Análisis de riesgos en seguridad de la información
DOI:
https://doi.org/10.38017/2390058X.121Palabras clave:
análisis de riesgos, controles, metodologías de análisis de riesgos, seguridad de la información, vulnerabilidades.Resumen
Este artículo se enfoca en exponer algunas opciones y permitir generar argumentos sólidos para identificar cuál es la metodología de análisis de riesgos que proporciona una mejor oportunidad de toma de decisiones dentro de una organización frente a la custodia de la información, la cual se ha convertido en uno de los activos más importantes del ámbito empresarial e implica una adecuada utilización y preservación para garantizar la seguridad y la continuidad del negocio. Existen varias metodologías de análisis de riesgos como: OCTA-VE, MEHARI, MAGERIT, CRAMM, EBIOS y NIST SP 800-30, las cuales se orientan hacia el mismo objetivo, pero tienen características propias que las hacen atractivas para las empresas en todos los sectores. A partir del estudio realizado en la empresa ECO – VOLTIO, se logra determinar que MAGERIT resulta ser la opción más efectiva y completa ya que protege la información en cuanto a integridad, confidencialidad, disponibilidad y otras características importantes para garantizar la seguridad de los sistemas y procesos de la organización. La aplicación de metodologías de análisis de riesgos es de utilidad a las organizaciones para tener un mayor control sobre sus activos, su valor y las amenazas que pueden impactarlas, obligándolas a implementar medidas de seguridad que garanticen el éxito de sus procesos y una mayor competitividad en el mundo empresarial.
Biografía del autor/a
Ana del Carmen Abril Estupiñan, Fundación Universitaria Juan de Castellanos
Jarol Alexander Pulido, Fundación Universitaria Juan de Castellanos
John Alexander Bohada Jaime, Fundación Universitaria Juan de Castellanos
Referencias bibliográficas
[1] E. Daltabiut, L. Hernández, G. Mallén, J. Vázquez, La seguridad de la información, México: Limusa Noriega Editores S.A., 2009.
[2] J. Areitio Bertolín, Seguridad de la información, redes, informática y sistemas de información, Madrid-España: Cengage Learning Paraninfo S.A., 2008.
[3] V. Aceituno Canal, Seguridad de la información, México: Limusa Noriega Editores, 2008.
[4] R. Gómez, D. Pérez, Y. Donoso, A. Herrera, (2010, junio), Metodología y gobierno de la gestión de riesgos de tecnología de la información, Revista de Ingeniería SCIELO, [On line]. Disponible en http://www.scielo.unal.edu.co/scielo.php?script=sci_arttex-t&pid=S0121-49932010000100012&ln-g=es&nrm=
[5] M. Muñoz, (2013, agosto), Security Consultant ETEK International, Introducción a OCTAVE. [On line]. Disponible en http://www.acis.org.co/memorias/JornadasSe-guridad/IVJNSI/MauricioMunoz-IVJNSI.pdf
[6] J. M. Matalobos, (2013, septiembre), Análisis de Riesgos de Seguridad de la Información, Universidad Politécnica de Madrid, [On line]. Disponible en http://oa.upm.es/1646/1/PFC_JUAN_MANUEL_MA-TALOBOS_VEIGAa.pdf
[7] J. A. Peña Ibarra, Vicepresidente internacional ISACA, (2013, octubre), Metodologías y normas para el análisis de riesgos: ¿Cuál debo aplicar?, [On line]. Disponible en http://www.isaca.org/chapters7/Mon-terrey/Events/Documents/20100302%20Metodolog%C3%ADas%20de%20Ries-gos%20TI.pdf
