Entregable Final - Javier Mendoza (3)

Vista previa del material en texto

Índice. 
1. Resumen …………………………………………………………………………………………………………2
 1.1. Abstract ………………………………………………………………………………………………………………….2
2. Desarrollo ………………………….……………………………………………………………….............3
 2.1. Gobierno de Seguridad en TI ……………………………………………………………..……................5
 2.1.1. Modelo de Gobierno …………………………………………….……………………………………………………….6
 2.2. Stakeholders …………………………………………..………………………………………………………………8
 2.3. Arquitectura de Seguridad de la Organización …………………………………………..……………9
 2.4. Detección de Riesgos …………………………………………..………………………………………………..10
 2.5. Gestión de Riesgos ..………………………………..…………………………………………………………….11
 2.6. Plan de Trabajo …………………………………………..…………………………………………………………12
3. Conclusiones…………………………………………………………………………………………………13
4. Referencias……………………………………………………………………………………………………14
5150 100%
389 7.5%
1. Resumen 
En el siguiente documento se presenta mi propuesta de dirección de seguridad para una empresa mediana que fabrica muebles y los comercializa en sucursales de venta y también a través de internet. En este proyecto en una primera instancia se aborda la situación actual de gobierno corporativo y gobierno de TI en la empresa, además de unas recomendaciones para mejorar los problemas identificados durante la investigación realizada anteriormente en el curso de Dirección de Seguridad, posteriormente se tratará el tema del gobierno de seguridad de la información, así como la propuesta de un modelo que mejore al actual.
Después continuamos con la identificación de los Stakeholders involucrados en la organización, al igual que una pequeña introducción al concepto y los tipos que existen, posteriormente la arquitectura de seguridad presente en la organización y las recomendaciones para que exista un nivel alto de seguridad de la información, después tenemos la identificación y gestión de los riesgos que afectan a la empresa, en el plan de trabajo se evaluaran las acciones a realizar con base en un organismos certificador. Para concluir con el proyecto se expondrán las conclusiones que deja el curso y el proyecto.
 1.1. Abstract 
The following document presents my proposal for a security address for a medium-sized company that manufactures furniture and markets it in sales branches and also through the Internet. In this project, in the first instance, the current situation of corporate governance and IT governance in the company is addressed, in addition to some recommendations to improve the problems identified during the investigation carried out previously in the Security Management course, later the topic will be discussed. information security government, as well as the proposal of a model that improves the current one.
Then we continue with the identification of the Stakeholders involved in the organization, as well as a brief introduction to the concept and the types that exist, then the security architecture present in the organization and the recommendations for a high level of information security, then we have the identification and management of the risks that affect the company, in the work plan the actions to be carried out based on a certifying organism will be evaluated. To conclude with the project, the conclusions left by the course and the project will be presented.
Key Words:
IT security governance
Risk management
cyber attacks
Stakeholders
2. Desarrollo
Para comenzar con el desarrollo de la presente propuesta de dirección en seguridad de TI es necesario establecer el contexto de este proyecto, la propuesta es realizada a partir de la situación de una empresa manufacturera de muebles que además los comercializa en sucursales y también en su página web. Se realiza esta propuesta para mejorar la seguridad de la información en dicha organización tomando en cuenta el gobierno de corporativo y el de TI, en donde se identificara si es que están correctamente implementados o si en su defecto son deficientes, para posteriormente indicar algunas recomendaciones que mejoraran el estado de la organización, lo cual tendrá como consecuencia que el gobierno de seguridad de la información pueda ser implementado en las mejores condiciones posibles y así brindar una mayor protección a la información que maneja la empresa.
