A8_E4

Vista previa del material en texto

IT - Governence | Equipo 4
	
 INSTITUTO POLITÉCNICO NACIONAL
 ESCUELA SUPERIOR DE CÓMPUTO
Actividad 8: Administración de los riesgos de las tecnologías de la información.
Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governence. Fecha de entrega: domingo, 13/11/22. Grupo: 3CM13.
Equipo: 
· Briseño Lira Andrés
· López Reyna Bryan Ricardo
· Ortiz Rincón Christian Fernando
· Pérez Vidales Yesua David
· Reyes Rebollo Angel de Jesus
· Valenzuela Góngora Eric Alejandro
Introducción
Los riesgos en cualquier proyecto son inevitables, por más que pensemos que nuestro proyecto considera todas las aristas propias del mismo, por lo tanto, el tener amenazas y riesgos es parte misma del proyecto, lo que en realidad es peligroso es no considerar estos riesgos, primero si entendemos riesgo como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas, por lo tanto los factores que la componen son la amenaza y la vulnerabilidad; de esta forma, ya que se identificaron los riesgos, todo encargado de TI tiene la responsabilidad de mitigar al máximo los riesgos potenciales, por lo tanto, en el siguiente trabajo desglosaremos las partes más importantes de este tema, con la intención de esclarecerlo para el lector. 
¿Qué es un riesgo, amenaza y suposición?
Riesgo
El diccionario de la Real Academia Española (1992), define el riesgo como: contingencia o proximidad de un daño.
El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza. 
El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo. [6]
El peligro es una condición o característica intrínseca que puede causar lesión o enfermedad, daño a la propiedad y/o paralización de un proceso, en cambio, el riesgo es la combinación de la probabilidad y la consecuencia de no controlar el peligro.
Amenaza
Se conoce como amenaza al peligro inminente, que surge, de un hecho o acontecimiento que aún no ha sucedido.
Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad.
Es un fenómeno, actividad humana o condición peligrosa que puede ocasionar daño u otros impactos negativos. La amenaza se determina en función de la intensidad y la frecuencia. [4]
Suposición
Suposición es la realización de conjeturas (Por conjetura se entiende el juicio que se forma de las cosas o sucesos por indicios u observaciones) sobre alguna cosa que se propone con base en indicios o analogías frente a hechos o causas similares.[5]
1. ¿Cómo se administran los riesgos de las tecnologías de la información? Las tecnologías de la información han permitido comunicar de una forma más rápida y eficiente a las personas y organizaciones, sin embargo, esta ventaja trae consigo una responsabilidad en su gestión, hago referencia no solo en los procesos que se hacen para desarrollar dichas tecnologías de forma más segura, que es lo que nos compete hoy, si no también la responsabilidad que tenemos como usuarios de estas tecnologías. Por lo tanto, podremos visualizar de mejor manera estos puntos, si los desglosamos:
· Identificación de riesgos: Un punto importante es reconocer las vulnerabilidades, amenazas y/o riesgos de estas tecnologías.
· Análisis cualitativo: No es preciso y funciona como filtro para los riesgos, y se utiliza cuando se necesita inmediatez en los resultados.
· Análisis cuantitativo: Es un proceso mucho más tardado y preciso, para realizarlos, se recurre a sistemas específicos de análisis cuantitativo de riesgos, como pueden ser simulaciones matemáticas, entre las que destaca la de Montecarlo o se puede recurrir a un árbol de decisiones.
· Planificación de respuesta ante el riesgo: También llamado plan de contingencia, esto permite concentrarse en la prevención, para evitar su aparición; transferirlos a agentes externos o mitigar sus efectos, en el caso de que finalmente ocurran.
· Monitorización de los riesgos: Para poder prever la aparición de un riesgo es necesario conocer signos de alarma que permitan anticiparse a él. Si esto no es posible, al menos, se deben poseer mecanismos de monitorización de los proyectos con los que se pueda conseguir detectar un riesgo en el mismo momento en el que se presenta. [2]
2. ¿Qué frameworks nos dan los lineamientos para implementar la evaluación de los riesgos?
El framewok NIST proporciona un lenguaje común para comprender, gestionar y expresar el riesgo de ciberseguridad tanto internamente como externamente. Se puede usar para ayudar a identificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una herramienta para alinear los enfoques de políticas, negocios y tecnología para manejar dicho riesgo. Se puede usar para administrar el riesgo de ciberseguridad en todas las organizaciones o se puede enfocar en la entrega de servicios críticos dentro de una organización. Los diferentes tipos de entidades, incluidas las estructuras de coordinación del sector, las asociaciones y las organizaciones, pueden usar el framewok NIST para diferentes propósitos, incluida la creación de Perfiles comunes.
Definiciones y conceptos clave
La intención de este organizador gráfico es que visualmente podamos identificar rápida e intuitivamente los conceptos intrínsecos de la gestión de los riesgos de las tecnologías de la información.
Administración de los riesgos de las tecnologías de la información
La intención de este organizador gráfico es que visualmente podamos identificar rápida e intuitivamente el proceso de identificación de riesgos al utilizar TIC´s en una organización y/o proyecto; después como se gestionan dichos riesgos con la intención de mitigarlos.
Frameworks para la evaluación de riesgos
La intención de este organizador gráfico es que visualmente podamos identificar rápida e intuitivamente los entornos de trabajo más eficientes para la administración y gestión de las tecnologías de la información.
Conclusiones
Los riesgos son inevitables en todo proyecto, el verdadero problema esta en minimizarlos o sencillamente no atenderlos, ya que siempre va a ser mejor reconocerlos, es decir, identificarlos, clasificarlos, monitorearlos y tener un plan de contingencia en caso de dichos riesgos se conviertan en desastre; sin embargo, muchas empresas trabajan sin estas consideraciones. Ya que se ha entendido su importancia vemos que el proceso se divide de manera general en primero identificar los riesgos potenciales, después analizarlos cualitativa y cuantitativamente, luego realizar un plan de contingencia y por último monitorear las alarmas y señales que pueden detonar dichos riesgos. Vemos que el proceso de manera general, sin embargo en la practica esto no es trivial, ya que es un proceso iterativo que lleva muchas consideraciones, por lo tanto, es imperativo comenzar a trabajar en estos apartados en los proyectos que realizamos; afortunadamente existen algunos frameworks que nos ayudan a implementar estas practicas.
Referencias
 [2] Titulo: Las 6 fases para controlar el riesgo. Autor: ITM Platform. 2010. Link: https://www.itmplatform.com/es/blog/las-6-fases-para-controlar-el-riesgo/ 
[3] Cómo implantar el Framework NIST. (2018, 25 julio). CIBERSEGURIDAD .blog. https://ciberseguridad.blog/como-implantar-el-framework-nist/
[4] Definición de Riesgo CIIFEN. Available at: https://ciifen.org/definicion-de-riesgo/ (Accessed: November 10, 2022).
[5] Suposición.pdf. Available at: https://www.coursehero.com/file/64424793/Suposici%C3%B3npdf/ (Accessed: November 10, 2022).
[6] Amenaza vs vulnerabilidad (2021) INCIBE. Available at: https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian (Accessed: November 10, 2022). 
2