Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
05 2017 NOTA LEGAL El presente documento de trabajo ha sido incluido dentro de nuestro repositorio de literatura gris por solicitud del autor, con �nes informativos, educativos o académicos. Asimismo, los argumentos, datos y análisis incluidos en el texto son responsabilidad absoluta del autor y no representan la opinión del Fondo Editorial o de la Universidad. DISCLAIMER This coursework paper has been uploaded to our grey literature repository due to the request of the author. This document should be used for informational, educational or academic purposes only. Arguments, data and analysis included in this document represent authors’ opinion not the Press or the University. GESTIÓN DE RIESGOS DE TI Máximo Miguel Arteaga-Martínez Universidad Cooperativa de Colombia Sede Montería Documentos de docencia | Course Work coursework.ucc.edu.co N.° 05, octubre de 2017 doi: https://doi.org/10.16925/greylit.2073 BY NC ND Este documento puede ser consultado, descargado o reproduci- do desde nuestro repositorio de documentos de trabajo (http:// coursework.ucc.edu.co) para uso de sus contenidos, bajo la li- cencia de Creative Commons Reconocimiento-No Comercial-Sin Obra Derivada 4.0 Internacional. http://creativecommons.org/ licenses/by-nc-nd/4.0/ Acerca del autor Máximo Miguel Arteaga-Martínez, candidato a Magister en gestión de ti, Máster en Derecho de Internet y de las Nuevas Tecnologías de la Comunicación, profesor auxiliar del programa de Ingeniería de Sistemas, Universidad Coo- perativa de Colombia, sede Montería, Colombia. Correo electrónico: maximo.arteaga@campusucc.edu.co Cómo citar este documento M. M. Arteaga Martínez. Gestión de riesgos de ti. (Documen- to de docencia N° 5). Bogotá: Ediciones Universidad Coo- perativa de Colombia, 2017. Doi: https://doi.org/10.16925/ greylit.2073 TABLA DE CONTENIDO Introducción 5 1. Conceptos generales 6 2. Normas, estándares y marcos de referencias 8 3. Gestión de riesgo 11 4. Análisis de riesgo 13 5. Evaluación y valoración de riesgos 15 6. Escenario de riesgo de ti 16 7. Actividades a desarrollar en la gestión de riesgos de ti 17 8. Mapa de riesgos 20 9. Conclusiones 26 10. Actividad 27 Referencias 28 Tabla 1. Inventario de activo de información, tipo hardware, software y servicios 20 Tabla 2. Identificación de riesgos inherentes y residuales 21 Tabla 3. Parámetros de probabilidad de ocurrencia de la amenaza 21 Tabla 4. Parámetros de impacto de la amenaza 22 Tabla 5. Valoración de riesgos 22 Tabla 6. Criterios de aceptabilidad del riesgo 22 Tabla 7. Valoración de riesgos de los escenarios de riesgos 23 Tabla 8. Plan de tratamiento de riesgos 24 Tabla 9. Nivel de riesgo residual 25 ÍNDICE DE TABLAS GESTIÓN DE RIESGOS DE ti RESUMEN El uso de las tecnologías de información y comuni- cación (tic) ha aumentado considerablemente en los últimos años, a tal punto que no se concibe una organización sin que haga uso de estas en sus pro- cesos de negocio. Como consecuencia de la masifi- cación del uso de las tic en las organizaciones ha surgido una serie de amenazas que atentan contra la seguridad, la confidencialidad, la disponibilidad y la autenticidad de la información, lo cual pone en riesgo la continuidad del negocio. De allí la impor- tancia de la gestión de riesgos de las tecnologías de la información (ti) en las organizaciones, dado que esto permite a estas gestionar de forma apropia- da las diferentes amenazas a las que pueden verse abocadas a través de una política de gestión y tra- tamiento de los riesgos de ti. Palabras clave: amenaza, análisis de riesgo, esce- nario de riego, riesgo, vulnerabilidad. 05 Máximo Miguel Arteaga-Martínez Nota de clase · 5 Introducción El uso de las tecnologías de la información se ha intensificado en las organizaciones. Sin importar su naturaleza y actividad, estas se encuentran en constante evolución y se adap- tan a las nuevas necesidades de las empresas, lo que da lugar a otras tecnologías relaciona- das con su operación diaria. Adicionalmente, su masificación las ha convertido en blanco de ataques y vías para llevarlos a cabo, de modo que los riesgos asociados a las ti se intensifi- can y transforman, por lo cual se hace necesa- rio crear y adaptar constantemente los medios y métodos utilizados para conservar la seguri- dad, la integridad, la disponibilidad, la autenti- cidad y evitar el no repudio de la información que las organizaciones quieren proteger [1]. Algunas de las normas, estándares y mar- cos de referencia para la gestión de riesgos son: ntc-iso 31000, margerit v3, nist sp 800, ntc 5254, iso/iec 27000, iso/iec 27001, iso/ iec 27002, iso/iec 27003, iso/iec 27004, iso/ iec 27005, iso/iec 27006, iso/iec 27007, iso/iec tr 27008, iso/iec 27010, iso/iec 27011, iso/iec 27013, iso/iec 27014, iso/iec tr 27015, iso/iec tr 27016, itil v3, cobit 5. Esta nota de clase se encuentra organizada de acuerdo con los siguientes temas: 1. Conceptos generales: en esta apartado se exponen algunos conceptos básicos sobre la gestión de riesgos; 2. Normas, estándares y marcos de referencias: se describen de forma breve algunas normas, estándares y marcos de referencia para la ges- tión de riesgo; 3. Análisis de riesgo: tiene como propósito determinar los componentes de un sistema que requieren protección; 4. Evaluación y valoración de riesgos: se identifican eventos que podrían afectar negativamente a los acti- vos críticos de la organización, y la evaluación que permite a la organización tomar decisiones sobre la categoría en la cual se encuentran, a fin de determinar la prioridad en el tratamiento que se les debe dar a los riesgos identificados; 5. Los escenarios de riesgos: se identifica y eva- lúa el impacto potencial o residual que puede llegar a tener un incidente, y se identifican los actores involucrados, el tipo de amenaza, la acción que describe el escenario, los activos o recursos involucrados y la duración de la inci- dencia; 6: Actividades a desarrollar en la gestión de riesgos de ti: se describen las actividades que se deben desarrollar según distintos autores; 7. Mapa de riesgo: se describen un paso a paso para diseñar un mapa de riesgos; y 8. Conclu- siones y actividad: propuesta para desarrollar durante el semestre. El curso tiene como propósito conocer cómo gestionar los riesgos de tecnología de infor- mación (ti) en las organizaciones. Para esto se introduce al estudiante en la fundamentación conceptual de la gestión de riesgos de ti, lo cual le proporciona un dominio sobre las terminolo- gías técnicas empleadas en esta disciplina, y le permite explicar el impacto de los riesgos de las ti en las organizaciones, ser capaz de diag- nosticar escenarios de riesgos y proponer polí- ticas de administración para estos, al adoptar modelos, estándares, herramientas y buenas prácticas para la gestión de riesgos de ti. Al finalizar el módulo y realizar la actividad pro- puesta en el orden establecido, los estudiantes desarrollarán un informe para una organización real o ficticia, en el cual realizarán el inventario de activo de información tipo hardware, soft- ware y servicios de ti. Asimismo, identificarán y clasificarán los riesgos en riesgos inherentes y riesgos residuales, diseñarán los escenarios de riesgos y propondrán políticas de adminis- tración de los riesgos de ti encontrados. El curso desarrolla las competencias que per- miten diseñar soluciones tecnológicas para la gestión de la información, las redes y la conectividad en las organizaciones, mediante la adopción de modelos, estándares, herra- mientas y buenas prácticas de gestión de ries- gos de ti. Lo anterior por medio de: el análisis de riesgo de ti, la evaluación y valoración de riesgos de ti, los escenarios de riesgos de ti, y el plan de implementación de las acciones de tratamiento de riesgos. 