Cuando hablamos del Gobierno Corporativo nos referimos al establecimiento de reglas que buscan gestionar los riesgos del negocio, implementar un control interno para monitorear dichos riesgos y poder tener margen de acción sobre su tratamiento, otra parte importante que compone el gobierno corporativo es la estructura y división de roles y responsabilidades, que ayuda a reducir la frecuencia e impacto de los riesgos a los que se enfrenta una organización, además de facilitar el establecimiento de los objetivos de la empresa. A continuación, se muestra una parte de la investigación realizada anteriormente sobre las deficiencias encontradas en la organización con respecto al gobierno corporativo:
· Continuidad de operación
· Análisis de riesgos 
· Transparencia 
· Disciplina 
En cuanto a la continuidad de operación, esto se hizo visible debido a la reciente situación sanitaria con la pandemia, puesto que no se tenía contemplado un escenario de ese tipo y se improvisaron las medidas a seguir conforme ocurrían los problemas, como el hecho de que los empleados administrativos tenían que realizar sus labores a distancia. 
Esto nos lleva al siguiente punto, un deficiente análisis de riesgos, puesto que al no contemplar los diversos escenarios que pudieran imposibilitar la operación de la empresa, además de los riesgos que surgieron al implementar la modalidad de trabajo a distancia, en el manejo de la información privada de la organización, así como la conexión a los recursos ubicados en las instalaciones.
En el apartado de la transparencia, se encuentra que la información no es accesible a todas las personas que deberían conocerla y esta solo está reservada para un grupo pequeño, es lógico que la totalidad de la información no sea publica para todos los integrantes de la organización, pero existen ciertos puestos que requieren conocer datos precisos.
Finalmente, la diciplina, esta no se encuentra presente a lo largo de toda la organización, desde puestos directivos hasta personal operativo, en lo referente a políticas de comportamiento, uso de dispositivos electrónicos, horarios laborales, etc.
Después de identificar estas situaciones podemos entender que para atacar estos problemas es necesario formular una nueva matriz de riesgos en donde se incluyan las nuevas eventualidades se le pueden presentar a la organización para poder decidir que tratamiento se le dará a dichos riesgos, además de volver a plantear una estrategia de continuidad de operación, en donde se contemplen una amplia variedad de escenarios que pudieran interferir con las labores de la empresa, así como planear una correcta implementación de trabajo a distancia, con las medidas de seguridad adecuadas para su ejecución.
En cuanto a la transparencia y a la disciplina, se pueden corregir con la implementación de políticas más estrictas en las que se indique específicamente las sanciones a las que serán acreedores los empleados que no cumplan con las normas de la organización, así como definir claramente que información necesita cada área de la organización para que puedan acceder fácilmente a la misma.
Después tenemos al gobierno de TI, este es el encargado asegurar el alineamiento del área de TI con los objetivos y políticas de la organización, es fundamental integrarla en durante todo el proceso estratégico de la organización, puesto que la gran mayoría sino es que todos los proyectos que se desarrollan en una empresa requieren del área de TI, es por ello que se tiene que tomar en cuenta a esta área, así como tener alineados los objetivos de ambas partes, para que se pueda realizar la planeación correctamente y con ello evitar poner el riesgo el proyecto porque no se tomaron en cuenta todos los aspectos que puedan afectarlo. Para una implementación satisfactoriadel gobierno de TI es muy importante que esta área le agregue valor al proceso y que se controlen los riesgos, estos objetivos pueden se logrados mediante el seguimiento de normas, estándares y buenas practicas 
Al estudiar el caso de la empresa he identificado dos principales situaciones de peligro, estas son: la poca importancia que se le da al área de TI, así como la integración que esta tiene con las demás áreas. Esto porque en la organización se toma al área de TI únicamente como el área de soporte técnico y no se considera la opinión del director del área para la implementación de nuevos proyectos hasta que ocurren problemas y es necesaria su intervención.
Para poder mejorar la situación actual identificada se recomienda emplear marcos de referencia como COBIT, con el que se pueda hacer una correcta separación de la parte de gobierno y la operativa, además de la implementación de un enfoque holístico en donde se considere a la organización como un todo y se tome en cuenta al área de TI durante todo el proceso de planeación, desarrollo e implementación de nuevos proyectos, lo que ayudaría a evitar algunos problemas y por consiguiente generaría un ahorro de recursos.
