RIESGOS Y CONTROL INFORMATICO

CONTEXTUALIZACIÓN SOBRE RIESGOS Y CONTROL INFORMÁTICO

PRESENTADO POR:

HECTOR EDUARDO ZULUAGA DIAZ

CODIGO

1039446744

PRESENTADO:

LUIS FERNANDO ZAMBRANO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

UNAD

MEDELLIN

2019
 TABLA DE CONTENIDO

RESUMEN ..................................................................................................................................... 3

INTRODUCCION .......................................................................................................................... 4

ANÁLISIS Y LA GESTIÓN DE RIESGOS INFORMÁTICOS IMPORTANCIA DENTRO DE

UNA ORGANIZACIÓN ................................................................................................................ 5

Algunos aspectos que se pueden tomar en cuenta para un correcto diagnóstico y tratamiento

de los riesgos que pueden afectar a la compañía están:............................................................. 7

CONCLUSIONES .......................................................................................................................... 9

BIBLIOGRAFÍA .......................................................................................................................... 10
 RESUMEN

El documento presente tiene como principio dar mediante un breve texto la importancia de los

datos dentro de las organizaciones y como los correctos análisis dentro de las compañías en sus

diferentes campos es posible entender como uno o más riesgos pueden afectar la compañía, y

como realizando un correcto análisis y gestión de ellos se pueden reducir los daños no solo con

la información, sino también con todo aquello que involucra a la organización.

 INTRODUCCION

La gestión de riesgos informáticos es uno de los muchos métodos que se pueden aplicar para la

protección de los diferentes activos con los que pueda contar una compañía, es por ello que como

profesionales es necesario conocer los diferentes planes que se pueden implementar al interior de

las compañías, ya que es importante contar con mecanismos para poder proteger la data, además

de los controles de seguridad se debe de contar con mecanismos que permitan no solo tener los

datos protegidos sino también contar con procesos para crear puntos de backup que ayudaran a

que el caso de alguna falla la compañía pueda recuperar la mayor cantidad de datos en el menor

tiempo posible, reduciendo en lo más mínimo los daños colaterales.

Con el documento presente se podrá encontrar un análisis corto pero que dará una idea básica

sobre la importancia que tiene la gestión y análisis de los riesgos informáticos y como estos

influyen en la operación de una organización, al momento de que una persona capacitada en el

área podrá evaluar una compañía y sus diferentes activos (equipos, red y personal), para así

encontrar posibles riesgos, fallas y vulnerabilidades con el fin de afrontarlos a tiempo y reducir

daños futuros.
ANÁLISIS Y LA GESTIÓN DE RIESGOS INFORMÁTICOS IMPORTANCIA DENTRO

DE UNA ORGANIZACIÓN

Como profesionales es bien de conocer que cada día la tecnología avanza, y cada vez más las

empresas que llevan tiempo en el mercado y las nuevas deben estar al día en la tecnología, para

así estar al frente en los mercados digitales, es por ello que las organizaciones deben conocer de

los diferentes riegos informáticos y como estos pueden llegar a afectar a sus organizaciones, bien

sea desde el punto humano o natural, para así poder tener un mejor entendimiento y como poder

afrontarlos con el menor riesgo posible.

Tomando en cuenta lo antes mencionado de mis propias palabras y aprendido profesionalmente

en mi campo laboral informo lo siguiente:

La gestión de riesgos informáticos es un proceso que está ligado a la ciberseguridad, un proceso

que debe ser un plan rutinario para cada empresa, en la cual no debe de importar si esta es

grande, mediana o chica ya que para cualquier delincuente cibernético esto no tiene mucha

importancia, siempre y cuando pueda tener acceso a la información esto será suficiente, y dado

que los datos de una compañía es uno de sus activos más valioso, esto claro sin dejar de lado el

talento humano que es quien ayuda también a la construcción de los datos información que la

compañía adquiere, por ello que es que se requiere tener cuidado en como un la información se

almacena y como es tratada por el personal de la compañía.

Para poder realizar un correcto análisis de un impacto lo usual es partir de la documentación que

ya existe, es decir que dentro de una organización existen diferentes posibles brechas de
seguridad y conociendo cuales son las más vulnerables se puede realizar un proceso para

minimizarlos en este punto se realiza un análisis a la seguridad organizacional, a partir de esto se

puede comenzar una correcta gestión de riegos informáticos y así poder crear un informe que

ayude a futuro a la compañía.

Como ya hemos antes mencionado, los datos tienen una gran importancia dentro de la compañía

pero también lo es el talento humano, sin embargo los diferentes equipos también cuentan con un

nivel de importancia, pues si alguno de estos llega a fallar, se pueden presentar inconvenientes

con otros procesos o con los mismos datos, por lo que se requiere contar un correcto análisis de

los diferentes riesgos que pueden afectar a la compañía, y dentro del libro 2 de Margerit

podemos encontrar que existen diferentes tipos de desastres que afectan a toda una organización

con todo la que la compone, en esto podemos hablar de desastres tanto naturales que no pueden

preverse pero si se pueden contar con mecanismos para la reducción de daños y perdida tanto de

datos como de talento humano, o también los desastres del tipo industrial que pueden ser

ocasionados de forma accidental, que se derivan de actividades humanas y en algunas ocasiones

se pueden presentar de forma accidental o intensional.

