Introducción

La seguridad de las organizaciones, sistemas y redes de información están

constantemente amenazadas por diversas fuentes que incluyen ataques de

distintos tipos y origen; la ocurrencia de catástrofes, errores de operación y

negligencias, aumentan los riesgos a que están expuestos los servicios y

protocolos utilizados, así como el contenido de la información tratada en dichos

sistemas, todo lo cual puede afectar severamente la confidencialidad, integridad y

disponibilidad de la información.

La Tecnología de Información se ha convertido en el corazón de las operaciones de

cualquier organización, desde los sistemas transaccionales hasta las aplicaciones

enfocadas a la alta gerencia que ayudan tanto a las operaciones diarias como a

definir el rumbo que tiene que seguir una organización.

Retener, manipular o distribuir información. La tecnología de la información se

encuentra generalmente asociada con las computadoras y las tecnologías afines

aplicadas a la toma de decisiones.

La tecnología de la información está cambiando la forma tradicional de hacer las

cosas. Las personas que trabajan en gobierno, en empresas privadas, que

dirigen personal o que trabajan como profesional en cualquier campo, utilizan la

tecnología de la información cotidianamente mediante el uso de Internet,

las tarjetas de crédito, el pago electrónico de la nómina, entre otras funciones; es

por eso que la función de la tecnología de la información en los procesos de

la empresa, como manufactura y ventas, se han expandido grandemente.

 GESTION DEL RIESGO TECNOLOGICO.

La importancia de una buena gestión de TI es de gran relevancia en el mercado, y

cada día más. Un punto de crítica importancia al respecto es la gestión de riesgos

tecnológicos, que en una gran medida pueden ser desencadenantes de riesgos

operacionales para la empresa. La gestión de riesgos debe ser considerada como

un proceso cíclico que incluye el análisis y la priorización de riesgos. Estas

actividades permiten a la organización tener una visión detallada y exacta de los

riesgos, y constituyen una buena herramienta de decisión acerca de qué riesgos

pueden ser gestionados en un entorno de recursos limitados (el habitual).

El principal objetivo es asegurar la continuidad del negocio. Para conseguirlo es

necesario establecer un Proceso de Continuidad de los Sistemas, que nos

proporcione métricas relevantes. Estas métricas deben servir de base para obtener

informes y un Cuadro de Mando ejecutivo, los cuales facilitarán la toma de buenas

decisiones de gestión. Las empresas o entidades que adoptan un criterio equilibrado ante

la madurez de la gestión de riesgos de tecnologías de la información, no sólo tienen menos

incidentes en este ámbito sino que obtienen mayor rentabilidad del negocio y de tecnologías

de la información respecto de la competencia.

El criterio idóneo es el que equilibra las tres disciplinas principales involucradas en la gestión

de riesgos de tecnologías de la información: los procesos de gobierno de riesgos, un

entorno sólido de tecnologías de la información y una cultura consciente de los riesgos.

Todos aquellos que adopten este criterio no sólo evitarán la interrupción de sus

operaciones, sino que además lograrán mayor eficacia y agilidad en la empresa.

De hecho, las empresas o entidades que han logrado un equilibrio de las tres

disciplinas, en cuanto a madurez de tecnologías de la información, en lugar de dar

prioridad a una de ellas sobre las demás, son más eficaces a la hora de gestionar

los riesgos. Estas empresas o entidades declaran mayor eficacia de tecnologías de

la información en las siguientes áreas:

 Capacidad para evitar incidentes negativos, tales como averías y brechas del

sistema de seguridad.

 Eficiencia de la unidad de tecnologías de la información.

 Ajuste de tecnologías de la información con el resto de la empresa o entidad.

 Capacidad para asumir los cambios en la empresa o entidad.

Se puede plantear de forma general que la gestión de riesgos en tecnologías de la

información se basa en los siguientes pasos:

 Estimación de Riesgos: La estimación de riesgos describe cómo estudiar los

riesgos dentro de la planeación general del entorno informático y se divide

en los siguientes pasos:

 La identificación de riesgos: El objetivo de este paso es identificar el

potencial de las fuentes de amenaza y compilar un listado de las fuentes de

amenazas, que son aplicables al sistema de tecnología de información que

se está evaluando. Durante la fase inicial, una evaluación del riesgo podría

ser utilizado para desarrollar el plan de sistema de seguridad.

 El análisis de riesgos: Un punto importante en la gestión de riesgos en

tecnologías de la información es analizar cada riesgo para determinar su

impacto. El análisis de riesgo es el proceso cuantitativo o cualitativo que

permite evaluar los riesgos.

