¡Descarga Análisis de Medidas Desesperadas para la Seguridad Informática: ISO 27001 y NIST 800-30 y más Ejercicios en PDF de Sistemas Políticos solo en Docsity!
Medidas desesperadas Yury Natalia Rodríguez romero Laura Camila Delgadillo Calderón Esteban Samir Murillo Navarro Fundación universitaria Areandina 6 marzo de 2022 Nota autor Yury Natalia Rodríguez romero, Laura Camila Delgadillo Calderón, Esteban Samir Murillo Navarro, ingeniería en sistemas, fundación universitaria Areandina La correspondencia relacionada con este trabajo debe ser dirigida a nombre de, Fundación universitaria Areandina, calle 69#15-40, Bogotá, Contacto: mayerlyrodriguezromero@gmail.com - yrodriguez168@estudiante.areandina.edu.co ldelgadillo2@estudiante.areandina.edu.co emurillo13@estudiante.areandina.edu.co
INTRODUCCIÓN
Hoy en día encontramos que entre los bienes más preciados para una organización está la información que se encuentra almacenada de manera digital, la cual es de vital importancia garantizar su buen estado, es por ello que riesgo informático es absoluto para todas las organizaciones, ya que esta es la vulnerabilidad o amenazas, a que ocurra algún tipo de evento cuyos efectos sean negativos y que alguien o algo puedan verse afectados por él y la responsabilidad de este recae en el personal encargado de la seguridad informática dentro de la organización. Dicho esto el presente documento tiene como objetivo el desarrollo de una WIKI, con el objetivo de presentar un análisis que nos permita reflejar la importancia de implementar dentro de una organización la norma técnica ISO 27001:2013, la cual establece criterios y fija aspectos para garantizar la seguridad informática dentro de una organización, a su vez encontramos la norma ISO 31000:2018, la cual establece principios y directrices de carácter genérico respecto a la gestión del riesgo en cualquier tipo de organización, de igual manera nos encontramos con el método 300:80. Para comprender mejor que es la materialización de un riesgo informático plantaremos la siguiente pregunta ¿Qué pasaría por fuga de información se diera a conocer la receta de la CocaCola?, su receta que ha sido resguardada por mucho tiempo pasando de generación en generación sería el fin de la popular marca ya que todos tendrían acceso a ella lo mismo pasa con la información que una compañía pueda resguardar en sus instalaciones. ¿Pero cómo defendernos de una amenaza tan real?, ya sea por una exposición sencilla de los
Nombre del taller: Medidas desesperadas Objetivo de aprendizaje: Establecer relaciones entre los diferentes elementos que se deben tener en cuenta para hacer la evaluación de riesgos en un sistema informático. Descripción del taller: Esta actividad busca que los integrantes del grupo desarrollen un documento de trabajo a través de herramientas colaborativas, en este caso una wiki. El resultado debe ser una síntesis de los elementos relacionados con el análisis y evaluación de riesgos a partir de los temas explicados en el referente y la exploración de sitios web relacionados. DESARROLLO ACTIVIDAD EVALUATIVA Enlace de la Wiki: https://sites.google.com/view/norma-iso-27001/inicio
Criterios que se tuvieron encuenta para la creación de la Wiki:
EL
ORGANIZACIÓN Y
CONTEXTO?
NECESIDADES Y
EXPECTATIVAS
DE LAS PARTES INTERESADAS?
ALCANCE DEL
SGSI”
Con el SGSI es vital Es muy importante identificar quienes son nuestras partes interesadas internas y cuáles son sus necesidades respecto a la seguridad. En este sentido el alcance del SGSI puede o no cubrir todos los procesos de negocio de la Organización y en el caso de ser sólo una parte, tendrá como partes interesadas a otras áreas que serán “clientes” de la seguridad. Con el SGSI es vital entender cuál es el entender cuál es el modelo de negocio y el modelo de negocio y el entorno que se va a entorno que se va a manejar. Se debe manejar. Se debe considerar todo aquello considerar todo aquello que pueda ser que pueda ser condicionado para lograr condicionado para lograr los resultados del SGSI. los resultados del SGSI.
MÉTODO 800:
El Objetivo del método 800:30 es aseguramiento de los sistemas de Información que almacenan, procesan y transmiten información. Optimizando la administración de riesgos a partir del resultado en el análisis de riesgos, protegiendo así las habilidades de la organización para alcanzar su misión (no solamente relacionada a la IT, sino de toda la empresa). PASOS EN EL PROCESO DE EVALUACIÓN DE RIESGOS
- Proveer una base para el desarrollo de la gestión del riesgo
- Proveer información acerca de controles de seguridad en función de la rentabilidad del negocio
- El segundo componente de la gestión de riesgos se ocupa de cómo las organizaciones evalúan el riesgo en el contexto del “marco de riesgo” de la organización. El objetivo del componente de la evaluación de riesgos es identificar:
- las amenazas a las organizaciones (es decir, operaciones, activos o individuos) o amenazas dirigidos a través de organizaciones en contra de otras organizaciones o la Nación; las vulnerabilidades internas y externas a las organizaciones;
- El daño (es decir, el impacto adverso) que puede ocurrir dado el potencial de las amenazas explotando vulnerabilidades; y
CONCLUSIONES
Primeramente, podemos evidenciar como se logró establecer las relaciones que existen entre los diferentes elementos que se deben tener en cuenta para hacer la evaluación de riesgos en un sistema informático. Así mismo identificar que herramientas nos ayudan a generar nuestro Sistema de Gestión de Seguridad de la Información, así mismo somos conscientes que pese a todas herramientas o métodos de prevención que se nos mencionan en la metodología o en la norma siempre existirá un riesgo mínimo de acuerdo a la implementación que se decida por la empresa. De igual forma debemos analizar qué tan grande puede ser nuestro nivel de impacto y el periodo de medición que tendremos y con estos dos datos podemos definir una escala de riesgo asignada a un valor numérico. Por último también debemos que tener en cuenta la regulación y si se cuenta con legislaciones vigentes, también tenemos que evaluar que tanto la implementación del sistema de gestión afecta la operación de la operación.
Referencias GoConqr. (2020). GoConqr - Metodología de Gestión de Riesgo NIST 800-30. [online] Available at: https://www.goconqr.com/es/mindmap/3511863/metodolog-a-de-gesti-n-de- riesgo-nist-800-30 [Accessed 3 Mar. 2020]. Hemeroteca.unad.edu.co. (2017). Vista de Metodologías para el análisis de riesgos en los sgsi | Publicaciones e Investigación. [online] Available at: https://hemeroteca.unad.edu.co/index.php/publicaciones-e- investigacion/article/view/1435/1874 [Accessed 3 Mar. 2020]. prezi.com. (2015). Metodología de Gestión de Riesgo NIST 800-30. [online] Available at: https://prezi.com/p8moufe0ikyl/metodologia-de- gestion-de-riesgo- nist-800-30/ [Accessed 3 Mar. 2020].
