Fundación Universitaria del Área Andina 

Facultad de Ingenierías
Ingeniería de Sistemas - Modalidad Virtual
Análisis de Riesgos Informáticos

Gestión de Riesgos - Auditoria ACME Audit SAS

Laura Angelica Rodríguez López 

Pablo Camilo Vásquez Segura 
Cristian Felipe Caro Sierra

Colombia, Bogotá D.C., 2021

Contenido

1
Introducción................................................................................................................................4

Objetivo......................................................................................................................................4

Alcance........................................................................................................................................4

1. Desarrollo............................................................................................................................5

1.1. Hallazgos de Riesgos de Auditoría........................................................................................5

1.2. Gestión De Riesgos...............................................................................................................5

1.3. Identificación.......................................................................................................................6

1.4. Análisis Cualitativo y Cuantitativo.......................................................................................6

1.5. Mapa Térmico del proyecto.................................................................................................8

1.6. Plan De Respuesta................................................................................................................9

1.7. Control Y Seguimiento.........................................................................................................9

1.8. Acciones de Remediación.....................................................................................................9

Conclusiones..............................................................................................................................10

Referencias Bibliográficas.........................................................................................................11

2
Introducción

Actualmente las organizaciones deben considerar el proceso de auditoría como una fuente
de información, que permita identificar las posibles vulnerabilidades y riesgos que se
pueden generar en sus procesos y de esta manera corregirlas, esto para que la organización
obtenga resultados favorables.

La mayoría de medianas y pequeñas empresas, por falta de conocimiento u omisión, no

realizan de manera constante análisis que les permitan determinar las mejores practicas en
sus infraestructuras tecnológicas, así como también el no contar con un sistema de GSI que
genere sobre estas un alto nivel de confidencialidad, disponibilidad e integridad de su
información y el grado de calidad y confiabilidad, en los servicios ofrecidos a clientes
finales.

Teniendo en cuenta lo anterior, en el desarrollo de este trabajo se realiza el análisis de los

resultados entregados por la empresa auditora ACMET Audit SAS, con los que se crearon
acciones de remediación y gestión de riesgos; basados en el marco de referencia
MAGERIT.

Es preciso aclarar, que el alcance de la propuesta es con base a los criterios que demandan
el servicio del programa SISCO, con el cual se presentan los hallazgos obtenidos en la
auditoria, la propuesta de acciones de remediación para la gestión de riesgos y las
respectivas recomendaciones.

Objetivo

Establecer un adecuado proceso para el tratamiento de amenazas derivadas de

vulnerabilidades informáticas identificadas en la auditoría adelantada por la compañía
ACME Audit S.A.S,

Alcance

 Tratamiento de vulnerabilidades asociadas al control de acceso.

3
  La necesidad de establecer un control de acceso que implemente medidas
apropiadas para otorgar el acceso a la información solo a usuarios que cuenten con
los privilegios.
 Tratamiento de vulnerabilidades asociadas al control de cambios.
 Manejar las amenazas existentes en cuanto a la actualización remota del software,
donde se pueden evidenciar las filtraciones de información, no solo de XYZ, sino de
otras copropiedades que implementan el software.
 Tratamiento de vulnerabilidades asociadas a la gestión de la continuidad y    
disponibilidad.
 Implementar medidas que aseguren en lo posible la continuidad del servicio.

1. Desarrollo

1.1. Hallazgos de Riesgos de Auditoría

Los riesgos gestionados, se basan en la entrega de resultados de la auditoría

realizada por la empresa ACME Audit SAS, en el que se pueden identificar
inconsistencias en la administración por parte del área de tecnología, en la
infraestructura tecnológica de la empresa XYZ.

A continuación, se puede observar la matriz de eventos y sus respectivos riesgos

resultantes, de los cuales se realiza el análisis y gestión de riesgos.