 La asignación de prioridades a los riesgos.

 Administración de riesgos: su objetivo, es desarrollar un plan que controle

cada uno de los eventos perjudiciales a que se encuentran expuestos las

actividades, categorías o ramas que presentan cada empresa, organización

o entidad.

 Monitorización de riesgos: la vida en el mundo informático sería más fácil si

los riesgos apareciesen después de que hayamos desarrollado planes para

tratarlos. Pero los riesgos aparecen y desaparecen dentro del entorno

informático, por lo que se necesita una monitorización para comprobar cómo

progresa el control de un riesgo e identificar como aparecen nuevos eventos

perjudiciales en las actividades informáticas.

Cuál es la función de la Gestión de Riesgos Tecnológicos?

La Gestión de Riesgos y de la Continuidad de Servicios basados en Tecnología de

la Información es de vital importancia, lo que nos obliga a adoptar una serie de

principios para la gestión del Riesgo Tecnológico:

• Gestión permanente, sistemática y continua de los riesgos.

• Existencia de planes de contingencia.

• Supervisión periódica e independiente.

• Evaluación del riesgo para todo nuevo sistema o proceso.

Gestión de Riesgos tecnológicos en la infraestructura informática

(Redes)

La información es una herramienta útil en la toma de decisiones de una

organización, por su valor incalculable, es necesario protegerla. Con el avance de

la tecnología que cada día se perfecciona, específicamente en el campo de las

comunicaciones y con la capacidad del computador para comunicarse con otros

dispositivos remotos y para comunicar entre si computadores físicamente

separados en los que llamamos una red de transmisión de datos, la cual es

importante en el diseño de muchos sistemas de información.

Vulnerabilidades y Amenazas

Los activos en una red a menudo contienen fallas o huecos en la seguridad. Estos

huecos o vulnerabilidades desembocan en un problema de seguridad y representan

un riesgo para los activos. Una amenaza es cualquier evento de seguridad capaz

de utilizar una vulnerabilidad para atacar o dañar un activo. Las amenazas se

pueden dividir en tres grupos:

- Naturales: cualquier evento de seguridad producido por un fenómeno como

terremoto, incendio, inundación, etc.

- Intencionales: eventos de seguridad causados deliberadamente sobre un

activo con la firme intención de causar daños o perdida, fraudes, etc. ·

- Involuntarias: eventos de seguridad producidos accidentalmente.

Gestión del riesgo tecnológico y sus beneficios

Gestionar el riesgo tecnológico y aprovechar los beneficios de la

tecnología, implica identificar, cuantificar y monitorear, incidentes, errores, fallas,

debilidades y vulnerabilidades, con el fin de desarrollar mecanismos preventivos

que mantengan los riesgos dentro de sus niveles de tolerancia aceptables, así será

posible:

 Generar información íntegra y exacta conforme las normas aplicables.

 Crear un escudo protector ante amenazas cibernéticas, desastres naturales o

sabotajes.

 Mantener niveles de servicio aceptables, dentro de los parámetros

requeridos por los usuarios.

 Permitir el acceso a la información solo a usuarios autorizados para realizar

transacciones cuya evidencia sea válida.

 Evitar pérdidas de información, a través de mecanismos efectivos de

recuperación.

 Establecer medidas para asegurar el cumplimiento regulatorio.

 Rentabilizar las inversiones al enfatizar un enfoque de negocio.

 Disminuir pérdidas financieras.

Cómo minimizar los riesgos y asegurar la continuidad de la

información?

La auditoría en los sistemas de información juega un papel crucial en este punto, ya

que a través de este método se puede visualizar posibles fallas y si es el caso

brindar la solución adecuada.

Para llegar a la conclusión o solución a la problemática encontrada el auditor debe

revisar:

- Políticas de seguridad: Las políticas de seguridad son los lineamientos y

formas de comunicación con los usuarios, que establecen un canal de

actuación en relación a los recursos y servicios de la red.

- Análisis de seguridad de la red: Los equipos, El software, El personal, La

información.

- Análisis de riesgos: Existen diferentes métodos de análisis de riesgos de

seguridad. Métodos cuantitativos y métodos cualitativos. El uso de uno u otro

depende de la organización y la efectividad que cada uno de estos representa

- Matriz de control: Una matriz de control es un sistema que nos permite

priorizar riesgos.

- Estimación de la Vulnerabilidad: La matriz de control permite estimar los

grados de vulnerabilidad con el fin de priorizar los riesgos que requieren de

controles más rápidos y efectivos para determinar las acciones de seguridad

 adecuadas y la implementación de controles a fin de brindar protección

contra dichos riesgos.