6 · Serie documentos de docencia 1. Conceptos generales Este apartado se propone introducir al estu- diante en la generalidad de riesgo,el riesgo de ti, la amenaza, la vulnerabilidad, los acti- vos críticos, los delitos informáticos, el fraude informático, el gobierno, el riesgo y cumpli- miento, y los conceptos fundamentales en la gestión de riesgos de ti. 1.1 RIESGO Y RIESGOS EN ti Un riesgo se puede definir como la probabi- lidad de que una amenaza se materialice a causa de una vulnerabilidad, lo cual afecta los activos críticos de una organización [2]. Evento que, de ocurrir, afecta de forma neg- ativa el logro de un cierto objetivo, y puede, además, impedir la creación de valor para la organización o erosionar el valor existente [4]. Asimismo, se puede definir riesgo como la posibilidad de que algo que ocurra e impacte negativamente sobre la información o sobre los recursos para gestionarla [5]. O bien, como la posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad, con el fin de causar una pérdida o un daño en un activo de información [6]. El riesgo es la probabili- dad de un evento y sus consecuencias [7]; es la probabilidad de que suceda la amenaza o evento no deseado [8]. Ahora bien, un riesgo de ti es también un riesgo del negocio, riesgos del negocio asocia- dos con el uso, la propiedad, la operación, la participación, la influencia y la adopción de las ti en una organización. Se compone de los eventos relacionados con ti que potencial- mente podrían afectar el negocio. Este hecho puede ocurrir con una frecuencia y magnitud inciertas, y supone dificultades para alcanzar las metas y objetivos estratégicos [9]. 1.2 AMENAZA Una amenaza es una condición del entorno organizacional relacionado con las tecnolo- gías de la información, que ante determinada circunstancia podría ser una fuente de desas- tre informático y afectar a los activos de la compañía [10]. Es también la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema; en el caso de la seguridad informática, en los elementos de información [11]. 1.3 VULNERABILIDAD Situación generada por la falta de controles que permitan concretar una amenaza, y el riesgo es la posibilidad de que una amenaza se materialice y produzca un impacto en la organización [10]. La vulnerabilidad es la capacidad, las condi- ciones y las características del sistema mismo (incluyendo la entidad que lo maneja), que lo hacen susceptible a amenazas, con el resul- tado de sufrir algún daño. En otras palabras, es la capacitad y la posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño [11]. 1.4 ACTIVOS CRÍTICOS Son todos aquellos bienes materiales e inma- teriales que, al ser deteriorados, perdidos, divulgados sin autorización, etc., perjudican el patrimonio organizacional. 1.5 DELITO INFORMÁTICO Figura delictiva tipificada por la ley, en la que, haciendo uso de sistemas informáticos, se atenta contra la integridad, la disponibilidad Nota de clase · 7 y la confidencialidad de los datos y contra los sistemas informáticos. En Colombia, la Ley 1273 de 2009 tipifica los delitos informáticos y establece la protección de la información y de los datos como un bien jurídico tutelado.1 1.6 FRAUDE CIBERNÉTICO E INFORMÁTICO Se refiere al fraude realizado a través del uso de un computador o del Internet [12]. La ley federal define el fraude electrónico como el uso de una computadora con el objetivo de distorsionar datos para inducir a otra persona a que haga o deje de hacer algo que ocasiona una pérdida. La piratería informática (hacking) es una forma común de fraude: el delincuente usa herramientas tecnológicas sofisticadas para acceder a distancia a una computadora con información confidencial. 1 Véase http://www.mintic.gov.co/portal/604/w3-article-3705.html Otra forma de fraude involucra la intercep- ción de una transmisión electrónica. Esto puede ocasionar el robo de la contraseña, el número de cuenta de una tarjeta de crédito o de otra información confidencial sobre la identidad de una persona [12]. 1.7 GOBIERNO, RIESGO Y CUMPLIMIENTO (grc) Es un modelo de gestión que promueve la unificación de criterios, la coordinación de esfuerzos y la colaboración entre los diferen- tes órganos involucrados en la dirección de la organización a través de: la integración de los órganos responsables del gobierno, la administración y gestión de riesgos, el control interno y el cumplimiento; la asignación pun- tual de roles y la responsabilidades del per- sonal clave de los procesos de negocio; la for- malización de los canales de comunicación; la aplicación de un enfoque basado en riesgos; y la implementación de un programa de cum- plimiento [13, 14]. 8 · Serie documentos de docencia 2. Normas, estándares y marcos de referencias Algunas de las normas, estándares y marco de referencia para la gestión de riesgos son las siguientes. 2.1 ntc-iso 31000 Brinda los principios y las directrices genéri- cas sobre la gestión del riesgo. La puede uti- lizar cualquier empresa, es decir, no es espe- cífica para ninguna industria o sector, y se puede aplicar a cualquier tipo de riesgo, cual- quiera sea su naturaleza; suministra directri- ces genéricas para la gestión del riesgo. 2.2 Magerit v3 Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España. Analiza el impacto que puede tener para una organización la transgresión de la seguridad, y busca identificar las amenazas que pueden llegar a afectar la organización y las vulnera- bilidades que pueden ser utilizadas por estas amenazas, de manera que logra identificar las medidas preventivas y correctivas más apro- piadas. Presenta una guía completa y el paso a paso de cómo llevar a cabo el análisis de riesgos. Se encuentra dividida en tres libros: el primero hace referencia al método, en el cual se describe la estructura que debe tener el modelo de gestión de riesgos; el segundo es un catálogo de elementos, una especie de inventario que puede utilizar la organización a fin de enfocar el análisis de riesgo, y con- tiene: una división de los activos de informa- ción que deben considerarse, las característi- cas que deben tenerse en cuenta para valorar los activos identificados, y además un listado con las amenazas y controles que deben tam- bién tenerse en cuenta; el tercero es una guía de técnica que describe diferentes técnicas utilizadas con frecuencia en el análisis de riesgos; contiene ejemplos de análisis con tablas, algoritmos, árboles de ataque, análisis de costo beneficio, técnicas, gráficas y buenas prácticas para llevar adelante sesiones de tra- bajo en el análisis de los riesgos. 