2.1. Gobierno de Seguridad en TI 
Entrando al tema principal de este proyecto la seguridad de TI, tenemos que el gobierno de seguridad en TI tiene como propósito la creación de un sistema de gestión de la seguridad de la información para controlar los riesgos identificados, con lo que la organización pueda decidir que tratamiento darle a cada uno, conociendo la gravedad, frecuencia e impacto que pueden generar a la empresa, todo esto con el objetivo de proteger los tres pilares de la seguridad de la información, que como sabemos son la confidencialidad, integridad y disponibilidad. Al analizar el estado de la organización identifique las siguientes áreas de oportunidad:
· Documentación. 
· Capacitación sobre ataques cibernéticos.
· Implementación de home office
Con respecto a la documentación, es necesario que la organización adopte buenas prácticas de estándares internacionales como las ISO 27000, en donde podemos identificar la importancia de tener una buena documentación presentando la siguiente estructura de mayor a menor importancia: manual general de seguridad, manual procedimientos, instrucciones, formularios y registros. Debido a que no existe una correcta implementación de la documentación que faciliten el trabajo en la empresa y la solución de problemas, como se menciona anteriormente es imprescindible que la empresa cuente con un manual de seguridad que contenga el alcance, objetivos, responsabilidades y políticas de la empresa orientadas a la seguridad de la información. 
También se requiere de manuales de procedimientos que nos aseguren correcta ejecución de la planificación, operación y el control de procesos. Con los formularios e instrucciones se busca describir específicamente como se tienen que realizar las tareas y las actividades, para evitar fallos de operación que comprometan la seguridad de la información. Por último, tenemos los registros que estos nos ayudaran a verificar que se cumplieron con los procedimientos correctamente y en caso de algún problema poder revisar estos registros para encontrar el origen del fallo rápidamente.
En el caso de los ataques cibernéticos se propone que todo el personal desde altos mandos hasta trabajadores operativos sean capacitados sobre el peligro de los ataques cibernéticos y las acciones que deben realizar en caso de que sean víctimas de alguno de estos, en especial los de ingeniería social, puesto que las personas al ser el objetivo más débil en la organización, para ello además de la capacitación y las pláticas de concientización, es importante plantear políticas más estrictas sobre el control de la información en todas sus formas de presentación, en donde se establezcan controles y consecuencias para los que no las cumplan. Relacionado con el anterior punto esta la falta de infraestructura y capacitación para una correcta implementación del trabajo a distancia, este inconveniente tomo mayor relevancia con la pandemia, al tener que realizar las actividades de forma remota por seguridad de los miembros de la empresa, estos problemas se verán expuestos con más detalle en la sección correspondiente a la gestión y tratamiento de riesgos.
2.1.1. Modelo de Gobierno
Una vez conociendo el contexto de la organización tanto en su gobierno corporativo, gobierno de TI y gobierno de seguridad de la información, procedemos a plantear el tipo de modelo de gobierno que se busca implementar en esta propuesta de dirección de seguridad, para la creación del modelo es importante tener un enfoque, el cual se amolde a las características de la empresa y el objetivo que se tiene en la misma, como vimos durante el curso, según Antonio Argandoña (2013) existen cuatro tipos de modelos de gobierno:
“1. El enfoque financiero. Los directivos buscan siempre su propio interés y, por tanto, tienen incentivos para comportarse de manera oportunista, tiene como objetivo maximizar el beneficio, proteger a los inversores de los directivos depredadores, a través de los sistemas de remuneración, auditorías, mercado de directivos, incentivos. 
 2. Un enfoque "alfabetizado" de las finanzas. También se debe tener en cuenta a otros stakeholders, ya que sin su cooperación no es posible lograr altas ganancias, el objetivo es maximizar la ganancia del accionista y, además, proteger sus intereses a largo plazo para ganar y mantener la reputación y legalidad. 
 3. Enfoque estratégico o cooperación. Es necesaria la cooperación de los grupos de interés, especialmente de los internos que aportan capital, requiere un ambiente de confianza en la empresa, este enfoque tiene como objetivo aumentar el valor social de la empresa para todos sus grupos de interés y lograr la cooperación de todos para que todos salgan ganando. 
