Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 45 vistas

    Activiad Eje 2 Analisis de Riesgos Wiki

    Cargado por

    Paola Vela
    Este documento presenta un análisis de riesgos informáticos realizado por estudiantes siguiendo las metodologías NIST 800-30 y ISO 27001. El objetivo es conocer y analizar los riesgos a los que están expuestas las organizaciones e implementar controles para prevenirlos. Se describen los pasos para identificar amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia de riesgos. Finalmente, se concluye que es importante establecer metodologías de gestión de riesgos para proteger los activos de una organización.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Activiad Eje 2 Analisis de Riesgos Wiki

    Cargado por

    Paola Vela
    45 vistas9 páginas
    Este documento presenta un análisis de riesgos informáticos realizado por estudiantes siguiendo las metodologías NIST 800-30 y ISO 27001. El objetivo es conocer y analizar los riesgos a los que están expuestas las organizaciones e implementar controles para prevenirlos. Se describen los pasos para identificar amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia de riesgos. Finalmente, se concluye que es importante establecer metodologías de gestión de riesgos para proteger los activos de una organización.

    Título original

    Activiad eje 2 Analisis de riesgos wiki

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta un análisis de riesgos informáticos realizado por estudiantes siguiendo las metodologías NIST 800-30 y ISO 27001. El objetivo es conocer y analizar los riesgos a los que están expuestas las organizaciones e implementar controles para prevenirlos. Se describen los pasos para identificar amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia de riesgos. Finalmente, se concluye que es importante establecer metodologías de gestión de riesgos para proteger los activos de una organización.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    45 vistas9 páginas

    Activiad Eje 2 Analisis de Riesgos Wiki

    Cargado por

    Paola Vela
    Este documento presenta un análisis de riesgos informáticos realizado por estudiantes siguiendo las metodologías NIST 800-30 y ISO 27001. El objetivo es conocer y analizar los riesgos a los que están expuestas las organizaciones e implementar controles para prevenirlos. Se describen los pasos para identificar amenazas, vulnerabilidades, impacto y probabilidad de ocurrencia de riesgos. Finalmente, se concluye que es importante establecer metodologías de gestión de riesgos para proteger los activos de una organización.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 9

    Actividad Evaluativa Eje 2

    Análisis de riesgos informáticos Grupo 202260-6A - 063

    Profesor:

    Luis Francisco Lopez Urrea

    Estudiantes:

    Angie Meliza Landazabal Gallego

    Maria Natalia Niño Hernandez

    Jully Paola Vela Chinchilla

    Fundación Universitaria del Área Andina

    Facultad de Ingeniería

    Ingeniería De Sistemas

    Bogotá

    2022

    Introducción
    En la actualidad uno de los bienes más preciados para una organización es la información,
    por lo que el análisis y la gestión de riesgos juegan hoy en día un papel muy importante para
    las organizaciones, por lo que es importante estar a la vanguardia de las nuevas amenazas ya
    que pueden tener un impacto significativo en los sistemas de información por lo que es
    importante tener controles disponibles y aplicaciones que permitan evitar, solventar y
    prevenir estas amenazas. Dicho esto el presente documento tiene como finalidad el desarrollo
    de una wiki en donde presentaremos un análisis donde mostraremos la importancia de
    implementar en una organización la norma ISO27000 2013, también nos guiaremos por la
    NIST 800-30.
    Objetivos Generales.

    1. Conocer los diferentes riesgos a los que están expuestos las organizaciones.

    2. Aprender a analizar los riesgos informáticos que pueden presentarse en una


    organización.

    3. Aprender a remediar y prevenir los riesgos informáticos.

    4. Analizar los diferentes conceptos que se presentan en la gestión y análisis del riesgo.
    MÉTODO 800-30

    Este método nos brinda orientar estrategias que permitan ejecutar análisis para que se
    prevenga y se pueda controlar los riesgos asociados a la información. A continuación vamos
    a ver algunos objetivos para asegurar la información apropiada a su nivel:

    ● Seguro de los sistemas de información que se encargará de almacenar, procesar y


    transmitir la información
    ● Gestionar los riesgos
    ● Mejorar la administración de riesgos a partir de un resultado de los análisis
    ● Ser una función esencial de la administración

    De esta manera se aborda la situación de ataque de forma que se pueda evaluar estos
    riesgos, responder a los propios riesgos y poder monitorearlos

    También es necesario hacer evaluaciones de riesgos relacionados con la seguridad de


    la información, cuáles son los pasos para evaluar estos riesgos:

    ● Preparación de la evaluación
    ● La realización de la evaluación
    ● Comunicar los resultados de la evaluación
    Tendremos una fase de riesgos donde se pondrán gestionar los cuales son :

    1. Vamos a priorizar las acciones : A partir de los diferentes niveles de riesgos se


    procederá a realizar un ranking de acciones

    2, Evaluación de operaciones de control recomendados: Vamos a analizar su viabilidad y


    eficacia además de la adecuación a nuestro modo de trabajo para determinar si realmente
    pueden enfrentar estos riesgos

    3. Análisis de coste-beneficio: Conocer que impacto supondría la implantación o no de los


    controles sugeridos

    4. Seleccionar los controles que nos ayudarán a eliminar los riesgos: Para evitar instrucciones
    en la red tenemos que contemplar que controles utilizar

    PROCESOS DE RIESGOS :