2.3 nist sp 800 Es un conjunto de documentos que describe las políticas de seguridad informática, los pro- cedimientos y las directrices publicados por el Instituto Nacional de Estándares y Tecnología. Contiene 130 documentos que proporcionan información sobre la gestión y las prácticas operativas de seguridad de la información. 2.4 ntc 5254 Ofrece unos requisitos generales para el esta- blecimiento e implementación del proceso de gestión del riesgo, lo que involucra la determi- nación del contexto y la identificación, el aná- lisis, la evaluación, el tratamiento, la comuni- cación y el monitoreo regular de los riesgos. 2.5 iso/iec 27000 Sistema de gestión de seguridad de la infor- mación. Visión general y vocabulario. 2.6 iso/iec 27001 Sistema de gestión de seguridad de la infor- mación. Requerimientos. 2.7 iso/iec 27002 Código de práctica para controles de seguri- dad de la información. 2.8 iso/iec 27003 Guía para la implementación del sistema de gestión de seguridad de la información. Nota de clase · 9 2.9 iso/iec 27004 Gestión de seguridad de la información. Medición. 2.10 iso 27005 Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de infor- mación, proporciona las directricespara la gestión de riesgos de seguridad de la infor- mación en una organización, y apoya, par- ticularmente, los requisitos del sistema de gestión de seguridad de la información defi- nidos en iso 27001; es aplicable a todo tipo de organizaciones. 2.11 iso/iec 27006 Requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 2.12 iso/iec 27007 Guía para la auditoría de sistemas de gestión de seguridad de la información. 2.13 iso/iec tr 27008 Guía para auditores sobre los controles de seguridad de la información. 2.14 iso/iec 27010 Gestión de seguridad de la información para comunicaciones intersectoriales e interorganizacionales. 2.15 iso/iec 27011 Guía de gestión de seguridad de la informa- ción para organizaciones de telecomunicacio- nes basado en la iso/iec 27002. 2.16 iso/iec 27013 Guía para la implementación integrada de la iso/iec 27001 y la iso/iec 20000-1. 2.17 iso/iec 27014 Gobierno de seguridad de la información. 2.18 iso/iec tr 27015 Guía de gestión de seguridad de la informa- ción para servicios financieros. 2.19 iso/iec tr 27016 Gestión de seguridad de la información. Eco- nomía de las organizaciones. 2.20 Itil v3 Es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relaciona- das con estas. Indica descripciones detalladas de un conjunto de procedimientos de ges- tión ideados con el fin de ayudar a las orga- nizaciones a lograr calidad y eficiencia en las operaciones de ti. Estos procedimientos son independientes del proveedor y se han desa- rrollado para servir como una guía que abar- que toda la infraestructura, el desarrollo y las operaciones de ti. Asegura una gestión de ser- vicios de ti eficiente, gracias al control y una posterior mejora continua del servicio. 2.21 Cobit 5 Es una guía de las mejores prácticas, dirigida al control y la supervisión de tecnología de la información (ti). La desarrolla la Informa- tion Systems Audit and Control Association (Isaca), y el it Governance Institute (it gi), y cuenta con una serie de recursos que pueden 10 · Serie documentos de docencia servir de modelo de referencia para la ges- tión de ti, incluyendo un resumen ejecutivo, un framework, objetivos de control, mapas de auditoría, herramientas para su imple- mentación y, principalmente, una guía de técnicas de gestión. La conforman varios mar- cos de referencias, entre ellos Risk it, un marco de referencia normativo basado en un con- junto de principios rectores para una gestión efectiva de riesgos de ti. Nota de clase · 11 3. Gestión de riesgo La gestión de riesgo permite analizar, valorar y clasificar los riesgos de ti en una organiza- ción con el fin de, posteriormente, establecer mecanismos para su tratamiento, control y monitoreo. La gestión de riesgos es una de las actividades más importantes de la dirección de ti y, en general, de todos los niveles organizacionales. Diversas amenazas pueden atacar las vulnera- bilidades de las tecnologías de la información y generar espacios de riesgo que se deben mitigar mediante el uso de controles y salvaguardas. Este aspecto constituye un reto creciente para las organizaciones, las cuales deben innovar de manera constante debido al surgimiento cre- ciente de modelos de negocio que traen consigo tecnologías más avanzadas y, con ello, amena- zas a su vez más avanzadas [2]. De acuerdo con Erb [11], la gestión de riesgo es un método que permite determinar, analizar, valorar y clasificar el riesgo, para, posterior- mente, implementar mecanismos mediante los cuales sea posible controlarlo. En su forma general presenta cuatro fases: • Análisis. Determina los componentes de un sistema que requiere protección, las vulne- rabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo. • Clasificación. Determina si los riesgos encontrados y los riesgos restantes son aceptables. • Reducción. Define e implementa las medi- das de protección. Además, sensibiliza y capacita a los usuarios en conformidad con las medidas. • Control. Analiza el funcionamiento, la efec- tividad y el cumplimiento de las medidas, a fin de determinar y ajustar las medidas deficientes y sancionar el incumplimiento. De acuerdo con el Ministerio de Educación [15], en términos generales, la gestión del riesgo se refiere a los principios y la metodolo- gía para la gestión eficaz del riesgo, mientras que gestionar el riesgo se refiere a la aplica- ción de estos principios y esta metodología a riesgos particulares. Por su parte, la admi- nistración del riesgo comprende el conjunto de elementos de control y sus interrelacio- nes, encaminado a que la institución evalúe e intervenga aquellos eventos, tanto inter- nos, como externos, que puedan afectar de manera positiva o negativa el logro de sus objetivos institucionales. Según De Oro [16], los riesgos inherentes a las organizaciones provienen de los siguientes factores: • Los recursos humanos. Tales como diferen- cias con los empleados o dependencias de personas clave para la organización, clima social en la compañía y política social, así como exposición al riesgo de conflictos con los sindicatos o los representantes de los empleados. • La regulación. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar y gestionar las obligaciones de cumplimiento normativo. • Los clientes. Se torna necesaria la identi- ficación de los puntos de conflicto con clientes de las áreas de la compañía más expuestas al fallo en el servicio al cliente, e incluso, de los tipos más significativos de riesgo reputacional. • El entorno. En este se encuadran las situa- ciones de riesgo más relevantes relacio- nadas con agentes externos (tormentas, inundaciones, terremotos, pandemias etc.). 