llamado valor presente neto). 
• Relación beneficio-costo (RBC). Es el cociente entre beneficios descontados sobre costos descontados
Tasa interna de retorno (TIR). Es la tasa de descuento (d) para la cual los beneficios descontados son iguales a los costos descontados (VAN = 0). 
• Relación costo-efectividad (RCE). Indicador alternativo para cuando los beneficios no son monetizados. Es el costo de lograr una unidad de beneficio particular en especie o, su inverso, el beneficio en especie que se pueden obtener para un costo particular. 
1.4. Presentación y defensa de decisiones para el control de riesgos
Para finalizar con la sección de la gestión de riesgos, tenemos la presentación y defensa de decisiones para el control de riesgos, esto generalmente se hace con la realización de documentación que tiene como objetivo detallar las cosas que se van a realizar en cada uno de los controles propuesto, el periodo de tiempo en el que se van a aplicar, así como el presupuesto que va a suponer y para ello es indispensable tener la aprobación por parte de la Dirección de la organización, ya que la puesta en marcha de todos los controles decididos conlleva gastos que deben ser autorizados por los altos mandos. Con esta documentación, los datos y análisis realizados se exponen ante los directivos defendiendo el proyecto presentado, mostrando los beneficios que traerá consigo, además de los problemas que resolverá y los riesgos que atacará.
2.	Estándares y regulación 
2.1.	Certificaciones para los profesionales de la seguridad de información
Para continuar con esta actividad tenemos a las certificaciones y regulaciones presentes en la seguridad de la información, como anteriormente se menciono una de las normas de mayor importancia en el mundo de la seguridad de la información son las pertenecientes a la familia ISO 27000 y las NIST SP800, estas normas son muy conocidas y la mayoría de las personas involucradas en la seguridad de la información las conocen o por lo menos debería saber de su existencia, sin embargo existe una gran variedad de normas y certificaciones involucradas en las seguridad de la información, a continuación se presentan algunas de las más importantes. 
2.1.1.	Consorcio internacional de certificaciónde seguridad de sistemas de información / International information systems security certification, ISC2 
A continuación, se muestran las principales certificaciones que ofrece la organización ISC2:
CC: Certificación en Ciberseguridad
Acreditación que demuestra a los empleadores que tiene el conocimiento, las habilidades necesarias para un rol de ciberseguridad de nivel inicial o junior, así como la comprensión de las mejores prácticas, políticas y procedimientos.
SSCP: Administración y Operaciones de Seguridad
Comprueba que los profesionales de tienen las habilidades técnicas para implementar, monitorear y administrar la infraestructura de TI / TIC utilizando políticas y procedimientos de seguridad de la información.
CAP: Marco de gestión de riesgos
Muestra habilidades técnicas avanzadas y conocimientos para proteger, autorizar y mantener sistemas de información con diversos marcos de riesgo.
CSSLP: Desarrollo seguro de software
Reconoce las habilidades líderes en seguridad de aplicaciones. Muestra la capacidad de incorporar prácticas de seguridad (autenticación, autorización y auditoría) en cada fase del ciclo de vida del desarrollo de software.
2.1.2.	Asociación de auditoría y control de sistemas de información / Information systems audit and control association, ISACA 
A continuación, se muestran las principales certificaciones que ofrece la organización ISACA:
CISA: Auditor Certificado de Sistemas de Información
La certificación CISA es mundialmente reconocida como el estándar de logro para aquellos que auditan, controlan, monitorean y evalúan la tecnología de la información y los sistemas comerciales de una organización.
CRISC: Certificado en Control de Riesgos y Sistemas de Información
La certificación en control de riesgos de ISACA indica experiencia en la identificación y gestión de riesgos de TI empresariales, en la implementación y mantenimiento de controles de sistemas de información. Especialmente recomendable para profesionales de TI con un enfoque en el control de riesgos cibernéticos.
CISM: Gerente certificado de seguridad de la información
La certificación CISM indica experiencia en gobernanza de seguridad de la información, desarrollo y gestión de programas, gestión de incidentes y gestión de riesgos. Especialmente recomendable para profesionales de TI que aspira a puestos de alta dirección en seguridad y control de TI.
CGEIT: Certificado en el Gobierno de TI Empresarial
El CGEIT es una certificación de gobierno de TI que brinda el enfoque para evaluar, diseñar, implementar y administrar sistemas de gobierno de TI empresariales alineados con los objetivos comerciales generales. 
2.1.3.	Certificación global de aseguramiento de información / Global information assurance certification, GIAC 
A continuación, se muestran las principales certificaciones que ofrece la organización GIAC:
GSEC: Elementos esenciales de seguridad 
La certificación GSEC valida el conocimiento de un profesional de la seguridad de la información más allá de la terminología y los conceptos simples.
GCFR: Forense en la nube 
GCFR es una certificación de ciberseguridad que valida la capacidad de un profesional para rastrear incidentes y recopilar e interpretar registros en Amazon, Google y proveedores de nube de Microsoft.