Tabla 1.
Hallazgos de Auditoria
Tabla 1.
Hallazgos de Auditoria

Hallazgos de Auditoria

Actividad Categoría Evento Riesgo

Gestión de Usuarios Acceso a recursos y servicios en red sin autorización
Acceso a cuentas de usuario por medio de ataques de fuerza bruta
Control de Acceso Gestión de seguridad en contraseñas
Suplantación de Usuarios
Acceso a información Sensible Modificación y perdida de información de terceros mediante archivo .DBF
Perdida de Información
Instalación de programas maliciosos
Acceso RDP con privilegios de administrador Configuraciones de sistema no vigilados
Indisponibilidad de servicios de la empresa
Resultado
Control de Cambios Acceso a la total infraestructura tecnológica de la empresa
Informe de
Seguridad de la información para las relaciones con proveedores o tercerosPerdida de confidencialidad, integridad y disponibilidad de la información
Auditoria
Descarga de software no autorizados
Acceso Ilimitado a internet Divulgación de la información por Internet
Sistema Vulnerable a ataques externos a través de internet
Acceso a información sensible a personal no autorizado
Copia de información por medio del aplicativo SISCO
Gestión de la Robo de información sin detección dela actividad
Continuidad y Indisponibilidad de recurso físico o aplicación
Disponibilidad Almacenamiento de Backups del sistema SISCO Perdida de disco externo de almacenamiento
Ataque DOS a servidor SISCO

4
 1.2. Gestión De Riesgos

La gestión de riesgos puede definirse como el proceso de identificación, análisis,

categorización y desarrollo a los riesgos, así como también el control y seguimiento,
esto aplicado a los resultados obtenidos en la auditoria realizada por la empresa
ACME Audit SAS.

Para la gestión de riesgos del proyecto Gestión de Riesgos SISCO, se propone la

siguiente metodología, teniendo presente los procesos de identificación, análisis
cualitativo y cuantitativo, plan de respuesta y cumplimiento y seguimiento de los
riesgos, esto basados en el Modelo MAGERIT.

1.3. Identificación

Se referencio teniendo como base la documentación entrega por la empresa ACME

Audit SAS, con la cual se realizó un listado de riesgos que se pueden materializar,
según el evento, adicional a lo anterior se realiza el respectivo análisis de las
posibles causas asociadas a cada uno de los riesgos identificados.

1.4. Análisis Cualitativo y Cuantitativo

En este parte del análisis de los riesgos se toma como entrada la lista de riesgos
identificados en el resultado de la auditoria.

Se usa la tabla de probabilidad con cinco niveles, la cual nos ubica el riesgo en un
nivel de ocurrencia, estos niveles son:

1- Raro
2- improbable
3- posible
4- probable
5- casi seguro

A continuación, se describe la tabla con los niveles de ocurrencia mencionados.

Tabla 2.

5
Niveles de Probabilidad de ocurrencia
Tabla 2.
Niveles de Probabilidad de ocurrencia
CRITERIOS MEDICIÓN PROBABILIDAD
RANGO PROBABILIDAD
POSIBILIDAD VALOR
PROBABILIDAD MATEMÁTICA
Casi cierto Ocurra la mayoría de veces > 90% 5
Muy probable Posiblemente ocurra varias veces 60,1% - 90% 4
Probable Alguna posibilidad que el evento ocurra 40,1% - 60% 3
Improbable Insignificante posibilidad que el evento ocurra 10,1% - 40% 2
Rara Vez Puede ocurrir en circunstancias excepcionales < 10% 1

Para llevar una correcta medición de los niveles de impacto que puedan ser causados
por los diferentes riesgos si llegasen a ser materializados y pueden interferir o afectar
directamente los objetivos del proyecto. Para establecer esta medida se usa la tabla de
impactos en la cual, se especifican los niveles insignificante, menor, moderado,
mayor, catastrófico.

Tabla 3.
Tiposo niveles de impacto asociados
Tabla 3.
Tiposo niveles de impacto asociados
CRITERIOS MEDICIÓN CONSECUENCIA/IMPACTO
CATEGORÍA COSTO TIEMPO ALCANCE CALIDAD VALOR
El producto terminado del El producto terminado del
Aumento de costo Aumento de tiempo
Catastrófico proyecto es proyecto es 5
>40% >20%
efectivamente inservible efectivamente inservible
Reducción del alcance Reducción de la calidad
Aumento de costo del Aumento de tiempo
Mayor inaceptable para la inaceptable para la 4
20% - 40% 10% - 20%
compañía compañía
La reducción de la
Aumento de costo Aumento de tiempo Áreas de alcance calidad requiere
Medio 3
10% - 20% 5% - 10% principales afectadas aprobación del Comité de
Gerencia del proyecto
Sólo las aplicaciones
Aumento de costo Aumento de tiempo Áreas de alcance
Menor muy exigentes se ven 2
<10% <5% secundarias afectadas
afectadas
Degradación de la
Aumento de tiempo Disminución del alcance
Insignificante Aumento de costo Insignificante calidad apenas 1
Insignificante apenas perceptible
perceptible

Con el fin de tener una calificación de cada uno de los riesgos se realiza la matriz de
probabilidad e impacto.

