A8_E4

Vista previa del material en texto

IT - Governence | Equipo 4 
 
1 
 
 
 INSTITUTO POLITÉCNICO 
NACIONAL 
 ESCUELA SUPERIOR DE CÓMPUTO 
 
 
 
Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governence. 
Fecha de entrega: domingo, 13/11/22. Grupo: 3CM13. 
Equipo: 
• Reyes Rebollo Angel de Jesus 
• Valenzuela Góngora Eric Alejandro 
• López Reyna Bryan Ricardo 
• Ortiz Rincón Christian Fernando 
• Pérez Vidales Yesua David 
• Briseño Lira Andrés 
 
 
 
 
 
 
 
 
 
 
 
Actividad 8: Administración de 
los riesgos de las tecnologías 
de la información. 
IT - Governence | Equipo 4 
 
2 
 
Introducción 
Los riesgos en cualquier proyecto son inevitables, por más que pensemos que nuestro 
proyecto considera todas las aristas propias del mismo, por lo tanto, el tener amenazas y 
riesgos es parte misma del proyecto, lo que en realidad es peligroso es no considerar estos 
riesgos, primero si entendemos riesgo como la combinación de la probabilidad de que se 
produzca un evento y sus consecuencias negativas, por lo tanto los factores que la 
componen son la amenaza y la vulnerabilidad; de esta forma, ya que se identificaron los 
riesgos, todo encargado de TI tiene la responsabilidad de mitigar al máximo los riesgos 
potenciales, por lo tanto, en el siguiente trabajo desglosaremos las partes más importantes 
de este tema, con la intención de esclarecerlo para el lector. 
1. ¿Qué es un riesgo, amenaza y suposición? 
Riesgo 
El diccionario de la Real Academia Española (1992), define el riesgo como: contingencia o 
proximidad de un daño. 
El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose 
una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta 
vulnerabilidad frente a una determinada amenaza. 
El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza 
se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El 
producto de estos factores representa el riesgo. [6] 
El peligro es una condición o característica intrínseca que puede causar lesión o 
enfermedad, daño a la propiedad y/o paralización de un proceso, en cambio, el riesgo es la 
combinación de la probabilidad y la consecuencia de no controlar el peligro. 
Amenaza 
Se conoce como amenaza al peligro inminente, que surge, de un hecho o acontecimiento 
que aún no ha sucedido. 
Es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad. 
Es un fenómeno, actividad humana o condición peligrosa que puede ocasionar daño u otros 
impactos negativos. La amenaza se determina en función de la intensidad y la frecuencia. 
[4] 
Suposición 
Suposición es la realización de conjeturas (Por conjetura se entiende el juicio que se forma 
de las cosas o sucesos por indicios u observaciones) sobre alguna cosa que se propone 
con base en indicios o analogías frente a hechos o causas similares.[5] 
 
IT - Governence | Equipo 4 
 
3 
 
2. ¿Cómo se administran los riesgos de las tecnologías de la información? Las 
tecnologías de la información han permitido comunicar de una forma más rápida y 
eficiente a las personas y organizaciones, sin embargo, esta ventaja trae consigo una 
responsabilidad en su gestión, hago referencia no solo en los procesos que se hacen 
para desarrollar dichas tecnologías de forma más segura, que es lo que nos compete 
hoy, si no también la responsabilidad que tenemos como usuarios de estas 
tecnologías. Por lo tanto, podremos visualizar de mejor manera estos puntos, si los 
desglosamos: 
• Identificación de riesgos: Un punto importante es reconocer las 
vulnerabilidades, amenazas y/o riesgos de estas tecnologías. 
• Análisis cualitativo: No es preciso y funciona como filtro para los riesgos, y 
se utiliza cuando se necesita inmediatez en los resultados. 
• Análisis cuantitativo: Es un proceso mucho más tardado y preciso, para 
realizarlos, se recurre a sistemas específicos de análisis cuantitativo de 
riesgos, como pueden ser simulaciones matemáticas, entre las que destaca la 
de Montecarlo o se puede recurrir a un árbol de decisiones. 
• Planificación de respuesta ante el riesgo: También llamado plan de 
contingencia, esto permite concentrarse en la prevención, para evitar su 
aparición; transferirlos a agentes externos o mitigar sus efectos, en el caso de 
que finalmente ocurran. 
• Monitorización de los riesgos: Para poder prever la aparición de un riesgo 
es necesario conocer signos de alarma que permitan anticiparse a él. Si esto 
no es posible, al menos, se deben poseer mecanismos de monitorización de 
los proyectos con los que se pueda conseguir detectar un riesgo en el mismo 
momento en el que se presenta. [2] 
3. ¿Qué frameworks nos dan los lineamientos para implementar la evaluación de los 
riesgos? 
El framewok NIST proporciona un lenguaje común para comprender, gestionar y expresar 
el riesgo de ciberseguridad tanto internamente como externamente. Se puede usar para 
ayudar a identificar y priorizar acciones para reducir el riesgo de ciberseguridad, y es una 
herramienta para alinear los enfoques de políticas, negocios y tecnología para manejar 
dicho riesgo. Se puede usar para administrar el riesgo de ciberseguridad en todas las 
organizaciones o se puede enfocar en la entrega de servicios críticos dentro de una 
organización. Los diferentes tipos de entidades, incluidas las estructuras de coordinación 
del sector, las asociaciones y las organizaciones, pueden usar el framewok NIST para 
diferentes propósitos, incluida la creación de Perfiles comunes. 
 