12 · Serie documentos de docencia Una organización inteligente debe empezar por definir una función orientada a la ges- tión de riesgos que garantice la construcción de medidas y estrategias de actuación ante estos, y la cual genere, de manera consistente con los objetivos estratégicos, evaluaciones e informes que faciliten la comprensión y concienciación del personal sobre el impacto de los riesgos en los activos, en los procesos y en los servicios. La gestión de riesgos debe ser predictiva y no debe verse solo como un ejercicio para cumplir con un estándar o una normatividad [2]. Nota de clase · 13 4. Análisis de riesgo El análisis de riesgo permite identificar los acti- vos de ti que se encuentran expuestos en las organizaciones y requieren protección a fin de conservar su integridad, disponibilidad, con- fidencialidad y autenticidad, así como detec- tar las vulnerabilidades de estos activos y las amenazas que podrían afectarlas de forma negativa, con el propósito de valorar el grado de riesgo a que se encuentran expuestas. El primer paso en la gestión del riesgo es el aná- lisis de riesgo que tiene como propósito deter- minar los componentes de un sistema que requiere protección, las vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo [11]. El análisis de riesgo permite a las organiza- ciones detectar los eventos que pueden llegar a incidir de forma negativa sobre los activos. Mediante un adecuado análisis de riesgos se podrá determinar el impacto potencial y los recursos asociados a la recuperación, es decir, cuánto tiempo, dinero y personal es necesa- rio para garantizar la continuidad del servicio. De igual manera, el análisis de los riesgos per- mitirá especificar el conjunto de actividades encaminadas al control y la recuperación [3]. Asimismo, el análisis de riesgos implica su identificación, la evaluación de la probabili- dad de que el evento ocurra, y la definición de la gravedadde las consecuencias de ese evento. También podría ser útil realizar una evaluación de vulnerabilidad, lo que ayuda a identificar situaciones en las cuales la organi- zación podría ponerse en mayor riesgo al no llevar a cabo ciertas actividades [17]. Una vez identificadas las amenazas, las vul- nerabilidades y los activos críticos, y tan pronto sea diagnosticada la cultura organiza- cional en relación con el riesgo, se procederá a realizar la evaluación de la probabilidad de ocurrencia del riesgo y la gravedad de que acontezca [3]. También se deben identificar los controles que la organización aplica a fin de proteger y salvaguardar sus activos críti- cos, aunque estos sean empíricos y no estén formalizados. De acuerdo con Kirvan [17], una vez se identifican los riesgos y las vulnerabili- dades, se pueden considerar cuatro tipos de respuesta defensiva, las cuales se describen a continuación. 4.1 MEDIDAS DE PROTECCIÓN Estas son actividades diseñadas para redu- cir las posibilidades de que ocurra un evento dañino; un ejemplo son las cámaras de segu- ridad que permiten identificar visitantes no autorizados, y así avisar a las autoridades antes de que puedan causar algún daño. 4.2 MEDIDAS DE MITIGACIÓN Estas actividades están diseñadas con el fin de minimizar la gravedad de un evento, una vez que ha ocurrido. Dos ejemplos son los supresores de sobretensiones para reducir el impacto de la caída de un rayo, y los siste- mas de energía ininterrumpida que reducen las posibilidades de que los sistemas críticos dejen de funcionar abruptamente debido a un apagón o a un bajón de voltaje. 4.3 ACTIVIDADES DE RECUPERACIÓN Estas actividades sirven para traer de vuelta sistemas e infraestructura dañados, hasta un nivel en el que puedan soportar las operacio- nes de negocios. Un ejemplo son los datos crí- ticos almacenados fuera de planta que pue- den utilizarse con el fin de reiniciar las ope- raciones de negocios hasta un determinado punto en el tiempo. 14 · Serie documentos de docencia 4.4 PLANES DE CONTINGENCIA Estos documentos a nivel de procesos descri- ben lo que puede hacer una organización a raíz de un evento que pueda dañarla; por lo general, se activan sobre la base de la infor- mación del equipo de manejo de emergencias. El resultado del análisis de riesgos es un documento que contiene la matriz de eva- luación de la probabilidad del riesgo vs. sus consecuencias. Nota de clase · 15 5. Evaluación y valoración de riesgos La evaluación y valoración de riesgos de ti permite cuantificar los efectos negativos que puede ocasionar la ocurrencia de una ame- naza o evento en los activos de ti de la orga- nización, el tiempo que se requerirá para su recuperación o restablecimiento, así como determinar los controles a aplicar en el pro- pósito de erradicar o disminuir las probabili- dades de ocurrencia de dichas amenazas. La evaluación de riesgo debe ser capaz de ayu- dar a identificar eventos que podrían afectar negativamente a la organización. Esto incluye los daños potenciales que podrían causar tales eventos, la cantidad de tiempo necesa- ria para recuperar/restaurar las operaciones, y las medidas preventivas o los controles que deben mitigar las probabilidades de que esos eventos ocurran. La evaluación de riesgo tam- bién ayudará a determinar qué pasos podrían reducir la gravedad del evento [18]. La evaluación de riesgo inicia con la identifica- ción de los procesos de negocios más críticos de la organización. Para información de ame- nazas, se encuentran disponibles muchas fuentes, tales como: registros de la compa- ñía sobre eventos perjudiciales, registros de medios locales y nacionales, bibliotecas locales, organizaciones de primera respuesta (ante incidentes), datos históricos del Servicio Meteorológico Nacional, mapas geológicos, la experiencia de organizaciones de los accio- nistas clave, la experiencia de proveedores que hacen negocios con la firma, y agencias gubernamentales [17]. El producto de la evaluación de los riesgos debe permitir a la organización tomar decisio- nes sobre la categoría en la cual se encuen- tran, y así determinar la prioridad en el trata- miento que se les debe dar [3]. Al momento de realizar la evaluación de ries- gos es importante clasificar los riesgos que son causados por factores internos y exter- nos; en muchos casos, la mayor cantidad de riesgo encontrados en una organización los causan factores internos. 16 · Serie documentos de docencia Al comenzar un proceso de gestión del riesgo desde cero, un enfoque de arriba hacia abajo es una buena práctica, ya que permite enten- der cuáles son las principales unidades de información de las que depende una organi- zación, y así identificar sus fortalezas y debili- dades. Es conveniente que sea realizada por la capa más alta del negocio, pues si a todo esto se suman los tipos de eventos que podrían causar daño a la información, los lapsos de tiempo críticos y los eventos perjudiciales o actores que los desencadenarían, esto permi- tirá comprender cuán probable es que ciertas cosas sucedan y cuántas cosas podrían salir mal a la hora de gestionar los sistemas. Se trata, por tanto, de crear eventos que permi- tan identificar de forma concreta de ciertas acciones combinadas que sean un peligro real para la confidencialidad, la integridad o la dis- ponibilidad de la información de una organi- zación. El nombre corto de todo esto es identi- ficación de escenarios de riesgo [20]. 