Una correcta aplicación de metodologías para el análisis de riesgos dentro de una empresa tiene

una gran importancia, ya que como se ha mencionado hoy en día es importante con una buena

seguridad con la cual proteger a la compañía y todos sus activos, ya que el tener una mala

seguridad y administración de la misma puede poner en riesgo lo que se ha construido en mucho

tiempo.
En el análisis de riesgos tenemos que este es un proceso con el cual se puede tener una idea

general del nivel de riesgos a los que puede estar expuesta la empresa esto identificando las

amenazas como:

• Desastres naturales: Terremotos, incendios, inundaciones entre otros.

• Fallas con los sistemas: Una falla con los sistemas puede desencadenar en múltiples fallas

y más cuando se tiene una organización conectada entre sí.

• Interferencia humana accidental: En este tipo de amenaza se debe de considerar como

alta.

• Suplantación: Cuando no se tienen definidas correctamente políticas o el personal

desconoce ciertos tipos de controles, se puede presentar el caso de que alguien haga uso

indebido de las credenciales de otra personal de la compañía.

Algunos aspectos que se pueden tomar en cuenta para un correcto diagnóstico y tratamiento

de los riesgos que pueden afectar a la compañía están:

1. Seguridad digital en la gestión de vulnerabilidades: Si bien los antivirus corporativos y la

capacitación a los empleados para que generen claves fuertes es necesario, esta práctica

no garantiza que los datos quedaran bien resguardados, por lo que lo ideal es que la

compañía cuente o con un área que se especialice y administre la seguridad informática o

contratar con un tercero que ayude con todo el tema de seguridad.

2. Servicios de seguridad vs equipos de seguridad digital: Contar con un buen equipo de

seguridad digital es importante ya que con este se pueden desarrollar estrategias con las
 cuales mitigar los riesgos informáticos, aun así, esto exime que la empresa pueda ser

víctima de un ataque informático, ya que el equipo de seguridad es solo un eslabón en la

cadena para desarrollar e implementar correctas estrategias que sean eficaces para la

seguridad.

3. Pros y contras de contratar servicios con externos para la reducción de riesgos informáticos: Al

momento de contratar un servicio con un tercero es la experiencia y el personal capacitado no

solo en los equipos sino también en los diferentes tipos de amenazas que existen, además de que

este personal cuenta con un criterio imparcial al momento de dar un veredicto de lo que puede

estar ocurriendo a nivel de seguridad en la compañía. Aun así, también se tiene una desventaja y

es que requiere de tiempo no solo para conocer a fondo la compañía y su infraestructura, sino

que también requiere adaptarse a la dinámica laboral.

 CONCLUSIONES

Cuando las compañías comprenden la importancia que tienen no solo los datos que manejan,

sino también todos aquellos componentes que influyen en la construcción de estos, es cuando

comienzan por tener un mayor cuidado al momento de procesarla y en la mayoría de los casos

optan por contar con un área que se encargue de la administración y aseguramiento de la misma.

Aun así las organizaciones también deben de comprender que aun cuando se tengan todos los

controles de seguridad el riesgo siempre estará presente, por lo que es necesario contar con

controles periódicos y capacitación a los empleados para evitar fallas frente a las posibles fallas

que podrían presentarse frente a fallas humanas o naturales.

 BIBLIOGRAFÍA

Abril Estupiñan, A., Pulido, J. A., & Bohada Jaime, J. A. (25 de 11 de 2013). ANÁLISIS DE
RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Obtenido de
https://www.jdc.edu.co/revistas/index.php/rciyt/article/view/121/113
Arévalo Moscoso, F. M., & Cedillo, P. (11 de 2017). Metodología Ágil para la Gestión de
Riesgos Informático. Obtenido de
https://www.researchgate.net/publication/321176840_Metodologia_Agil_para_la_Gestio
n_de_Riesgos_Informaticos
Editorial, E. (16 de 05 de 2019). Gestión de riesgos informáticos: cómo detectar y solucionar
vulnerabilidades y amenazas. Obtenido de Reporte Digital:
https://reportedigital.com/negocios/gestion/gestion-riesgos-informaticos/
francescaznar. (15 de 09 de 2017). ANÁLISIS Y EVALUACIÓN DE RIESGOS INFORMÁTICOS.
Obtenido de https://francescaznar.com/analisis-evaluacion-riesgos-informaticos/
Guedez, A. (27 de 06 de 2018). 5 aspectos fundamentales para el diagnóstico de riesgos
informáticos de tu empresa. Obtenido de https://www.gb-advisors.com/es/diagnostico-
de-riesgos-informaticos/
MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
(10 de 2012). Obtenido de MAGERIT – versión 3.0 Metodología de Análisis y Gestión
de Riesgos de los Sistemas de Información Libro II:
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/
pae_Magerit.html#.XWZLlihKhGN