    1. Vamos a identificar las amenazas: Donde se definirán fuentes de motivación,


    revisaremos el historial de ataques, datos de agencia de inteligencia medios de
    comunicación
    2. Identificamos las vulnerabilidades: Se desarrollara una lista de defectos o debilidades
    para conocer las ilusiones de una amenaza
    3. Análisis de controles: El control de número de personas que tienen acceso a los
    equipos y el registro de información confidencial
    4. Análisis de impacto: Se evaluará el riesgo real en el sistema de información, se
    proporcionará qué controles se mitigará el riesgo identificado
    Norma ISO 27000 2013

    Esta es una norma internacional que se encarga de la gestión y control de los riesgos de
    seguridad a los que las organizaciones se encuentran expuestos, una vez una empresa cumple
    con los controles y requisitos indicados por la norma pueden recibir la certificación que
    garantiza que la organización ha realizado la gestión de análisis y ha realizado los respectivos
    controles de seguridad para disminuir las amenazas a las que está expuesta una empresa. Esta
    norma nos permite el aseguramiento, la confidencialidad y la disponibilidad de los datos y de
    la información.

    Para llevar a cabo un buen análisis y gestión de riesgos se deben tener presente diferentes
    puntos como lo son la determinación de ocurrencia e impacto y los controles que se deben
    adaptar en dado caso de que un riesgo se materialice.
    Para iniciar debemos tener presente, que para comenzar con los análisis de riesgos se deben
    identificar y evaluar los activos, posibles vulnerabilidades y amenazas que se puedan
    presentar.
    En el análisis se debe determinar si se requiere o se va a implementar una evaluación
    cualitativa o cuantitativa, ya que con esta se podrá realizar la escala de medición y los niveles
    aceptables de un riesgo, junto a esta se deberán establecer las reglas con las cuales se
    gestionará el riego, una vez ya se hayan definido, se deberá realizar una lista de activos donde
    se podrán señalar las diferentes amenazas, vulnerabilidades, impacto, y probabilidades de
    ocurrencia, esto con el fin calcular el nivel del riego.
    Ya en este momento se deben tener presentes que hay unos riesgos con los cuales se deben
    manejar de manera más profunda y rápida bien sea para disminuirlos o tratarlos.
    Siguiendo a Alexander (2013), podemos visualizar una metodología para analizar un riego
    según la norma en mención:
    ● Lo primero que nos indican es que se debe realizar una identificación y valores de
    activos, teniendo en cuenta que no son solo los materiales, sino todos aquellos que
    tengan un valor en una organización, ejemplo el activo humano.
    ● Segundo, se deben establecer condiciones de seguridad, es decir, se deben definir
    objetivos y necesidades con los cuales se va a ejecutar, adicionalmente se deben
    implementar las condiciones que el sistema debe satisfacer, por último se deben
    generar registros todas las amenazas, vulnerabilidades e impacto que se puedan
    generar y materializar.
    ● Tercero, se debe realizar una evaluación de las vulnerabilidades y posibles amenazas
    que se generaron en el punto anterior.
    ● Cuarto, en este punto se generan los controles que se deben implementar bien sea para
    mitigar o reducir el riesgo a niveles aceptables.
    ● Quinto, se deben elegir las normas con las cuales se van a tratar los riesgos.
    ● Sexto, en este último punto, se calculan los riesgos de la amenaza ya materializada.

    Teniendo en cuenta lo anterior, podemos visualizar los puntos clave que se deben tener
    presente para el diseño de un SGSI, a través de la norma ISO. (adjunto)
    CONCLUSIONES

    ● En este trabajo pudimos concluir que la seguridad es un trabajo importante para todas
    las empresas por lo cual es necesario implantar estas metodologías donde se pueda
    evitar este tipo de riesgos y poderlos identificar para poderlos mitigar para que la
    organización nunca esté expuesta a un ciberataque, la metodología sp800-30 hace la
    especificación de estos 3 niveles de riesgo para que puedan tener un buen
    funcionamiento dentro de la organización.
    ● Finalizando la actividad nos dimos cuenta que el riesgo es inherente, siempre estará
    allí, que se pueden optar por tomar y aplicar metodologías para mitigarlos o
    reducirlos, en la metodología ISO como en todas las que se conocen es importante
    identificar el valor de los activos, ya que por estos es que se toman las medidas
    necesarias para protegerlos.
    ● Es importante establecer una metodología ya que a través de ellas se podrán visualizar
    las debilidades y fortalezas con las que cuenta una organización por cada uno de los
    activos que esta misma tenga incluido en ella, adicionalmente se logrará tomar las
    respectivas protecciones para evitar que un riesgo sobre un activo se materialice.
    ● Bibliografía

    ● https://www.mintic.gov.co/gestionti/615/articles-
    5482_G8_Controles_Seguridad.pdf

    ● https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/

    ● https://www.pmg-ssi.com/2021/08/metodologia-nist-sp-https://
    hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/view/
    1435/1874800-30-para-el-analisis-de-riesgos-en-sgsi/

    ● https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/Spanish
    %20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

    ● Referente #2 Análisis de riesgos ¿Qué relación existe entre los elementos de


    sistema de información, su vulnerabilidad y las fortalezas de exposición?

    ● https://hemeroteca.unad.edu.co/index.php/publicaciones-e-investigacion/article/
    view/1435/1874

    También podría gustarte