- Requisitos de la seguridad: Con la priorización de riesgos, la organización

ya está en capacidad de determinar cuál son los requisitos que necesitan

para llevar a cabo un plan de contingencia a fin de minimizar los riesgos y en

qué aspectos debe tener mayor énfasis

- Plan de seguridad

- Políticas de seguridad Procedimientos y responsabilidades. ·

Planificación de la capacidad y aprobación de nuevos accesos o servicios en

la red. · Protección contra software malicioso. · Mantenimiento de la

información y servicios. · Administración de red. · Medios de

almacenamiento. · Intercambio de información. · Control de accesos

- Revisiones y actualizaciones de las políticas de seguridad

La vida en el mundo informático sería más fácil si los riesgos apareciesen después

de que hayamos desarrollado planes para tratarlos. Pero los riesgos aparecen y

desaparecen dentro del entorno informático, por lo que se necesita una

monitorización para comprobar cómo progresa el control de un riesgo e identificar

como aparecen nuevos eventos perjudiciales en las actividades informáticas.

Modelos y normas relacionadas con la gestión de riesgos en TI

 BS 7799 – 3

Es una norma publicada por el British Standard Instituto. El objetivo de esta norma

es dar efectiva seguridad de la información a través de un programa permanente de

actividades de gestión de riesgos. Además, incluye la identificación y evaluación del

riesgo, mediante la implementación de controles para su reducción, monitoreo y

revisión, y el mantenimiento y la mejora continua del sistema basado en el control

del riesgo (BSI, 2006).

 CRAMM

Es una metodología de análisis de riesgos desarrollada en el Reino Unido. Es el

método de análisis de riesgos preferido en los organismos de la administración

pública. Se compone de tres etapas, cada una apoyada por cuestionarios, objetivos

y directrices. Las dos primeras se encargan de identificar y analizar los riesgos para

el sistema, y la tercera recomienda la manera en que estos riesgos deben ser

gestionados (Seguridad Informática, 2005).

 COBIT .4.1

Es un marco de referencia internacional aceptado por la mayoría de empresas como

buenas prácticas para el control interno de la información. COBIT ha sido diseñado

para facilitar el uso de las TI desde un enfoque de inversión que debe estar bien

administrado y está basado en los estándares y las mejores prácticas de la industria,

y ayuda a salvar la brecha entre los riesgos del negocio, las necesidades de control

y los aspectos propiamente técnicos

 ISO 27005

Esta norma proporciona directrices para la gestión de riesgos de seguridad de la

información. Es compatible con los conceptos generales especificados en la norma

 ISO/ IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de

elementos que permitan garantizar la seguridad de la información basada en un

enfoque de gestión de riesgos. Es aplicable a todo tipo de organizaciones que

tengan la intención de gestionar los riesgos que podrían comprometer la seguridad

de su información (ISO/IEC, 2011a).

 ISO 31010

Su propósito es brindar información basada en pruebas y análisis para tomar

decisiones sobre cómo seleccionar y determinar el tratamiento de los riesgos. El

marco de gestión del riesgo de esta norma proporciona las políticas, los

procedimientos y las disposiciones organizativas que integran la gestión de riesgos

en toda la organización a todos los niveles. Como parte de este marco, la

organización debe tener una política o estrategia para decidir cuándo y cómo los

riesgos deben ser evaluados (ISO/IEC, 2011b).

 ITIL v3

Fue desarrollada al reconocer que las organizaciones dependen cada vez más de

la informática para alcanzar sus objetivos corporativos, lo que ha dado como

resultado la creciente necesidad de servicios informáticos de calidad que

correspondan a los objetivos del negocio y que satisfagan los requisitos y las

expectativas del cliente. A través de los años, el énfasis pasó de estar en el

desarrollo de las aplicaciones TI a la gestión de servicios TI. La aplicación TI sólo

contribuye a realizar los objetivos corporativos si el sistema está a disposición de

los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los

procesos de mantenimiento y operaciones (Axila, 2011). MAGERIT Es un método

formal para investigar los riesgos que soportan los sistemas de información. Es una
 norma establecida por el Gobierno español con el fin de brindar una metodología de

sistemas de información de riesgos en su análisis y gestión. El propósito de

 MAGERIT

Está relacionado con el uso de medios electrónicos, informáticos y tecnológicos,

sujetos a ciertos riesgos que se deben minimizar con medidas de seguridad, para

mitigar la desconfianza en el uso de estos medios. Su utilización está enfocada en

las personas que utilizan los sistemas de información y sobre los riesgos y

vulnerabilidades a que está expuesta la información (MHAP, 2012).

