Marco Teórico Seg
Marco Teórico Seg
Marco Teórico Seg
3 Justificación e Importancia
Como hemos mencionado anteriormente, las organizaciones –y por ende, las entidades
financieras– se enfrentan a riesgos ambientales, riesgos inherentes a los procesos y
riesgos relacionados a las malas decisiones que se dan dentro de los procesos. Una
comprensión adecuada de los niveles de riesgo asociados con los sistemas de información
ayudará a las organizaciones a reconocer las implicaciones de la ocurrencia de un
determinado espacio de riesgo dentro de su entorno complejo, logrando con esto
apropiarse de las políticas de seguridad y su respectivo alineamiento con los procesos
financieros.
A menudo las decisiones de protección de la información se realizan basadas en la
experiencia previa con respecto a las vulnerabilidades y amenazas que se conozcan. Sin
embargo, esto ocasiona que los riesgos tiendan a no ser gestionados de forma sistemática
y que tampoco sean administrados por las personas adecuadas. Es ahí en donde el
MAGERIT (la Metodología de Análisis y Gestión de Riesgos) da un paso hacia adelante
para estudiar los riesgos que soporta un sistema de información y el entorno asociado a
este. El MAGERIT propone la realización de un análisis de los riesgos, lo que implica una
evaluación del impacto que una violación de la seguridad tiene en la organización;
asimismo, señala los riesgos existentes, identificando las amenazas que acechan al
sistema de información, y determina la vulnerabilidad del sistema de prevención de
dichas amenazas, obteniendo resultados.
Los resultados del análisis de riesgos permiten a la gestión de riesgo recomendar las
medidas apropiadas que deberían adoptarse para conocer, prevenir, impedir, reducir o
controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles
perjuicios.
4 Objetivos
4.2 Objetivo General
Proponer la gestión de riesgos de los sistemas de información para una entidad
financiera.
MAGERIT V3
Esta versión del MAGERIT continúa siendo una metodología de Análisis y Gestión de
Riesgos, pero se divide en tres libros: “Método”, “Catálogo de Elementos” y “Guía
de Técnicas”. Tiene como objetivos concienciar a los responsables de las
organizaciones de información de la existencia de riesgos y de la necesidad de
gestionarlos, ofrecer un método sistemático para analizar los riesgos derivados del
uso de tecnologías de la información y comunicaciones (TIC), ayudar a descubrir y
planificar el tratamiento oportuno para mantener los riesgos bajo control
indirectos, preparar a la organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
PILAR es un conjunto de herramientas EAR (Entorno de Análisis de Riesgos) cuya
función es el análisis y la gestión de riesgos de un sistema de información siguiendo
la metodología MAGERIT y está desarrollada y financiada parcialmente por el
Centro Criptológico Nacional (CCN). Se actualizan periódicamente y existen diversas
variantes. Está dirigida a todas aquellas organizaciones que cuentan con
infraestructuras de TIC y que tienen la necesidad de gestionar de forma eficiente
sus activos, realizando Análisis de Impacto y Continuidad de Operaciones, tanto
cuantitativos como cualitativos.
La solución PILAR permite analizar los riesgos en varias dimensiones:
confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Todo ello a
lo largo de diversas etapas de tratamiento. También es muy parametrizable,
permite parametrizar a partir de las características del sistema, los perfiles de
amenazas, las dependencias entre los activos, las dimensiones de seguridad que
queremos tener en cuenta en nuestro análisis de riesgos y los perfiles de
protección. PILAR permite realizar análisis cuantitativos y cualitativos; y Análisis de
Impacto y Continuidad de Operaciones.
Políticas de Seguridad
Bibliografía
Joya, J., & Sacristán, C. (Diciembre de 2017). Desarrollo de una Propuesta de Mitigación de
Riesgos y Vulnerabilidades en Activos Lógicos para la Empresa Javesalud I.P.S.
Colombia. Obtenido de
https://repository.ucatolica.edu.co/bitstream/10983/15405/1/Proyecto%20Final
%20Especializacion%20Seguridad%20de%20la%20Informacion.pdf
Moscos, L., Peña, E., & Soto, M. (2018). MODELO DE GESTIÓN DE RIESGOS DE TI QUE
CONTRIBUYE A LA OPERACIÓN DE LOS PROCESOS DE GESTIÓN COMERCIAL DE LAS
EMPRESAS DEL SECTOR DE SANEAMIENTO DEL NORTE DEL PERÚ. Chiclayo,
Lambayeque, Perú. Obtenido de
https://tesis.usat.edu.pe/bitstream/20.500.12423/1409/1/TM_SotoCastrillonMariadel
Carmen_PenaNu%C3%B1ezEdgard_MoscosoAnayaLissette.pdf