6. Escenario de riesgo de ti El escenario de riesgo representa la interac- ción de los diferentes factores de riesgos, es decir, una consideración detallada de las amenazas y las vulnerabilidades a que pue- den verse expuestos los activos de una orga- nización, lo que aporta una base para la toma de decisiones sobre la política del tratamiento de los riesgos de ti. En este escenario se iden- tifica y evalúa el impacto potencial o residual que pueda llegar a tener un incidente. Un escenario de riesgo debe identificar los actores involucrados, el tipo de amenaza, la acción que describe el escenario, los activos o recursos involucrados y la duración de la inci- dencia [3]. Los escenarios de riesgos describen, de manera general, las condiciones probables de daños y pérdidas que pueden sufrir los activos de ti, ante la ocurrencia de eventos, de acuerdo con su intensidad, magnitud y frecuencia, así como las condiciones de fragilidad y resilien- cia de los activos expuestos [19]. Nota de clase · 17 7. Actividades a desarrollar en la gestión de riesgos de ti Las actividades se refieren a todas aquellas tareas o acciones que se deben emprender en una organización para gestionar adecua- damente los riesgos de ti. De acuerdo con Guerrero y Gómez [10], para la gestión de riesgos de ti se deben realizar las siguientes actividades. 7.1 ACTIVIDAD 1. ESTABLECER EL CONTEXTO ORGANIZACIONAL Clarificar la estrategia de la organización en términos de los sistemas de información, con el fin de especificar aquellos que apoyan los procesos de negocio. De igual manera, se debe determinar la información sensible y especifi- car los roles de los actores y sus responsabi- lidades en el uso de sistemas de información. La información sensible es aquella informa- ción, así definida por su propietario, cuya revelación, alteración, pérdida o destrucción puede producir daños importantes a la orga- nización propietaria de esta información [21]. 7.2 ACTIVIDAD 2. IDENTIFICAR LOS ACTIVOS CRÍTICOS EN LOS DIFERENTES ESPACIOS DE LA ORGANIZACIÓN Catalogar los activos y la información sensible con el fin de relacionarlos con los niveles de riesgo y con los criterios de la seguridad de los sistemas de información (la disponibilidad, autenticidad, integridad y confidencialidad). 7.3 ACTIVIDAD 3. IDENTIFICAR Y EVALUAR LAS AMENAZAS Y VULNERABILIDADES DE LOS ACTIVOS Detectar y evaluar las condiciones del entorno del sistema de información que, ante una determinadacircunstancia, podrían dar lugar a una violación de seguridad, afectando a alguno de los activos de la compañía y a aquellos hechos o actividades que permitirían concretarlas. 7.4 ACTIVIDAD 4. DISEÑAR ESCENARIOS DE RIESGO EN TÉRMINOS DE SU IMPACTO ORGANIZACIONAL Diseñar escenarios en los cuales se posibilita- ría la existencia de los riesgos. Esta actividad permite ponderar el impacto organizacional que cada uno de los escenarios tendría en los activos del negocio. 7.5 ACTIVIDAD 5. DISEÑAR ESTRATEGIAS DE TRATAMIENTO Y PROTECCIÓN BASADAS EN ESTÁNDARES Y BUENAS PRÁCTICAS Seleccionar alternativas de mitigación que mejoren la seguridad de la organización mediante la reducción del riesgo. 7.6 ACTIVIDAD 6. DOCUMENTAR LOS RESULTADOS Y REVISAR CASOS Realizar seguimiento y desarrollar un apren- dizaje de los casos de estudio generados a par- tir de la documentación de los resultados de la gestión. 7.7 ACTIVIDAD 7. MONITOREAR Y CONTROLAR Contrastar los resultados obtenidos con las especificaciones de mejoramiento, a fin de generar nuevas estrategias o nuevas defini- ciones de espacios de riesgo. De acuerdo con el Ministerio de Educación [15], las actividades a desarrollar para la ges- tión de riesgos de ti son las que se describen a continuación. 18 · Serie documentos de docencia 7.8 ACTIVIDAD 1: CONTEXTO ESTRATÉGICO Son las condiciones internas y del entorno que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y objetivos de una institución. 7.9 ACTIVIDAD 2: CONTEXTO ESTRATÉGICO El contexto estratégico son las condiciones internas y del entorno que pueden generar eventos que originan oportunidades o afectan negativamente el cumplimiento de la misión y los objetivos de una organización. 7.10 ACTIVIDAD 3: IDENTIFICACIÓN DE RIESGOS Proceso que permite determinar lo que puede suceder, por qué y cómo impactaría en la organización. Posibilita conocer los eventos potenciales, estén o no bajo el control de la organización, y qué pone en riesgo el logro de su misión. 7.11 ACTIVIDAD 4: ANÁLISIS DE RIESGOS El análisis de riesgos comprende: • Determinar el origen de los proble- mas identificados (causas/fallas o insuficiencias). • Establecer las posibles consecuencias de la materialización del riesgo identificado. • Clasificar el tipo de riesgo de acuerdo con las categorías definidas. 7.12 ACTIVIDAD 5: VALORACIÓN DE RIESGOS La valoración de riesgos comprende: • Establecer el impacto y la probabilidad de ocurrencia de acuerdo con los criterios definidos para la organización. • Conocer el nivel de riesgo inherente al cual está expuesta la organización. • Evaluar la solidez de los controles establecidos. • Establecer el nivel de riesgo residual al cual está expuesta la organización. 7.13 ACTIVIDAD 6: POLÍTICAS DE ADMINISTRACIÓN DE RIESGOS Identificar las opciones para mitigar o tratar los riesgos, realizar la evaluación de dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin embargo, la organización puede decidir aceptar el riesgo sin tomar acciones adicionales. Entre las posibles estrategias que se pueden esta- blecer como políticas para la administración de riesgo, se tienen: transferirlo, reducirlo, evitarlo o aceptarlo. 7.14 ACTIVIDAD 7: MONITOREO Y REPORTE DE RIESGOS La gestión integral de riesgos es un proceso permanente que permite responder a los cam- bios que se presentan en el entorno donde la organización desarrolla sus actividades. Los objetivos clave del monitoreo de riesgos son: • Detectar cambios en los riesgos de la orga- nización a través del paso del tiempo o nuevas amenazas o riesgos. • Evaluar la solidez de los controles o medi- das para el tratamiento de los riesgos y su posible optimización, si fuera el caso. • Evaluar el proceso de administración de riesgos y su posible optimización, si fuera necesario. Integral de riesgos. Nota de clase · 19 • Definir indicadores de desempeño, indi- cadores de control e indicadores de riesgo necesarios para monitorear el nivel de exposición de la organización. • Formular y realizar seguimiento a los pla- nes de tratamiento o mitigación definidos, con el fin de verificar su implementación en trabajo conjunto con los dueños de proceso a través de la autoevaluación, el desarrollo organizacional, y quien rea- liza un plan de seguimiento a través de auditorías. • Registro de eventos de riesgo y reportes necesarios para analizar su comporta- miento y la toma de decisiones. 