4. Enfoque basado en RS. Una organización es una comunidad de personas que requiere que todos trabajen por un objetivo común, su objetivo es atender las necesidades de los clientes, atender las necesidades de sus empleados, lograr la eficiencia económica, la continuidad y la participación para llegar a todos, pero con plena responsabilidad, creando un ambiente de mutua confianza y reciprocidad.” Argandoña, A. (2013)
Después de conocer los anteriores enfoques y tras analizar el estado y características de la empresa, concluyo que es necesario adoptar un enfoque basado en RS, porque en este se entiende a la empresa como un grupo de personas que indistintamente a su cargo o posición en el organigrama todos buscan el mismo objetivo, el progreso de la empresa, además de darle la importancia que se merecen todos los colaboradores dentro de la organización, ya que al procurar tener un ambiente de trabajo sano, podremos lograr una mayor productividad en todo el personal, cabe destacar que para validar esto se puede realizar una certificación como la “Great Place to Work” generando un imagen positiva para posibles inversores, clientes o colaboradores que quieran integrarse a la empresa.
Con este enfoque todas las personas interesadas en la empresa tanto las que se encuentran al interior como las que se ven involucradas desde el exterior puedan beneficiarse de una mejor productividad y mayor rendimiento de los recursos aportados a la empresa. En este modelo propuesto además es necesario retomar un concepto fundamental para el gobierno de seguridad de TI formulado por ISACA, que aborda cinco puntos vitales para una correcta implementación del gobierno de seguridad de TI, estos son:
“Alineación Estratégica de la seguridad de la información con la estrategia del negocio para soportar los objetivos organizacionales 
Gestión de Riesgos mediante la ejecución de medidas apropiadas para gestionar y mitigar los riesgos y reducir el impacto potencial en los recursos de información a niveles aceptables 
Gestión de Recursos mediante la utilización eficiente y efectiva del conocimiento de seguridad de la información y lainfraestructura de la organización 
Medición de la Ejecución mediante la medición, monitoreo y reporte de métricas de gobierno de seguridad de la información que garantice alcanzar los objetivos de la organización 
Entrega de Valor mediante la optimización de las inversiones en seguridad de la información que soporten los objetivos del negocio.” (ISACA)
Con los anteriores puntos identificamos la importancia de la alineación estratégica entre el área de TI y los objetivos de la empresa, el tratamiento de los riesgos y la entrega de valor hacia la empresa, en el modelo propuesto se establece la estricta relación entre áreas, en donde se requiere de la participación de todas durante la totalidad de cada nuevo proyecto, además de la integración del área de TI como soporte de la organización, con el objetivo de reducir gastos en contratación de empresas externas para labores de TI, delegando esta responsabilidad a su encargado para que el realice la estimación de recurso adicionales que requiere para hacerse cargo de todos las labores de TI en la organización.
Con este cambio se busca incrementar el valor que aporta el área de TI a la organización y con esto incrementar el rendimiento de los recursos, además de aportar una mayor seguridad al no involucrar a otras empresas en labores correspondientes al área de TI que puedan representar un riesgo a la seguridad de la información, esto significa que los recursos que se invertían previamente en soluciones externas de TI, se podrán redistribuir para dar capacitación a los empleados y que la organización este mejor preparada frente ataques cibernéticos.
Para finalizar con el gobierno de seguridad de TI, es importante que se empiece a realizar certificaciones en los empleados encargados de la seguridad de la información esto nos brindara mayor reconocimiento como empresa, además de mejorar las habilidades de los empleados y otro aspecto necesario para mantener el control dentro de la organización es la realización de auditorías de seguridad periódicamente, en las que podamos encontrar posibles vulnerabilidades y mitigarlas antes de que ocasionen algún problema grave, que puede comprometer la información que maneja la empresa.