[8] Y. Campos, Administración de riesgos en las tecnologías de información, Universidad Nacional Autónoma de México. Disponible en http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/hand-le/132.248.52.100/1025/Tesis.pdf?sequen-ce=1
[9] H. Leteller, (2013, julio), Consultor Alfresco y J2EE en Blaunia, Seguridad de los sistemas de información, Metodología MA-GERIT. [On line]. Disponible en: http://www.belt.es/expertos/home2_experto.as-p?id=5374
[10] R. Gómez, D. Pérez, (2010, junio), Metodología y gobierno de la gestión de riesgos de tecnología de la información, Universidad de Los Andes, [On line]. Disponible en http://www.scielo.org.co/scielo.php?pid=S01219932010000100012&script=sci_arttext
[11] A. Carvajal, (2013, septiembre), Análisis y gestión de riesgos: base fundamental de SGSI, caso: Metodología MAGERIT, Globaltek Security, [On line]. Disponible en http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSegurida-d/17-ElAnalisisRiesgosBaseSistemaGes-tionSeguridadInformacionCasoMagerit.pdf
[12] J. Cocho, Director de proyecto y Romo S. Consultor principal SEMA- GROUP, (2013, septiembre), Metodología de aná-lisis de gestión de riesgos de los sistemas de información, [On line]. Disponible en http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
[13] MC. Crespo, (2013, enero) El análisis de riesgos dentro de una auditoría, Informática: pasos y posibles metodologías, Universidad Carlos II de Madrid, [On line]. Disponible en http://earchivo.uc3m.es/bitstream/handle/10016/16802/PFC_Carmen_Cres-po_Rin.pdf?sequence=1
[14] J. Baños y P. Carrera, (2013, Octubre), Elaboración del plan de disponibilidad del TI para la empresa RELIANCE, Escuela Politécnica Nacional, [On line]. Disponible en http://bibdigital.epn.edu.ec/bitstream/15000/2405/1/CD-3137.pdf
[15] A. Huerta, (2013, marzo), Introducción al análisis de riesgos – Metodologías I, [On line]. Disponible en http://www.securityartwork.es/2012/03/30/introduccion-alanali-sis-de-riesgos-metodologias-i/
[16] R. Gil, Sistematización de la gestión de riesgos de seguridad informática en la red de la Universidad Centro Occidental Lisandro Alvarado. [On line]. Disponible en https://www.google.com.co/url?sa=t&rc-t=j&q=&esrc=s&source=web&cd=20&-cad=rja&ved=0CGMQFjAJOAo&ur-l=http%3A%2F%2Friesgosdeseguridad.wikispaces.com%2Ffile%2Fview%2F-trabajo%2Bde%2Bgrado.%2Bpor%-2Braul%2Bgil%2B0312.doc&ei=T-GBjUo-lJonu8ATLtoDQAQ&usg=AFQjCNEJjqdnRx1z3ZARdEoyOOij-VOuJcg&bvm=bv.55139894,d.eWU
[17] Instituto Nacional de Tecnologías de la Comunicación (INTECO), Guía avanzada de gestión de riesgos. [On line]. Disponible en https://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&sour-ce=web&cd=30&cad=rja&ved=0CG0Q-FjAJOBQ&url=http%3A%2F%2Fwww.inteco.es%2Ffile%2FteW3c753nhRR-K6a0e7iZKg&ei=bTRkUqzZB4fa8ASCjIB4&usg=AFQjCNGNHP8zxXy5j0ct-NID4ESBSaxvj2A&sig2=k-5NDyu19zdM2Cg-r4gvyQ&bvm=bv.55139894,d.eWU
[18] J. Borbón, Buenas prácticas, estándares y normas, Revista Seguridad y Defensa Digital. [On line]. Disponible en http://revista.seguridad.unam.mx/numero-11/buenas-pr%C3%A1cticas-est%C3%A1n-dares-y-normas
[19] T. Freire, Directora de la Colección Biblioteca de Economía y Finanzas, Dirección y gestión de los sistemas de información en la empresa. [On line]. Disponible en http://books.google.com.co/books?i-d=OqlSVYn0fI0C&pg=PA180&dq=-gestion+de+riesgos+metodologia+octa-ve&hl=es&sa=X&ei=MOVlUqrEC4LA-9QSJh4Ag&ved=0CCwQ6AEwAA#v=o-nepage&q=gestion%20de%20riesgos%20metodologia%20octave&f=false.