Tabla 4.
Probabilidad e Impacto del Riesgo
Tabla 4.
Probabilidad e impacto del riesgo
Posibles Causas de Riesgo
1 Demoras en una toma de decisiones en la organización (Procesos, Personas).
2 Clientes que no son confiables (Personas).
3 Equipo no apto para ejecutar las tareas (Personas).
4 Reestructuración de la organización (Procesos, Personas). Tratamiento del Riesgo
5 Recortes presupuestarios al proyecto (Procesos). Reducción del riesgo
6 Supuestos no válidos (Procesos). Retención del riesgo
7 Crisis económica que afecte a la organización y al proyecto (Procesos). Evitación del riesgo
8 Baja moral en el equipo, desmotivación (Personas). Transferencia del riesgo
9 Enfermedades, desastres naturales, problemas climáticos (Procesos).
10 Resistencia al cambio (Personas).
11 Oposición de la sociedad, de la ciudad, del pueblo (Personas).
12 Fallas en la infraestructura y servicios externos (Tecnología).

6
 Teniendo como base los resultados de la matriz de probabilidad e impacto, se define
una escala numérica con la que se clasifica el riesgo según su nivel, estos pueden
ser:

1- extremo
2- alto
3- moderado
4- bajo
5- muy bajo

Tabla 5.
Niveles de Riesgo
Tabla 5.
Niveles de Riesgo
Colorimetria
Categ. N. Riesgos
Se requiere acción inmediata.
Extremo Planes de tratamiento requeridos, implementados y reportados al comité de proyectos de
la compañía. Inaceptable
Requiere atención de la gerencia del proyecto. Planes de tratamiento requeridos,
Alto
implementados y reportados al comité de de gerencia del proyecto.
La responsabilidad gerencial debe ser especificada. Administrado con procedimientos
Moderado
normales de control.
Aceptable
Bajo Se administra con procedimientos rutinarios.
Muy Bajo No se requiere ninguna acción.

1.5. Mapa Térmico del proyecto

A continuación, se relaciona el mapa térmico asociado a los valores presentados, según los
riesgos y las probabilidades de ocurrencia de los riesgos asociados.

Gráfico 1.
Mapa Térmico

7
Gráfico 1.
Mapa Termico

MAPA DE RIESGOS

MAPA TERMICO
PROYECTO
5 10 10 1
52 #REF!
1
7
58
9
8 2

4
IMPACTO

1 4
3

0
0 1 2 3 4 5

PROBABILIDAD

1.6. Plan De Respuesta

Debido al nivel de riesgos que se están presentando, es necesario priorizar las

acciones de remediación, para una pronta reducción según el plan de contingencia
por cada uno de los riesgos priorizados, eso teniendo en cuenta las estrategias para
amenazas las cuales son evitar, transferir, mitigar y aceptar.

1.7. Control Y Seguimiento

Para cada uno de los riesgos a los cuales se da una respuesta, se les debe realizar
una asignación de responsable el cual debe supervisar la correcta ejecución del plan
de acción de riesgos, al igual que realizar los seguimientos correspondientes para la
mitigación o solución del mismo, documentando y tomando decisiones nuevas en
caso de ser requeridas.

1.8. Acciones de Remediación

Con el fin de conservar la confidencialidad, integridad y disponibilidad de los

servicios y recursos tecnológicos de la empresa XYZ, el equipo propone las
siguientes acciones de remediación en la matriz de gestión de riesgos.

Se debe tener en cuenta que de acuerdo a lo establecido en la norma ISO 9001 de

2005, establece que el incumplimiento o el hallazgo de uno u más requisitos del

8
 sistema dentro de una misma gestión, se le cataloga como No conformidad mayor,
por tal razón su nivel de manejo debe ser de forma crítica e inmediata.