GISF: Fundamentos de seguridad de la información 
La certificación GISF valida el conocimiento de un profesional de la base de la seguridad, las funciones informáticas y las redes, la criptografía de nivel introductorio y las tecnologías de ciberseguridad.
GEVA: Asesor de vulnerabilidades empresariales. 
GEVA es la certificación principal centrada en la validación de habilidades técnicas de evaluación de vulnerabilidades y enfoques prácticos probados en el tiempo para garantizar la seguridad en toda la empresa.
2.1.4.	Asociación de la industria de la tecnología de cómputo / Computing technology industry association, CompTIA
A continuación, se muestran las principales certificaciones que ofrece la organización CompTIA:
A+
Es el punto de partida para una carrera en TI, la certificación se basa en el rendimiento de las habilidades de TI fundamentales en una variedad de dispositivos y sistemas operativos.
Security+
Proporciona un punto de referencia global para las mejores prácticas en la red de TI y la seguridad operativa.
Cysa+
El analista de ciberseguridad aplica análisis de comportamiento al campo de seguridad de TI para mejorar el estado general de la seguridad de TI.
CASP+
Es una certificación avanzada que valida el pensamiento crítico y el juicio en un espectro de disciplinas de seguridad en entornos complejos.
2.2.	Tendencias en certificación y acreditación 
Las certificaciones se han convertido en una de las principales herramientas que utilizan las empresas para validar los conocimientos de los profesionales en seguridad que requieren tanto a nivel técnico como gerencial, de igual forma las certificaciones son la manera que estos mismos profesionales tienen para acreditar sus conocimientos a lo largo de los años de formación y experiencia en el mercado de la seguridad, permitiendo obtener puestos de mayor importancia y responsabilidad, así como beneficios salariales. 
Las certificaciones no pueden compensar la experiencia real, por tanto, estos dos elementos deben ir siempre de la mano a la hora de valorar el currículum de los profesionales en seguridad, existe una gran variedad de certificaciones en materia de seguridad que engloban desde los aspectos más generales hasta las técnicas o productos de seguridad más específicos. Dentro de las certificaciones más demandadas por profesionales de la seguridad en TI, consultores y auditores, están la Certified Information Systems Auditor (CISA) y la Certified Information Security Manager (CISM) de ISACA, así como la Certified Information Systems Security Professional (CISSP) de ISC2. También existen certificaciones vinculadas a estándares ISO o BS como son ISO/IEC 27001, BS 25999 o ISO/IEC 20000, estas son certificaciones dirigidas a profesionales con responsabilidades en auditoría, implementación y mantenimiento de estos estándares. 
3.	Conclusiones
Después de realizar la presente actividad pude entender con mayor detalle cuales son los tratamientos que se le dan a los riesgos y por que es importante realizar un análisis de riesgos los mas detallado posible, puesto que esto será determinante al elegir que medidas se tomaran con dicho riesgo, ya sea que la organización este dispuesta a aceptar el riesgo y seguir con sus operaciones sabiendo que existe esa situación y han decidido no hacer algo al respecto tanto por falta de recursos o porque no supone un grave problema para la organización, o si por el contrario deciden ejecutar medidas que reduzcan el impacto del riesgo, también existen otros dos tratamientos que son la transferencia del riesgo, es decir que se delega la responsabilidad del mismo a un tercero y por último la detención de la actividad que genera este riesgo.
En mi opinión solo se deberían de tomar en cuenta dos tratamientos, la transferencia del riesgo o la mitigación de este, porque en estos tratamientos sí que se toman acciones para impedir que el riesgo afecte a las operaciones en la empresa y en los otros dos tratamientos simplemente se ignora el riesgo o se detiene la actividad que lo ocasiona, aunque esta se parte del proceso operativo de la empresa, lo que llevaría a modificarlo.
4.	Referencias
ISO 27001 (2005) El portal de ISO 27001 en Español. Recuperado de: http://www.iso27000.es/
Security artwork (2012), OCTAVE, Introducción al análisis de riesgos – Metodologías (II), Recuperado de: https://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos
ISOTools. (2022, 19 julio). Metodologías más utilizadas para la gestión de riesgos. Software ISO. https://www.isotools.org/2020/11/24/metodologias-mas-utilizadas-para-la-gestion-de-riesgos/
B. (2018, 22 noviembre). TechNet Security: Herramienta de Evaluación de Seguridad de Microsoft (MSAT). Microsoft Learn. https://learn.microsoft.com/es-es/security-updates/security/technetsecurityherramientadeevaluacindeseguridaddemicrosoftmsatCybersecurity Certifications. (s/f). Isc2.org. Recuperado el 23 de septiembre de 2022, de https://www.isc2.org/Certifications
GIAC Certifications. (s/f). Giac.org. Recuperado el 23 de septiembre de 2022, de https://www.giac.org/certifications/
ISACA, Certification: IT Audit, Security, Governance and Risk. Recuperado de: https://www.isaca.org/credentialing
CompTIA (2019), CompTIA Certifications, Recuperado de: https://certification.comptia.org/certifications
2