[20] M. C. Gallardo, P. O. Jácome, (2013, agosto), Análisis de riesgos informáticos y elaboración de un plan de contingencia TI para la empresa eléctrica Quito S.A., [On line]. Disponible en http://bibdigital.epn.edu.ec/bitstream/15000/3790/1/CD-3510.pdf
[21] E. Cárdenas, (2013, octubre), Metodologías para el análisis. Universidad técnica de Manabí (UTM), [On line]. Disponible en http://msnseguridad.blogspot.com/2012/08/segu-ridad-informatica-la-seguridad.html
[22] J. A. Betolini, (2013, agosto). Gestión de riesgos de seguridad y privacidad de la información, Universidad de Deusto, [On line]. Disponible en http://www.conectronica.com/Seguridad/Gesti%C3%B3n-de-ries-gos-de-seguridad-y-privacidad-de-lain-formaci%C3%B3n.html
[23] CERT, 2013, septiembre, Metodología OCTAVE, [On line]. Disponible en http://www.cert.org/octave/
[24] M. Baldeón, C. Coreonel, Plan maestro de seguridad informática para la UTIC DE LA ESPE con lineamientos de la norma ISO /IEC 27002. [On line]. Disponible en http://repositorio.espe.edu.ec/bitstream/21000/6026/1/AC-GS-ES-PE-034491.pdf
[25] European Union Agency for Network And Information Security. [On line]. Disponible en http://rminv.enisa.europa.eu/methods/m_mehari.html
[26] CLUSIF, Metodología MEHARI, 2010. [On line]. Disponible en http://www.clusif.asso.fr/fr/production/ouvrages/pdf/ME-HARI-2010-Introduccion.pdf
[27] Y. Tapias, (2013, julio), Mejoramiento de la Seguridad En PYMES, [On line]. Disponible en http://aprendiendosecinfo.blogspot.com/
[28] Oficina Asesora de Sistemas, (2013, agosto), Proceso de desarrollo OPEN–UP/ OAS, Universidad Distrital Francisco José de Caldas, [On line]. Disponible en http://www.udistrital.edu.co:8080/docu-ments/276352/356568/Cap5GestionRies-go.pdf
[29] Gobierno de España, Ministerio de Hacienda y Administraciones Públicas, Metodologías de análisis y gestión de riesgos de los sistemas de información, libro 1: guía de técnicas, [On line]. Disponible en http://ad-ministracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.UmMfU3BFXpU
[30] UNAD, Sistema de Gestión de Seguridad de la Información SGSI, dimensiones de seguridad, [On line]. Disponible en http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-enlinea/3221_di-mensiones_de_seguridad.html
[31] C. Gutiérrez, (2013, mayo), Metodología MAGERIT: metodología práctica para gestionar riesgos, [On line]. Disponible en http://www.elsemanario.com/noticias/tec-nologia/85028-magerit-metodologia-prac-tica-para-gestionar-riesgos.html
[32] L. Camalo, (2013, agosto), Gestión de Riesgos 2010, [On line]. Disponible en http://seguridadinformacioncolombia.blogspot.com/2010/05/gestion-de-riesgos.html
[33] J. Eterovic, G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [On line]. Disponible en http://www.cyta.com.ar/ta1001/v10n1a3.htm
[34] E. Ferrero, (2006), Análisis y gestión de riesgos del servicio IMAT del sistema de información del I.C.A.I. Madrid, Universidad Pontificia Comillas, [On line]. Disponible en http://www.iit.upcomillas.es/pfc/resumenes/44a527e27a231.pdf
[35] A. Lucero, J. Valverde, Análisis y gestión de riesgos de los sistemas de la cooperativa de ahorro y crédito Jadin Uzuayo (Ecuador),
[36] Utilizando la metodología MARGERIT. [On line]. Disponible en http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/tcon640.pdf
[37] Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. [On line]. Disponible en http://www.pilar-tools.com/magerit/v2/meth-es-v11.pdf
[38] M. Fernández Manuel, Estudio de una estrategia para la implementación de los sis-temas de gestión de seguridad de la infor-mación, Universidad de CÁDIZ (España). [On line]. Disponible en http://www.mfbar-cell.es/conferencias/Metodolog%C3%A-Das%20de%20seguridad_2.pdf
[39] R. Valbuena, Seguridad en redes de tele-comunicaciones e informática. 2010. [On line]. Disponible en http://seguridaddigitalvenezuela.blogspot.com/2010/07/cramm-software-para-el-manejo-de.html
[40] M. Crespo, (2013, enero), El análisis de riesgos dentro de una auditoría informática: pasos y posibles metodologías, Universidad Carlos III de Madrid, [On line]. Disponible en http://e-archivo.uc3m.es/bitstream/handle/10016/16802/PFC_Carmen_Crespo_Rin.pdf;jsessionid=8EA401088DD103F1324990EBA6FD6CC5?sequence=1
[41] F. Martus, V. Mesa, Seguridad, Editorial MAT, S.L., España, 2006.