2.2. Stakeholders 
Pasando a nuestro siguiente punto a tratar, los Stakeholders son todas aquellas personas que están interesadas en la organización, que intervienen y les afecta, el resultado que se obtenga dentro de la organización existe principalmente dos tipos de Stakeholders: tenemos los primarios y los secundarios, en el caso de los primarios son los que su participación es indispensable para el funcionamiento de la empresa como los serian trabajadores, clientes y socios. En el caso de los secundarios nos encontramos los grupos de personas que se encuentran externos a la organización y no intervienen de forma directa, como otras empresas competidoras. 
En la organización se encuentran los siguientes stakeholders:
Primarios:
· Junta directiva: Son los jefes de cada área, además de un grupo de control.
· Clientes: Son las persona u organización que utiliza el producto o sistema para el que ha sido desarrollado, algunas son eventuales y otros son clientes constantes.
· Socios: La empresa cuenta con dos socios que se integraron para aportar capital e incrementar el alcance de la empresa.
· Proveedores: Son las empresas que suministran la materia prima que requiere la organización como madera, además de la maquinaria industrial y equipos computacionales.
· Empleados: Todos y cada uno de los empleados que conforma a la organización
Secundarios:
· Logística. Depende del proyecto, si involucra la entrega de productos, dependiendo del destino y tamaño del producto y de la empresa, se debe involucrar al personal de logística. 
· Patrocinadores. Grupo de personas que impulsan el inicio de cada proyecto, puede decidir sobre los recursos económicos y humanos a destinar al proyecto o en su defecto los recursos internos necesarios. 
· Organizaciones certificadoras.
· Autoridades.
2.3. Arquitectura de Seguridad de la Organización
La arquitectura de seguridad en la organización es diseñada con elementos que involucran a toda la organización y no únicamente elementos tecnológicos, es muy importante tener implementado una arquitectura solida y bien definida porque en cualquier organización existen cambios ya sea de personal, de tecnología, creación de nuevos procesos, y por lo tanto las necesidades de seguridad. Es por esto que se consideran las siguientes tareas para esta propuesta:
· Análisis de Vulnerabilidades 
· Evaluación de Controles 
· Desarrollo de Políticas, Estándares, Guías y Procedimientos
· Análisis y Evaluación de Riesgos
· Estrategia de Seguridad
· Programa de Concientización
· Adquisición, Desarrollo e Instalación de equipos tecnológicos
· Monitoreo, Auditoria y Computo Forense
· Dirección en el área de respuesta a incidentes ante amenazas
Como se muestra la arquitectura de seguridad involucra mas que solo dispositivos tecnológicos para la protección de la información, en nuestra arquitectura se contempla la incorporación de políticas basadas en recomendaciones de estándares internacionales tales como ISO 27000 o NIST 800, en donde contemplamos políticas de dispositivos electrónicos como celulares, en donde se especifica que a los empleados con acceso a información y recursos tecnológicos se les proporcionara un teléfono celular por parte de la empresa que presentaran modificaciones en el software para asegurar que únicamente sean utilizados con fines laborales, en el caso del personal que trabaje a distancia cuando se presente alguna contingencia como la sufrida por el coronavirus, tendrá que trasladar su equipo de trabajo (laptop) a su casa seguir laborando.
Con respecto a las vulnerabilidades y la gestión de riesgos se formará un equipo de trabajadores capacitados en estos temas como equipo de respuesta a estas eventualidades, estas personas tomaran capacitaciones constantes en con el fin de estar a la vanguardia en la ciberseguridad y que estos a su vez puedan capacitar a mas personal de la empresa.
Se propone la implementación de programas de concientización sobre el impacto de los ataques cibernéticos y las medidas que se deben tomar en caso de que sucedan, además de la formación de un equipo que audite a las distintas áreas y en especial al área de TI sobre el manejo de la información y con esto poder encontrar vulnerabilidades en nuestro sistema para corregirlas y realizar informes detallados sobre estos problemas, con el objetivo de que no vuelvan a suceder.
2.4. Detección de Riesgos
 
Tabla 1. Matriz de Riesgos.