 OCTAVE

Es una técnica efectiva de evaluación de riesgos desarrollada en el Centro de

Coordinación CERT en Carnegie Mellon University.

Octave es un conjunto de herramientas, técnicas y métodos para la evaluación del

riesgo. Tiene en cuenta también la definición de los activos incluyendo: personas,

hardware, software, información y sistemas.

 RISK IT

Es un marco de trabajo a nivel mundial enfocado a las TI y publicado por ISACA.

RISK IT proporciona una visión global sobre los riesgos empresariales asociados

con todas las actividades relacionadas con TI. RISK IT pretende ser una herramienta

práctica para la gestión de riesgos basada en los conceptos de valor y beneficios

que la organización obtiene a través de sus iniciativas de TI. Al igual que COBIT,

RISK IT se concentra en el cumplimiento de los objetivos de la organización. Este

modelo puede personalizarse para cualquier tipo de empresa en cualquier ubicación

geográfica. RISK IT se define como una serie de guías para la gestión eficaz de los

riesgos de TI. Dichas guías se basan en los principios comúnmente aceptados en

ERM, que se han aplicado en el ámbito de las TI. El modelo del proceso de los
 riesgos de TI está diseñado y estructurado para que las organizaciones puedan

poner los principios en práctica y comparar sus resultados (ISACA, 2013).

 UNE 71504

Es una norma realizada por la Asociación Española de Normalización y Certificación

[AENOR], orientada al análisis y la gestión de riesgos para los sistemas de

información. Esta norma define la gestión de riesgos con base en las siguientes

fases principales: caracterización de activos, caracterización de las amenazas,

cálculo del riesgo intrínseco, caracterización de las salvaguardas, cálculo del riesgo

efectivo, evaluación de riesgos, tratamiento de riesgos, y administración de la

gestión de los riesgos (Agendum, 2007).

 Conclusión:

- La información de una organización por tener un valor incalculable es

necesario protegerla contra las diferentes amenazas a las que se encuentra

expuesta, examinando las vulnerabilidades y minimizando los riesgos.

- Para mantener un buen funcionamiento de la red y protegerla contra los

diferentes riesgos es necesario que existan herramientas de autenticación y

autorización de usuario para el ingreso a al red. Como también el cifrado de

la información que viaja por la red.

- Un análisis de riesgos de los activos de una red permitirán a la organización

especificar cuales riesgos son más probables de ocurrencias, cuales serán

más destructivos y cuáles serán los más urgentes de minimizar.

- Las políticas de seguridad de la red deben abordar los aspectos de

evaluación de riesgos y los controles de acceso.

- La organización debe estar en la capacidad de determinar cuáles son los

requisitos que se necesitan para llevar a cabo un plan de contingencia a fin

de minimizar los riesgos.

- Se deben generan políticas de seguridad con unas de normas mínimas para

el correcto desempeño en la prestación de servicios a los involucrados en el

uso de la red que otorgue a los usuarios la confidencialidad, integridad y

disponibilidad de información que ellos necesitan.

- El plan de seguridad y las políticas se deben revisar continuamente para

detectar nuevas y posibles amenazas en la red.

 Bibliografía

https://cadesoluciones.blog/2017/02/14/la-gestion-del-riesgo-en-las-tecnologias-de-la-

informacion/

https://www.monografias.com/trabajos99/herramienta-informatica-gestion-riesgos-tecnologias-

informacion/herramienta-informatica-gestion-riesgos-tecnologias-

informacion.shtml#Relacionados

https://www.academia.edu/23067029/GESTION_DEL_RIESGO_TECNOLOGICO - Waldyr Diaz

 Índice

1. Introducción……………………………………………………….…..3

1.1 Gestión del riesgo tecnológico………………………..………4

1.2 Cual es la función de la Gestión de riesgo tecnológico……8

1.3 Gestión de riesgo tecnológico en la infraestructura

informática (redes)………………………………………..….. 9

2. Gestión de riesgo tecnológicos y sus beneficios …………………10

3. Vulnerabilidad y amenaza ……………………………………….…11

4. Como minimizar los riesgos y asegurar la continuidad de la

información…………………………………………………….……12

5. Modelo y normas relacionada con la gestión de riesgo en TI…..14

6. Conclusión……………………………………………………...……18

7. Bibliografía………………………………………………………………….…….19