Definiciones y conceptos clave 
La intención de este organizador gráfico es que visualmente podamos identificar rápida e 
intuitivamente los conceptos intrínsecos de la gestión de los riesgos de las tecnologías de 
la información. 
IT - Governence | Equipo 4 
 
4 
 
 
 
IT - Governence | Equipo 4 
 
5 
 
 
Administración de los riesgos de las tecnologías de la información 
La intención de este organizador gráfico es que visualmente podamos identificar rápida e 
intuitivamente el proceso de identificación de riesgos al utilizar TIC´s en una organización 
y/o proyecto; después como se gestionan dichos riesgos con la intención de mitigarlos. 
 
IT - Governence | Equipo 4 
 
6 
 
Frameworks para la evaluación de riesgos 
La intención de este organizador gráfico es que visualmente podamos identificar rápida e 
intuitivamente los entornos de trabajo más eficientes para la administración y gestión de las 
tecnologías de la información. 
 
Conclusiones 
Los riesgos son inevitables en todo proyecto, el verdadero problema esta en minimizarlos o 
sencillamente no atenderlos, ya que siempre va a ser mejor reconocerlos, es decir, 
identificarlos, clasificarlos, monitorearlos y tener un plan de contingencia en caso de dichos 
riesgos se conviertan en desastre; sin embargo, muchas empresas trabajan sin estas 
consideraciones. Ya que se ha entendido su importancia vemos que el proceso se divide de 
manera general en primero identificar los riesgos potenciales, después analizarlos 
cualitativa y cuantitativamente, luego realizar un plan de contingencia y por último 
monitorear las alarmas y señales que pueden detonar dichos riesgos. Vemos que el proceso 
de manera general, sin embargo en la practica esto no es trivial, ya que es un proceso 
iterativo que lleva muchas consideraciones, por lo tanto, es imperativo comenzar a trabajar 
en estos apartados en los proyectos que realizamos; afortunadamente existen algunos 
frameworks que nos ayudan a implementar estas practicas. 
 
 
IT - Governence | Equipo 4 
 
7 
 
Referencias 
 [2] Titulo: Las 6 fases para controlar el riesgo. Autor: ITM Platform. 2010. Link: 
https://www.itmplatform.com/es/blog/las-6-fases-para-controlar-el-riesgo/ 
 
[3] Cómo implantar el Framework NIST. (2018, 25 julio). CIBERSEGURIDAD .blog.https://ciberseguridad.blog/como-implantar-el-framework-nist/ 
[4] Definición de Riesgo CIIFEN. Available at: https://ciifen.org/definicion-de-riesgo/ 
(Accessed: November 10, 2022). 
[5] Suposición.pdf. Available at: 
https://www.coursehero.com/file/64424793/Suposici%C3%B3npdf/ (Accessed: November 
10, 2022). 
[6] Amenaza vs vulnerabilidad (2021) INCIBE. Available at: https://www.incibe.es/protege-
tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian (Accessed: November 
10, 2022). 
 
 
 
https://www.itmplatform.com/es/blog/las-6-fases-para-controlar-el-riesgo/
https://ciberseguridad.blog/como-implantar-el-framework-nist/