Tabla 6.
Matriz de Gestiion de Riesgos
Tabla 6 .
M atriz de Ges tión de Ries gos

MATRIZ DE RIES GOS

IDENTIFICACIÓN RIESG OS DE PROYECTOS

NOMB RE DEL PRO YECTO Ge sti ón de Ri e sgos SISCO
Re al i za r l a ge s tión de ri e s go s de acue rdo a re sul ta do de l a audi tará re al i zada por l a e mpre sa
OBJETIVO ACME Audi t SAS, con re l aci ón al s is tema i nteg rado SISCO GSI, quie n re gi stra l a contabi l i da d
de l a e mpresa XYZ

IDENTIFICACION DEL RIES GO ANALISIS DE RIESGO

ACION ES DE REMEDIACION PRO BABILIDAD

No. DESCRIPCIÓN DEL R IESG O CAU SAS FUENT E DE RIESG O IMPACTO VALORACIÓ N N IV EL DE SE VERIDAD NIV EL DE EXPOSICION DEL RIESG O OPCIO NES DE MANEJO
PONDERADA
No cue nta con la debi da confi guraci ón de acce sos e n e l s is te ma
Proce sos 1- Ge s tión de us uari os : cre aci ón,
SIS CO
modi fi cación y e l i mi na ci ón de
A cces o a recursos y s ervi ci os en re d usuari os , de acue rdo a rol e s
1 4 5 20 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
s in autori z aci ón s ol i ci tados.
Fal ta de ge sti ón de usuari os y rol e s en l a O rga ni za ci ón XY Z Proce sos
2- Docume ntaci ón me nsual de
usuari os e n SISCO .
1- Confi gurar pol íti cas que cubra n
l os si gui e nte s aspe ctos
:
* Cambi o pe ri ódi co de contrase ña
A cces o a cue ntas de usuari o por me di o cada 30 días
2 Ine xi ste nci a de polí ticas de se guridad de contras e ñas Te cnol ogía 5 5 25 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
de ataque s de fue rz a bruta * Longi tud de contrase ña míni mo
12 dígi tos que i ncl uyan e l uso de
caracte re s alf a numéri cos y
formato UTF8
* Hi stori al de contras eña ( 13)
1- Confi gurar pol íti cas que cubra n
l os si gui e nte s aspe ctos
:
* Cambi o pe ri ódi co de contrase ña
cada 30 días
Ine xi ste nci a de polí ticas de se guridad de contras e ñas Te cnol ogía * Longi tud de contrase ña míni mo
12 dígi tos que i ncl uyan e l uso de
caracte re s alf a numéri cos y
formato UTF8
* Hi stori al de contras eña ( 13)
3 Supl antaci ón de Usuari os 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo

1- R eme di a ci one s d el í te m de
i nexi ste nci a de pol íti cas de
La confi guraci ón de e xpi raci ón de cue ntas de usuari os no se s eguri da d de co ntra se ñas.
Te cnol ogía
encue ntra habi l i tada 2- Habi l i tar opci ón de e xpi raci ón
de cue ntas de u sua ri o.

La confi guraci ón de i nte ntos f al l idos de cuentas de usuari os no se 1- Habi l itar opci ón de i nte ntos
Te cnol ogía
encue ntra habi l i tada fa l li dos de a cce so ( 3 i ntentos)
1- De l e gar rol e s basa dos en
Los usuari os re gis trados en l a apl i ca ci ón SI SCO tie ne f ul l con trol pe rmi sos de ti po Le ctura y
Te cnol ogía
sobre l os a rchi vos con forma to .DBF Escri tura , tanto en la a pl i caci ón
como e n el A D.
Modifi caci ón y pe rdi da de inf ormación
4 1- Se de ben prote ge r con 4 5 20 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
de terceros me di ante archi vo .DBF Los archi vos no cue ntan con protecci ón a travé s de cre de nci al e s Te cnol ogía
contras e ñas l os archi vos.
1- Apl i car ci frado con niv el e s al to
Los archi vos no se encue ntran ci frados ( te xto plano) Te cnol ogía
de se guridad a l os archi vos

1- Cre aci ón de acce so por RDP de

acue rdo a role s con sus re spe cti vo
Ingre so de usuari os por RDP , a se rv i dor con pe rmi sos de
5 Pe rdi da de Inf ormaci ón Te cnol ogía pe rmi sos. 5 5 25 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
admi ni stra dor.
2- Configuraci ón de permis os e n
carpe tas del se rvi dor.