[42] E. Landazuri, C. Roberto, J. C. Merino, Manual de procedimientos para ejecutar la auditoría informática en la Armada del Ecuador, Facultad de Ingeniería en Sistemas e Informática, ESPE-Ecuador, 2005. [On line]. Disponible en http://repositorio.espe.edu.ec/handle/21000/741
[43] Department of Information and Communication Systems Engineering, Risk analysis of a patient monitoring system using Bayesian Network modeling, University of the Aegean, GR 83200 Karlovasi, Samos, Greece. [On line]. Disponible en http://www.sciencedirect.com/science/article/pii/S1532046405001097
[44] D. Maques, A. Marcano, Modelo de estrategias integrales de seguridad para la infraestructura de red de datos, Caso de estudio universidad de oriente núcleo MONAGAS. [On line]. Disponible en http://www.laccei.org/LACCEI2012-Panama/RefereedPa-pers/RP099.pdf
[45] Secretaria General de la Defensa Nacional Francesa, Dirección Central de la Seguridad de los Sistemas de Información, Método EBIOS. Septiembre 2013. [On line]. Disponible en http://www.ssi.gouv.fr/ar-chive/es/confianza/documents/methods/ebiosv2-methode-plaquette-2003-09-01_es.pdf
[46] Comisión Interamericana de Telecomunicaciones, (2009, septiembre), Organización de los Estados Americanos, INFO@CITEL, Gestión de Riesgos de Seguridad, [On line]. Disponible en http://www.oas.org/en/citel/infocitel/2009/septiembre/seguridad_e.asp
[47] NIST SP 800-30, (2013, octubre), Estándar para la evaluación del riesgo técnico, [On line]. Disponible en http://searchsecurity.techtarget.in/tip/NIST-SP-800-30-stan-dard-for-technical-risk-assessment-An-evaluation
[48] V. N. Avalos, (2013, septiembre), Desarrollo de una aplicación para la gestión de riesgos en los sistemas de información utilizando la guía metodológica NIST SP 800 – 30, Escuela Politécnica del Ejército, ESPE-Ecuador, [On line]. Disponible en http://repositorio.espe.edu.ec/bits-tream/21000/2333/1/T-ESPE-021816.pdf
[49] Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas, UPIICSA, (2013, septiembre), Metodologías de análisis, [On line]. Disponible en http://upiicsa-ha4cm1.blogspot.com/2012/05/ha4cm1-gonzalez-jazmin. html
[50] ISO, Organización Internacional para la Estandarización. [On line]. Disponible en http://www.iso.org/iso/home.html
Cómo citar
Descargas
Descargas
Publicado
Número
Sección
Licencia
Derechos de autor 2013 Ciencia, Innovación y Tecnología
Esta obra está bajo una licencia internacional Creative Commons Atribución-NoComercial-CompartirIgual 4.0.