La anterior tabla es la matriz de riegos obtenida mediante una investigación sobre los principales puntos débiles y áreas de oportunidad de la empresa, en donde se presentan tres procesos fundamentales para la operación de la empresa, para la columna de riesgo se requiere de las segunda tabla en donde se muestra la valoración que se le da a cada riesgo dependiendo que tan frecuente puede suceder y cuanto impactaría a la empresa, estos dos valores se multiplican y es el valor representado en la columna de la tabla 1.
	 
Tabla 2. Cálculo del Riesgo
Como se puede observar en la tabla 1, primero se muestran los tres procesos de mayor importancia, después en la columna siguiente quien o que área es la responsable de esa actividad con el objetivo de definir claramente las responsabilidades que cada área, pasando a la siguiente columna tenemos los activos representativos de esta actividad, es decir los recurso que se necesitan para ejecutar dicha tarea, en la siguiente columna se presentan las vulnerabilidades encontradas en dichas actividades y que se relacionan con los activos empleados.
En la quinta columna esta las amenazas que se desprenden de las vulnerabilidades identificadas, es aquí en donde se tiene que poner especial atención puesto que esos son los problemas que se buscan gestionar, y por ultima la séptima columna contiene los controles que se emplearan para afrontar las amenazas encontradas,estos controles pertenecen al estándar ISO 27002, se emplean estos porque al estar presentes en un estándar internacional gozan de validez y eficacia comprobada.
2.5. Gestión de Riesgos
A continuación, se muestra un mapa de calor de riesgos en donde se plasman los tres procesos anteriormente mencionados de forma gráfica para entender más fácilmente la importancia de cada uno y elegir el tratamiento que se les debe dar, como se puede observar en dos procesos existen dos amenazas por cada uno, por lo que se deben tomar como riesgos independientes, debido a que no se les aplicara las mismas medidas.
De forma general lo primero que se debe tener claro es que los riesgos que tengan un impacto o severidad alto no pueden ser ignorados ni aceptados, por lo que todos los que se encuentran localizados en la columna de la derecha se busca que sean mitigados con los controles presentados en la matriz de riesgos y de ser necesario se ejecutaran medidas adicionales para su mitigación. El riesgo localizado en la columna central al tener un impacto y una frecuencia medios primeramente se busca contenerlo con la creación de políticas que se ajusten a los requerimientos y de requerir mayor acción se reevaluará su impacto para determinar las acciones a seguir o de ser necesario se transferirá este riesgo a un tercero, pero únicamente como última opción. 
 2
3
2
3
1
Diagrama 1. Mapa de calor de riesgos.
 2.6. Plan de Trabajo 
El plan de seguridad de TI nos permite entender dónde pueden existir vulnerabilidades en los sistemas, para tomar las medidas necesarias para prevenir esos problemas, esta planeación será capaz de ayudar a proteger los datos y los sistemas críticos de la organización, asegurándonos además que se ajuste a la legislación vigente y a la Ley de Protección de Datos. Para poder implementar seguridad en la información es necesario contemplar los siguientes pasos: 
 1. Identificación de activos
En este paso identificamos nuestros activos críticos que nos interesa proteger, que son la información confidencial de la empresa como datos de empleados, socios y proveedores, además de los equipos que permite la ejecución de nuestro proceso productivo como maquinaria industrial, servidores, software, dispositivos computacionales y personal.
2. Evaluación de riesgos 
 Ahora debe determinar qué podría poner en riesgo los activos anteriores. Por ejemplo, virus informáticos, piratas informáticos, daño físico o error de los empleados, este paso se ejemplifica en la sección anterior en la gestión de riesgos. 
 3. Priorización de protección de TI 
 Después de evaluar el daño potencial de cada amenaza y la probabilidad de que ocurra, puede decidir qué amenazas son más importantes e interesantes para comenzar a protegerse. Como lo seria proteger servidores al determinarse que es más importante que proteger computadoras individuales, debido a la mayor carga de información importante que poseen.