1- Vi ncul ación de l se rvi dor al A D

2- De l e gar rol e s de usuari os,
6 Instal aci ón de programas mal i ci osos Los usuari os cue ntan con pe rmi sos de admi ni s trador Te cnol ogía admi ni strador l ocal , admi ni strador 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
de domi ni o y usuari os e stánda r
de ntro del A D.

1- Vi ncul ación de l se rvi dor al A D

2- De l e gar rol e s de usuari os,
Configuraci ones de si ste ma no
7 Los usuari os cue ntan con pe rmi sos de admi ni s trador Te cnol ogía admi ni strador l ocal , admi ni strador 5 5 25 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
vi gi l ados
de domi ni o y usuari os e stánda r
de ntro del A D.

1- Vi ncul ación de l se rvi dor al A D

2- De l e gar rol e s de usuari os,
Indi sponi bi l i dad de s e rv ici os de l a
8 Los usuari os cue ntan con pe rmi sos de admi ni s trador Te cnol ogía admi ni strador l ocal , admi ni strador 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
e mpre sa
de domi ni o y usuari os e stánda r
de ntro del A D.

1- Vi ncul ación de l se rvi dor al A D

2- De l e gar rol e s de usuari os,
A cces o a l a total i nf rae structura
9 Los usuari os cue ntan con pe rmi sos de admi ni s trador Te cnol ogía admi ni strador l ocal , admi ni strador 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
te cnol ógi ca de l a e mpre sa
de domi ni o y usuari os e stánda r
de ntro del A D.

1- Cone xi ón a se rvi dor , a travé s de

Pe rdi da de confide nci al i dad, El usuari o de soporte de l a apl i caci ón SISCO, a cce de a tra vés de e qui po cl i e nte con usuari o da
10 i ntegri dad y di sponibi l i dad de la te amvi e wer. Dire ctamente al se rvi dor contando con permis os de Te cnol ogía cue rdo a rol e s con sus re s pe ctivos 5 5 25 EXTREMO IN ACEPTABLE Re ducci ón del Ri e sgo
i nf ormaci ón admi ni stra dor sobre el mi smo. pe rmi sos en A D.

1- Se requi e re i mpl eme nta r

polí ticas de nave gaci ón y acce sos a
i nte rnet, a travé s de Fi rewal l ,
11 De scarga de s oftw are no autori zados No e xi sten control e s ni re stricci one s de conex i ón a inte rne t. Te cnol ogía 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
confi guraci ón de puertos y
protocol os de nave gaci ón se gura
(HTTPS)

1- Se requi e re i mpl eme nta r

polí ticas de nave gaci ón y acce sos a
i nte rnet, a travé s de Fi rewal l ,
Di vulg aci ón de l a i nf ormación por
12 No e xi sten control e s ni re stricci one s de conex i ón a inte rne t. Te cnol ogía confi guraci ón de puertos y 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
Interne t
protocol os de nave gaci ón se gura
(HTTPS)

1- Se requi e re i mpl eme nta r

polí ticas de nave gaci ón y acce sos a
i nte rnet, a travé s de Fi rewal l ,
Si s te ma V ul ne rabl e a ataque s
13 No e xi sten control e s ni re stricci one s de conex i ón a inte rne t. Te cnol ogía confi guraci ón de puertos y 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
e xte rnos a travé s de i nte rne t
protocol os de nave gaci ón se gura
(HTTPS)