20 · Serie documentos de docencia 8. Mapa de riesgos Es una herramienta que permite organizar la información sobre los riesgos de las organiza- ciones y visualizar su magnitud, con el fin de establecer las estrategias adecuadas para su manejo [22]. Contribuye al objetivo general de superviven- cia de la organización, y aporta la información precisa para medir y controlar esa exposición, y poner en práctica un modelo de gestión proactiva del riesgo [22]. Este mapa tiene por objeto mostrar gráfica- mente el diagnóstico del proceso de evalu- ación de riesgos en una fecha dada. Se deter- mina mediante la interacción de la probabil- idad o frecuencia del impacto de los tipos de riesgos en los diferentes procesos, actividades o funciones de un negocio [24]. Según Rodríguez, Piñeiro y de Llano [23], la finalidad de un mapa de riesgo es identificar y medir los riesgos a los que está expuesta la organización, proporcionar una visión analítica de las relaciones de causalidad sub- yacentes (cuáles son los procesos o activi- dades que causan esta exposición), y aportar una visión amplia de la exposición global de la organización. Es una cartografía de los lugares en los que radica el riesgo y las vías a lo largo de las cuales este riesgo puede manifestarse. Para la elaboración del mapa de riesgo se siguió el procedimiento que se describe a continuación. 8.1 INVENTARIO DE ACTIVO DE INFORMACIÓN La identificación del inventario de activos de información permite clasificar los activos a los que se les debe brindar protección. Esta actividad se realizará de acuerdo con el for- mato de la tabla 1. TABLA 1. Inventario de activo de información, tipo hardware, software y servicios Nombre del activo de información Descripción del activo de información Tipología Clasificación del activo de información Estado y custodia Crítico para operaciones internas El activo es crí- tico para servi- cios a terceros So ftw ar e Ha rd w ar e Se rv ic io s Ba jo M ed io Al to Ba jo M ed io Al to Custodio del activo Localización del activo Fuente: [25] 8.2 IDENTIFICAR Y CLASIFICAR LOS RIESGOS EN RIESGOS INHERENTES Y RIESGOS RESIDUALES 8.2.1 Un riesgo inherente Es el riesgo intrínseco de cada actividad, sin tener en cuenta los controles que de estos se hagan en su interior. Este riesgo surge de la exposición que se tenga a la actividad en par- ticular, y de la probabilidad de que un choque negativo afecte la rentabilidad y el capital de la compañía [26]. Nota de clase · 21 8.2.2 Riesgo residual Es aquel riesgo que subsiste después de haber implementado controles. Es impor- tante advertir que el nivel de riesgo al que está sometida una organización nunca puede erradicarse totalmente. Por tanto, se debe buscar un equilibrio entre el nivel de recur- sos y los mecanismos que es preciso dedicar para minimizar o mitigar estos riesgos, y un cierto nivel de confianza que se puede consi- derar suficiente (nivel de riesgo aceptable). El riesgo residual puede verse como aquello que separa a la organización de la seguridad abso- luta [26]. Para desarrollar esta actividad se sugiere la tabla 2. TABLA 2. Identificación de riesgos inherentes y residuales Amenazas Vulnerabilidades Riesgo Tipo de riesgo Explicación-justificación Hackers Software desactualizado o mal configurado Acceso lógico no autorizado Inherente Todo sistema con acceso desde Internet estáexpuesto a acceso lógico no autorizado, aun cuando se hayan establecidos políticas y con- troles para evitarlo. Residual De acuerdo con la vulnerabilidad establecida, el riesgo se acentúa como una consecuencia de una mala configuración o no actualización del software, es decir, la no aplicación apro- piada de las políticas y controles establecidos. Fuente: elaboración propia Se sugiere consultar el “Libro 2. Catálogo de elementos”, capítulo 5 del texto Magerit versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información [27]. Este presenta un catálogo de amenazas posibles sobre los activos de un sistema de información, y sirve de guía y orientación inicial. 8.3 DETERMINAR LOS PARÁMETROS DE PROBABILIDAD Para esta nota de clase, bajo el criterio de pro- babilidad, el riesgo se debe medir a partir de las especificaciones presentadas en la tabla 3, mas no es la única forma de hacerlo. TABLA 3. Parámetros de probabilidad de ocurrencia de la amenaza Probabilidad Descripción 5 Alta, certera 4 Mayor, probable, esperado que ocurra 3 Posible, se espera que no ocurra regularmente 2 No esperado, pero podría ocurrir algunas veces 1 Remoto, puede ocurrir en circunstancias excepcionales Fuente: Adaptada de [28] 22 · Serie documentos de docencia 8.4 DETERMINAR LOS PARÁMETROS DE IMPACTO Para esta nota de clase, bajo el criterio de impacto, el riesgo se debe medir a partir de las especificaciones dadas en la tabla 4, mas no es la única forma de hacerlo. TABLA 4. Parámetros de impacto de la amenaza Impacto Descripción Confidencialidad Integridad Disponibilidad 1 Nula Pública Se puede reparar fácilmente. No afecta 2 Baja Reservada (uso interno) Se puede reparar, aunque puede dejar algunas pérdidas. Durante un periodo de tiempo no menor a una semana podría causar pérdidas significativas. 3 Media Reservada (confidencial) Es difícil su reparación y puede dejar pérdidas irreparables. Durante un periodo de tiempo no menor a un día podría causar pérdidas significativas. 4 Alta Reservada (secreto) No puede repararse dejando grandes pérdidas. Durante un periodo de tiempo no menor a una hora podría causar pérdidas significativas. Fuente: Adaptada de [28] 8.5 VALORACIÓN DE LOS RIESGOS Para determinar la valoración de los riesgos, se establece una matriz de [5*4], en la que los valores de la columna 1 los conforman los parámetros de probabilidad de ocurrencia de una amenaza especificados en la tabla 3, los valores de la fila 1 corresponden a los paráme- tros de impacto de la amenaza especificados en la tabla 4, y la intercepción de cada celda es el producto de la probabilidad por el impacto, tal como se observa en la tabla 5. TABLA 5. Valoración de riesgos Nula Baja Media Mayor 1 2 3 4 Impacto No Esperado 2 2 4 6 8 Remoto 1 1 2 3 4 Mayor 4 4 8 12 16 Posible 3 3 6 9 12 VALORACIÓN DEL RIESGO Alta 5 5 10 15 20 P ro ba bi lid ad d e O cu rre nc ia Fuente: elaboración propia 8.6 CRITERIOS DE ACEPTABILIDAD Con base en la tabla 5 se establecen los crite- rios de aceptabilidad del riesgo que se descri- ben en la tabla 6. TABLA 6. Criterios de aceptabilidad del riesgo Criterios Descripción Aceptable Valoración entre 1 y 5 Tolerable Valoración entre 6 y 9 Inaceptable Valoración entre 10 y 14 Inadmisible Valoración entre 15 y 20 Fuente: Adaptada de [28] 8.7 ESTIMAR EL NIVEL DE RIESGO INICIAL DE LOS ESCENARIOS DE RIESGOS IDENTIFICADOS Se asigna a cada escenario de riesgo un valor para la