4. Toma de precauciones adecuadas 
 En esta fase se determinan qué pasos debe tomar para protegerse de los riesgos que identificó en la sección anterior de este plan de seguridad de TI para asegurarnos que la empresa permanezca operativa si algo sale mal. Como es la restricción del acceso a servidores o la instalación de un firewall de hardware, además de la creación de un plan de recuperación ante desastres.
Siguiendo los anteriores pasos es como se puede evaluar de forma satisfactoria el plan de trabajo, en el que es indispensable, el uso de estándares internacionales y las leyes aplicables en nuestro país para que la empresa pueda tener una mejor seguridad a diferencia de la que tiene actualmente, con los cambios expuestos se podrá elevar el nivel de seguridad y reducir costos en controles de seguridad y herramientas necesarias para la protección de la información.
Con estas secciones se concluye el apartado del desarrollo de la propuesta de seguridad de TI y se da paso a las conclusiones de finales del curso y del proyecto mismo.
3.	Conclusiones
Con la finalización de este proyecto se da por concluido el curso de Dirección de Seguridad impartido por la Maestra en Seguridad de TI Jessica Hernández Romero, con este curso aprendí conceptos y técnicas muy valiosas para la protección de la información, una idea que a mi parecer es muy importante y que me llevo de este curso es la importancia que tiene la integración del área de TI en cualquier organización, porque en cualquier empresa se desarrollan nuevos proyectos y en la mayoría sino es que todos requieren del soporte de TI, por lo que contar con el director de dicha área desde el inicio de la planeación del proyecto resulta fundamental, porque es ahí en donde se pueden evitar grandes problemas por no consultar características, infraestructura y recursos con los que cuenta el área para poner en marcha dicho proyecto, ya que puede darse el caso que por no tener una comunicación constante entre áreas el proyecto no sea compatible con los recursos presentes en el área de TI, ocasionado que se tenga que contratar nuevo personal, capacitar al actual y de no resolverse la situación generando perdidas a la empresa, por una mala planeación.
Con respecto a la seguridad que es el foco principal de esta asignatura, entendí que es muy importante que en la empresa existan los tres tipos de gobierno, el gobierno corporativo, el gobierno de TI y el gobierno de seguridad de la información, esto porque cada uno en su área de acción es fundamental para tener control en la organización, cada uno le brinda a la organización una estructura en la cual se pueda definir claramente roles y responsabilidades, activos de la empresa y controles de seguridad aplicables en las situaciones de riesgo.
Otro tema importante visto durante el curso fue la importancia de los estándares y certificaciones, en este caso me pareció interesante la gran variedad de certificaciones de seguridad de la información que ofrecen organizaciones internacionales, los distintos niveles que presentan, desde conceptos básicos en introducción a la seguridad de la información, hasta aspectos muy específicos que todo profesional de la seguridad de la información debe dominar para brindar un buen nivel de protección a la información que se manejan en las organizaciones. 
La protección de la información contra ataques informáticos ha tomado gran relevancia en los últimos años debido a los ataques a instituciones públicas y empresas privadas como bancos y tiendas, recuerdo que hace algunos años el INE fue víctima de un ataques en donde les robaron una gran cantidad de información, estos es especialmente grave puesto que una institución como esta maneja información sensible sobre todos los mexicanos que estamos en su base de datos, puesto que en ella esta nuestra dirección, nombre, fecha de nacimiento y foto, información más que suficiente para realizar actividades de suplantación de identidad, ocasionando grandes afectaciones a las víctimas.
Para terminar con este proyecto, concluyo que esta asignatura me fue de mucha ayuda y que puede aplicar los conocimientos adquiridos durante el curso en este proyecto, además de conocer nuevas metodologías para la protección de la información, el tratamiento de los riesgos y las principales certificaciones en la seguridad de la información que en un futuro pueden ser de gran ayuda para mi desarrollo profesional.