Se de be n prote ge r con contras eñas

Los archi vos no cue ntan con protecci ón a travé s de cre de nci al e s Te cnol ogía 5 5 Re ducci ón del Ri e sgo
A cces o a i nforma ci ón se nsi bl e a l os archi vos.
14 25 EXTREMO INACEPTABLE
pe rsonal no a utori z ado A pl i car ci frado con ni ve l e s al to de
Los archi vos no se encue ntran ci frados ( te xto plano) Te cnol ogía 5 5 Re ducci ón del Ri e sgo
s eguri da d a l os archi vos
Se de be n prote ge r con contras eñas
Los archi vos no cue ntan con protecci ón a travé s de cre de nci al e s Te cnol ogía 5 Re ducci ón del Ri e sgo
Robo de i nf ormaci ón si n de tecci ón l os archi vos.
15 5 25 EXTREMO INACEPTABLE
de l a activi dad A pl i car ci frado con ni ve l e s al to de
Los archi vos no se encue ntran ci frados ( te xto plano) Te cnol ogía 5 Re ducci ón del Ri e sgo
s eguri da d a l os archi vos
Del e gar rol es basados e n pe rmi sos
El usuari o cue nta con pe rmi sos de a dmi nis trador Te cnol ogía de tipo Lectura y Es critura, tanto e n 5 5 Re ducci ón del Ri e sgo
l a apl i caci ón como e n e l AD.
Indi sponi bi l i dad de re curso físi co o
13 25 EXTREMO INACEPTABLE
apl i caci ón 1- Impl e mentar protecci ón de
fi re wal l ( IDS- IPS )
Ataque s DOS Te cnol ogía 5 5 Re ducci ón del Ri e sgo
2- Impl e mentación de cargas
contra ataque s DOS
1- s e de be ase gurar e l l ugar de
al mace nami ento de l os Backups de
l a apl i caci ón SIS CO
Pe rdi da de di sco exte rno de
14 Seg uri dad fís i ca Inf rae s tructura 2- Impl e me ntar se rvi dor de 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
al mace nami e nto
Backups
3- Impl e me ntar pol íti cas de
Backups

1- Impl e mentar protecci ón de

A ta que DOS a servi dor SISCO fi re wal l ( IDS- IPS )
15 Ataque s DOS Te cnol ogía 5 5 25 EXTREMO INACEPTABLE Re ducci ón del Ri e sgo
2- Impl e mentación de cargas
contra ataque s DOS
3- Impl e mentar se rvi dor e spe jo
(re spal do de l a apl i caci ón)

Conclusiones

 La identificación de los riesgos es de suma importancia ya que permitirá

concentrarse en los riesgos que se pueden llegar a materializar.
 El generar auditorías internas de forma periódica, logra identificar la aparición
de nuevos riesgos con el fin de realizar las acciones de mitigación pertinentes,
y a su vez el control y seguimiento de estos, ya que estos procesos se
9
 catalogan como ciclos repetitivos continuos, dando a si valor a lo indicado en
el siclo de vida PHVA
 Al definir el nivel de la probabilidad de ocurrencia y el nivel de impacto de
los riesgos, permitirá hallar el nivel de riesgo y así focalizarse con mayor
grado de atención a los que den niveles críticos.
 Se debe realizar una adecuada determinación del nivel del riesgo por cada uno
de los eventos para proponer el plan de respuesta que más se ajuste al
hallazgo.
 Es de vital importancia la propuesta de planes de respuesta de riesgos que
garanticen un adecuado control y seguimiento de estos.
 La matriz de riesgos permite orientar al encargado del GSI para tomar y
aplicar el mejor plan de mitigación sobre el riesgo en cuestión.
 Es necesario contar con personal capacitado el cual maneje el tema de
tratamiento, control y seguimiento de los riesgos en la empresa.
 Se deben tener planes de respuesta claros, actualizados y efectivos, que
permitan el control y un adecuado manejo de los riesgos para reducir la
probabilidad y/o impacto de ocurrencia.
 Se debe tener implementado el sistema de gestión de riesgos, con el fin de
tener un control y seguimiento sobre los riesgos encontrados analizados y
mitigados.

Referencias Bibliográficas

Moya, J. (2020, 13 de agosto). Implementando NIST CSF | Seguridad Cero. [Archivo de

video]. Recuperado de: https://www.youtube.com/watch?v=bx_Cu1ldH-Q

Mogollón, A. (2008). Análisis comparativo: metodologías de análisis de riesgos.

Recuperado de http://www.academia.edu/14195886/An
%C3%A1lisis_Comparativo_Metodolog%C3%ADas_de_an
%C3%A1lisis_de_RiesgosISO. (2013). ISO 27001:2013. Information technology -
Security techniques -Information security management systems - Requirements.
Recuperado de: https://www.iso.org/standard/54534.html

INCIBE. (2015). Gestión de riesgos. Una guía de aproximación para el empresario.

Recuperado de:
https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_
riesgos_metad.pdf

López, L. ANÁLISIS DE RIESGOS INFORMÁTICOS - EJE 4 Propongamos. [Referente].

Recuperado de: https://areandina.instructure.com/courses/13009

10
11