probabilidad de ocurrencia de acuerdo con la tabla 3, y un valor para los parámetros de impacto de la amenaza según la tabla 4. El resultado de multiplicar estos dos valo- res determina la valoración del riesgo y, por ende, se establece el criterio de aceptabilidad del riesgo de acuerdo con lo establecido en la tabla 6. El resultado de este ejercicio se apre- cia en la tabla 7. Nota de clase · 23 TABLA 7. Valoración de riesgos de los escenarios de riesgos Escenario de riesgos Control Probabilidad Impacto Valoración Fuego Póliza de seguro contra incendio 2 4 8 Acceso no autorizado Usuarios y claves de acceso 4 3 12 Divulgación de información No aplican 5 3 15 Fuente: elaboración propia 8.8 TRATAMIENTO DE LOS RIESGOS Para el tratamiento de los riesgos se tienen las siguientes alternativas: • Evitar el riesgo. Tomar las medidas enca- minadas a prevenir su materialización. • Reducir el riesgo. Tomar medidas encami- nadas a disminuir, tanto la probabilidad (medidas de prevención), como el impacto (medidas de protección). • Transferir o compartir el riesgo. Reduce su efecto por medio del traspaso de las pér- didas a otras organizaciones, como en el caso de los contratos de seguros o a tra- vés de otros medios que permiten distri- buir una porción del riesgo con otra orga- nización, como en los contratos a riesgo compartido. • Asumir el riesgo. Luego de que el riesgo ha sido reducido o transferido puede quedar un riesgo residual que se mantiene. En este caso, el gerente del proceso simple- mente acepta la pérdida residual probable y elabora planes de contingencia para su manejo. El plan de tratamiento de los riesgos se repre- senta en la tabla 8, en la cual se especifica el riesgo, lo que viene a ser el escenario de riesgo descrito en la tabla 2, columna riesgos, las recomendaciones de control que se sugie- ren aplicar para tratar el riesgo, y se indica la priorización de las acciones que puede ser: alta, moderada, media o baja; se seleccionan los controles a aplicar de la lista de contro- les sugeridos luego de realizar un análisis exhaustivo a fin de escoger los más indicados, de acuerdo con el tipo de amenaza y las carac- terísticas de la organización seleccionada, se describen los recursos que se deben tener en cuenta para la implementación o aplicación de los controles seleccionados, se establece el o los responsables, así como el control de tiempo y, de manera opcional, se indican algunos comentarios u observaciones. 24 · Serie documentos de docencia TA BL A 8. P la n de tr at am ie nt o de ri es go s Ri es go Re co m en da ci on es d e co nt ro l Pr io riz a- ci ón d e la s ac ci on es Se le cc ió n de c on tr ol Re cu rs os Re sp on sa bl e Co nt ro l d e tie m po Co m en ta rio s Ac ce so l óg ic o no au to riz ad o 1. C on tro l d e au te nt ic ac ió n de u su a- rio p ar a co ne xi on es e xt er na s. 2. C on tro l d e ge st ió n de p riv ile gi os . 3. C on tro l d e ge st ió n de c on tra se - ña s pa ra u su ar io s. 4. C on tro l d e us o de c on tra se ña s. 5. C on tro l d e po lít ic as d e us o de lo s se rv ic io s de re d. 6. C on tro l d e pr ot ec ci ón d e lo s pu er - to s de c on fig ur ac ió n y di ag nó st i- co s re m ot o. 7. Co nt ro l d e id en tifi ca ci ón y a ut en - tifi ca ci ón d e us ua rio s. 8. C on tro l d e si st em a de g es tió n de co nt ra se ña s. 9. C on tro l p ar a tra ba jo re m ot o. M uy a lta 1. C on tro l de au te nt ic a- ci ón d e us ua rio p ar a co ne xi on es e xt er na s. 2. C on tr ol d e ge st ió n de pr iv ile gi os . 3. C on tr ol d e pr ot ec ci ón de lo s pu er to s de c on - fig ur ac ió n y di ag nó st i- co s re m ot o. El s er vi do r de be e st ar bi en co nfi gu ra do co n co rt af ue go a ni ve l fís ic o y ló gi co , c on a nt i- vi ru s ac tu al iz ad o y bi en co nfi gu ra do , co nt ro le s a lo s pe rfi le s de u su a- rio s ad m in is tra do re s. Ad m in is tra do r de l se rv id or Ad m in is tra do r de re d Lí de r d e se gu rid ad te cn ol óg ic a Di re ct or d e ti 1. D ia rio 2. Dia rio 3. D ia rio Co nt ro le s se le cc io na do s 1. S e de be n ut ili za r m ét od os d e au te nt i- ca ci ón a de cu ad os p ar a el c on tro l de l ac ce so re m ot o de lo s us ua rio s. 2. S e de be r es tr in gi r y co nt ro la r la a si g- na ci ón y u so d e lo s pr iv ile gi os d e la s cu en ta s de u su ar io s. 3. S e de be c on tro la r l a co nfi gu ra ci ón y e l ac ce so fí si co y ló gi co a lo s pu er to s de co nfi gu ra ci ón y d ia gn ós tic o. P ro te c- ci ón ló gi ca . L os p ue rt os fí si co s de be n se r p ro te gi do s co n un a co nt ra se ña d e ac ce so p ar a cu an do s e in gr es e a lo s el em en to s de r ed p or c on so la y p ue r- to s co m o se ria l. P ro te cc ió n fís ic a. S ol o pe rs on al a ut or iz ad o po r el j ef e de l a un id ad d e in fra es tr uc tu ra p od rá e nt ra r di re ct am en te a lo s pu er to s de c on fig u- ra ci ón e n ca so d e fa lla s en lo s eq ui po s. Pa ra a qu el lo s qu e se e nc ue nt ra n ba jo co nt ra to e xt er no , d eb en s er s ol ic ita da la in te rv en ci ón a la m es a de a yu da . Fu en te : [ 2] . Nota de clase · 25 8.9 ESTIMAR EL NIVEL DE RIESGO RESIDUAL Con el fin de determinar el nivel de riesgos residual de los distintos escenarios de riesgos, se realiza el mismo procedimiento descrito en el apartado 8.7. El resultado de este ejerci- cio se aprecia en la tabla 9. El riesgo residual es aquel que permanece después de haber implementado los controles seleccionados. TABLA 9. Nivel de riesgo residual Escenario de riesgos Control Probabilidad Impacto Riesgo residual Acceso no autorizado Usuarios y claves de acceso. Control de autenticación de usuario para conexiones externas. Control de gestión de privilegios. Control de protección de los puertos de configuración y diagnósticos remoto. 1 3 3 Fuente: elaboración propia Si se analiza la tabla 7, el escenario de riesgo “acceso no autorizado” tenía una valoración de 12, equivalente a un estado de valoración inaceptable. Luego de aplicar los controles descritos en la tabla 8, pasa a 3, su probabi- lidad baja de 4 a 1, y queda con un estado de valoración “aceptable” de acuerdo con los cri- terios descritos en la tabla 6. 26 · Serie documentos de docencia 9. Conclusiones El análisis de riesgos es una actividad que se debe ejecutar sistemáticamente cada cierto periodo de tiempo en una organización, de manera que le permita caracterizar los ries- gos de ti y seleccionar los controles o salva- guardas para tratar los riesgos identificados, de forma oportuna y apropiada. La administración debe ser el principal impul- sor y motivador hacia una cultura de la ges- tión de riesgos de ti en la organización, de lo contrario, no surte los resultados esperados y la organización puede ver afectada la conti- nuidad del negocio, lo que generaría pérdida de la imagen, no cumplimiento de las regula- ciones, y daños parciales o totales en los acti- vos críticos, entre otros. Realizar monitoreo de los riesgos es tan impor- tante como realizar el análisis de riesgos, dado que esto permite evaluar si los controles aplicados para el tratamiento de los riesgos están surtiendo los efectos deseados. De no ser así, se pueden replantear o complemen- tar los controles seleccionados, y así garanti- zar una adecuada gestión de estos, así como la continuidad del negocio, la disponibilidad, la integridad, la confidencialidad y la auten- ticidad de la información organizacional y el cumplimiento de la ley. Nota de clase · 27 10. Actividad Buscar una empresa de su localidad que tenga un área de informática o de sistemas. Si no la consigue, entonces cree una ficticia. 