4.	Referencias
Quitoeca (2011) ¿Qué son los stakeholders? Recuperado de: https://www.guioteca.com/rse/que-son-los-stakeholders/
Blog IESE (2013), Cuatro modelos de gobierno de la empresa. Recuperado de: https://blog.iese.edu/antonioargandona/2013/02/08/cuatro-modelos-de-gobierno-de-la-empresa/
Welivesecurtiry Eset (2017) ¿Qué es y por qué hacer un Análisis de Riesgos? Recuperado de: https://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
ISOTools (2016), ISO 27001: Evaluación y tratamiento de riesgos en 6 pasos. Recuperado de: https://www.isotools.com.co/iso-27001- evaluacion-tratamiento-riesgos-6-pasos/
ISO 27001 (2005) El portal de ISO 27001 en español.Recuperado de: http://www.iso27000.es/
Hernández-Romero, J. (2022). Análisis de Riesgos. Dirección de seguridad de TI. Clase de Maestría, UNITEC, CDMX.
Hernández-Romero, J. (2022). Gobierno de la Seguridad de la Información. Dirección de seguridad de TI. Clase de Maestría, UNITEC, CDMX.
Hernández-Romero, J. (2022). Gobierno Corporativo y Gobierno de TI, Modelos de Gobierno de SI, roles y responsabilidades. Dirección de seguridad de TI. Clase de Maestría, UNITEC, CDMX.
Hernández-Romero, J. (2022). Autoridades Certificadoras. Dirección de seguridad de TI. Clase de Maestría, UNITEC, CDMX.
Mendoza, J. (2022). Entregable Previo 1. Dirección de seguridad de TI. UNITEC, CDMX.
Mendoza, J. (2022). Entregable Previo 2. Dirección de seguridad de TI. UNITEC, CDMX.
Mendoza, J. (2022). Entregable Intermedio 1. Dirección de seguridad de TI. UNITEC, CDMX.
Mendoza, J. (2022). Entregable Intermedio 2. Dirección de seguridad de TI. UNITEC, CDMX.
Arquitectura de seguridad de la información: Evaluación de brechas y priorización. (n.d.). ISACA. Retrieved October 2, 2022, from https://www.isaca.org/es-es/resources/isaca-journal/issues/2018/volume-2/information-security-architecture-gap-assessment-and-prioritization
de Expertos en Ciencia y Tecnología, E. (2016, October 19). Cómo crear un plan de seguridad informática fácilmente. VIU. https://www.universidadviu.com/es/actualidad/nuestros-expertos/como-crear-un-plan-de-seguridad-informatica-facilmente
2
 
Proceso Responsable Activos Vulnerabilidad Amenaza Riesgo 
Control 
(ISO 27002) 
Ventas Online 
Área de Ventas 
Área de TI 
Servidor WEB 
Servidor DB 
Personal 
Falta de 
recursos 
Infraestructura 
deficiente 
Ataques 
Informáticos 
(DDOS) 
3 
16.1.5 Respuesta 
a los incidentes 
de seguridad 
Mantenimiento 
de Equipos 
Área de 
Mantenimiento 
Área de TI 
Licencias 
Personal 
Equipo 
Licencias 
Expiradas 
Falta de 
capacitación 
Malfuncionamiento 
de equipo 
Cese de 
operaciones 
4 
3 
11.2.4. 
Mantenimiento 
de los equipos 
17.1.1 
Planificación de 
la continuidad 
de SI 
Aseguramiento 
de Información 
Área de TI 
Control de 
Accesos 
Políticas 
VPN 
Controles no 
Actualizados 
No se cumplen 
Políticas 
Sin 
certificaciones 
Accesos no 
autorizados 
Robo de 
información 
3 
6 
9.4.1. 
Restricción del 
acceso a la 
información 
5.1.2. Revisión 
de las políticas 
de SI 
12.3.1. Copias de 
Seguridad de la 
información 
 
 Frecuencia Impacto 
Proceso 1 1 3 
Proceso 2 
2 
1 
2 
3 
Proceso 3 
1 
2 
3 
3 
Riesgo Valor 
Bajo 1 
Medio 2 
Alto 3