1. Indique los datos generales de la organización: a. Razón social b. Dirección c. Representante legal d. Sector económico e. Historia 2. Describa el direccionamiento estratégico de la organización: a. Misión b. Visión c. Principios d. Valores 3. Entrevistar al jefe y demás empleados del área de informática o sistema, lo que le permita determinar las funcio- nes que cumple el área de sistemas en la organización. 4. Realizar el inventario de activo de información. 5. Identificar y clasificar los riesgos en ries- gos inherentes y riesgos residuales. 6. Estimar el nivel de riesgo inicial de los escenarios de riesgos identificados. 7. Proponer un plan de tratamiento de los riesgos. 8. Estimar el nivel de riesgo residual. 9. Realizar una conclusión de aprendizaje (entre 200 y 250 palabras). 28 · Serie documentos de docencia Referencias [1] A. Ramírez y Z. Ortiz. Gestión de Riesgos tecnológicos basada en iso 31000 e iso 27005 y su aporte a la continuidad de negocios. 2011. [En línea]. Disponible en: https://dialnet.unirioja.es/descarga/articulo/4797252.pdf [2] M. Guerrero. Análisis y evaluación de riesgos de ti. 2015. [En línea]. Disponible en: https://www.uccvirtual. edu.co [3] M. Guerrero. (2015). Conceptos generales sobre el riesgo de tecnologías de información. [En línea]. Disponible en: www.uccvirtual.edu.co [4] R. Guirado. Gestión de riesgos y continuidad operativa en it: Recomendaciones prácticas. 2015. [En línea]. Disponible en: https://www.isaca.org/chapters8/Montevideo/ cigras/Documents/CIGRAS2015/ CIGRAS-2015.09.09-09- [5] P. Prandini. Vulnerabilidades, amenazas y riesgo en “texto claro”. 2013. [En línea]. Disponible en: http://www. magazcitum.com.mx/?p=2193#.WKHAjG_hDIU [6] A. Pérez. Riesgo, amenaza y vulnerabilidad. 2017. [En línea]. Disponible en: http://eq2b.com/ riesgo-amenaza-y-vulnerabilidad-iso-27001/ [7] Autoridad de Supervisión del Sistema Financiero de Bolivia-asfi. Boletín de gestión de riesgos. 2008. [En línea]. Disponible en: http://gestionriesgosbolivia.blogspot.com.co/2008/02/qu-es-el-riesgo-dimensiones- ontolgicas.html [8] EcuRed. Seguridad informática. S. f. [En línea]. Disponible en: https://www.ecured.cu/Seguridad_ Inform%C3%A1ticGestion%20de%20Riesgos%20y%20Continuidad%20Operativa%20de%20IT%20 Recomendaciones%20Practicas-Rodrigo%20Guirado.pdf [9] Systems Audit and Control Association-Isaca. Marco de riesgos de ti. (2014). [En línea]. Disponible en: http:// www.isaca.org/spanish/Pages/default.aspx [10] M. Guerrero y L. Gómez. Revisión de estándares relevantes y literatura de gestión de riesgos y controles en siste- mas de información. 2011. [En línea]. Disponible en: http://ac.els-cdn.com/S0123592311701887/1-s2.0- S0123592311701887-main.pdf?_tid=e66b6f68-0b1e-11e7-bcea-00000aab0f02&acdnat=1489761480_ 3ed2f9269f de3 87 9c30df3b11f9e39ef [11] M. Erb. Gestión de riesgo en la seguridad informática. S. f. [En línea]. Disponible en: https://protejete.word- press.com/gdr_principal/amenazas_vulnerabilidades/ [12] Legal Information Institute. Fraude cibernético e informático. S. f. [En línea]. Disponible en: https://www.law. cornell.edu/wex/es/fraude_cibern%C3%A9tico_e_inf or m%C 3%A1tico [13] Deloitte. Servicios de gobierno, riesgo y cumplimiento. 2013. [En línea]. Disponible en: https://www2.deloitte. com/content/dam/Deloitte/mx/Documents/risk/mx(es-mx)Serv iciosGRC.pdf [14] Systems Audit and Control Association-Isaca. Uniendo al gobierno, riesgo y cumplimiento. 2010. [En línea]. Disponible en: http://www.isaca.org/chapters7/Monterrey/Events/Documents/20101206%20 Uniendo%20al%20Gobierno%20(GRC).pdf [15] MinEducación.gov.co. Gestión de riesgos. 2013. [En línea]. Disponible en: http://www.mineducacion.gov. co/1621/articles-327021_archivo_pdf_Dia 2_1_ Gestion_ Riesgo.pdf [16] C. de Oro. La gestión de riesgos de ti en el marco corporativo. 2011. [En línea]. Disponible en: https://www. auditool.org/blog/auditoria-de-ti/297-la-gestion-de-riesgos-de-ti-en-el-marco-corporativo[17] P. Kirvan. Guía de evaluación de riesgos de ti. (2013). [En línea]. Disponible en: http://searchdatacenter. techtarget.com/es/tutoriales/Guia-de-evaluacion-de-riesgos-de-TI [18] TechTarget. Guía de evaluación de riesgos de ti. 2014. [En línea]. Disponible en: http://searchdatacenter. techtarget.com/es/tutoriales/Guia-de-evaluacion-de-riesgos-de-TI [19] Cenepred. Escenarios de riesgos. (2012). [En línea]. Disponible en: http://www.indeci.gob.pe/objetos/micro- site/OQ==/MjI0/fil20160516082630.pdf Nota de clase · 29 [20] Krio. Identificación de activos vs. escenarios de riesgo. S. f. [En línea]. Disponible en: https://www.krio.es/ activos-vs-escenarios-riesgo/ [21] J. Berciano. La importancia y la necesidad de proteger la información sensible. S. f. [En línea]. Disponible en: http://www.redseguridad.com/especialidades-tic/proteccion-de-datos/la-importancia-y-la-necesidad -de-proteger-la-informacion-sensible [22] Eafit. Mapas de riegos. S. f. [En línea]. Disponible en: http://www.eafit.edu.co/ escuelas/administracion/ consultoriocontable/Documents/Nota%20de%20clase%2016%20Mapa%20de%20Riesgos.pdf [23] M. Rodríguez, C. Piñeiro y P. de Llano. (2013). Mapa de riesgo: Identificación y gestión de riesgos, Revista Atlántica de Economía, 2. [En línea]. Disponible en: http://www.unagaliciamoderna.com/eawp/coldata/ upload/mapa_de_riesgos_19_06_13.pdf [24] Auditool. Mapa de riesgos y su importancia en auditoría. 2016. [En línea]. Disponible en: https://auditool.org/ blog/auditoria-interna/4258-mapa-de-riesgos-y-su-importancia-en-una-auditoria [25] Alcaldia Mayor de Bogotá. Inventario de activos de información. 2015. [En línea]. Disponible en: http://www. subredsuroccidente.gov.co/sitio/sites/default/files/ documentos/11%20Inventario%20de%20Activos%20 de%20informacion.pdf?width=800&height=800&iframe=true [26] Auditool. ¿Qué es el riesgo, riesgo inherente y riesgo residual? 2014. [En línea]. Disponible en: https://www. auditool.org/blog/control-interno/3073-que-es-el-riesgo-riesgo-inherente-y-riesgo-residual [27] Ministerio de Hacienda y Administraciones Públicas. Metodología de Análisis y Gestión de Riesgos de los Siste- mas de Información. 2012. [En línea]. Disponible en: https://administracionelectronica.gob.es/pae_Home/ pae_Documentacion/pae_Metodolog/pae_Magerit.html#.WNVx_G81_IU [28] Valencia. (2015). Sistema de gestión de seguridad de la información. [En línea]. Disponible en: www.uccvirtual. edu.co
Compartir