Importancia del Análisis y la gestión de riesgos de los sistemas informáticos en una

organización

Fase 1

Diego Leonardo Andrade Talero

Universidad Nacional Abierta y a Distancia.

Especialización en Seguridad Informática
Riesgos y Control Informático
Bogotá, abril 2020
 TABLA DE CONTENIDO

INTRODUCCION ................................................................................................................................. 3
1. OBJETIVOS .................................................................................................................................. 4
2. DESARROLLO DEL TEMA ........................................................................................................ 5
CONCLUSIONES ................................................................................................................................. 8
REFERENCIAS BIBLIOGRAFICAS ..................................................................................................... 9
 INTRODUCCION

En la fase 1 del curso Riesgos y Control informático tenemos que realizar de forma individual

un documento basado en 5 referencias académicas donde se contemplen los siguientes aspectos:

importancia del análisis y la gestión del riesgo y el impacto que puede generar en una

organización.

Se abordaran temáticas como los riesgos informáticos en las organizaciones. Los anteriores

temas serán tratados de forma concreta para facilitar su comprensión y generar un punto de

partida para las siguientes actividades del curso académico.

 1. OBJETIVOS

Consultar documentos relacionados con el análisis y la gestión de riesgos informáticos,

indicando la importancia e impacto que puede generar en una organización. Se deben incluir 5

referencias académicas para la redacción del presente informe.

Construir documento indicando la importancia del análisis y la gestión del riesgo y el impacto

que puede generar en una organización.

 2. DESARROLLO DEL TEMA

En la actualidad las tecnologías de la información y la comunicación (TIC) son el soporte

principal de las organizaciones, puesto que a través de estas se respaldan todas las operaciones y

transacciones que garantizan la continuidad del negocio. A través de la informática y la

implantación de nuevas tecnologías en las organizaciones los procesos se desarrollan de forma

ágil y efectiva garantizando la prestación de servicios y la satisfacción de los clientes. Es por esto

que la seguridad informática cobra especial relevancia para asegurar dichos procesos y

operaciones mediante la confianza en los componentes de la infraestructura de tecnología de

cada organización. La información es el activo de más valor en la organización, su manejo y

control de forma eficiente y eficaz por intermedio de las tecnologías de la información se

convierte en una parte fundamental dentro de la organización. Debido a esto se debe dar

importancia a la seguridad según la prioridad de los procesos que se llevan a cabo, creando

estrategias y convirtiendo las mismas en políticas de seguridad informática para avalar la

infraestructura tecnológica y los sistemas de información de las organizaciones. (Quiroz, 2017)

El crecimiento de Internet, la migración a las redes de las operaciones de las organizaciones

así como el aumento de las transacciones comerciales a nivel global gracias el comercio

electrónico, creo la necesidad de diseñar sistemas informáticos más seguros ante la posibilidad

latente de ataques informáticos que son una amenaza contra la estabilidad de las organizaciones

y sus servicios prestados. Dentro del marco de la seguridad informática surgen los Equipos de

Respuesta a Emergencias informáticas para controlar riesgos y amenazas a las que se enfrentan a

diario las organizaciones. La seguridad de la información debe tener medidas preventivas en los

diferentes sistemas de las organizaciones, esto responde a una dinámica a nivel mundial que

aumenta en su demanda con el paso de los adelantos tecnológicos y con las nuevas formas de
relacionarse en el mundo digital. Las personas, las organizaciones y los Estados exigen una

mayor protección en un mundo que ya no tiene fronteras digitales. La seguridad informática

actualmente ya se encuentra establecida como una nueva necesidad en el ámbito organizacional,

esta se ha convertido en una nueva oportunidad de mercado para las empresas pertenecientes al

sector de la seguridad privada. (Quiroz, 2017)

Debemos tener claro que las amenazas siempre latentes tienen una etapa temprana llamada

riesgo y se puede definir como la eventualidad que obstaculiza el alcance de un objetivo en la

organización y generalmente implica pérdidas y se interpretan en informática como un factor

negativo debido a sus consecuencias. Para que el riesgo se manifieste de hecho tienen que existir

por lo tanto vulnerabilidades en los activos de información. Un riesgo implica varios elementos

tales como: probabilidad, amenaza, vulnerabilidad, activos y finalmente impacto. (Sena, 2004)

Al interior de las organizaciones es frecuente encontrar el análisis de riesgos muy ligado a las

decisiones administrativas de la gerencia, ya que justamente de lo que se trata es de prevenir que

los riesgos se conviertan en amenazas que causen pérdidas económicas en la organización. Dicho

análisis consiste en identificar los riesgos existentes identificando completamente sus elementos

y estableciendo controles y acciones que logren mitigar sus efectos negativos en la consecución

de objetivos al interior de las empresas. Lograr cuantificar un riesgo no es una tarea simple,

debido a esto se suelen emplear términos cualitativos tales como: riesgo bajo, riesgo medio y

riesgo alto. (Sena, 2004)

Un análisis del riesgo implica concientizar a las organizaciones para que se tome muy en serio

los riesgos y las respectivas acciones planeadas para reducir las vulnerabilidades en las

plataformas tecnológicas de las empresas. Para llevar a cabo un análisis correcto se debe

identificar los activos de información y sus vulnerabilidades, hacer cálculos de probabilidad y

medir los posibles efectos de los riesgos encontrados. Existen metodologías reconocidas como

MAGERIT y CRAMM que fueron especialmente diseñadas para estas labores al interior de las

organizaciones. (Crespo, 2018)

En los proyectos informáticos el análisis de riesgos es fundamental ya que suelen ser

proyectos dinámicos que se ven alterados por múltiples factores en su desarrollo y por supuesto

su puesta en producción, especialmente teniendo en cuenta la cantidad de amenazas latentes que

existen en el mundo de la seguridad informática. A medida que los proyectos se desarrollan

pueden ser analizados desde diferentes puntos de vista, porque las propias tecnologías

informáticas son cambiantes y avanzan a grandes pasos año tras año. De igual manera los riesgos

y amenazas que antes no se consideraban pueden surgir en cualquier momento, por esto es tan

importante el análisis del riesgo, visto de forma sencilla es considerar los peores escenarios que

puedan afectar una plataforma tecnológica y desarrollar planes de prevención y contención que

abarquen el ciclo de vida del proyecto a través de una gestión de los riesgos detectados. (Barrera,

2016)

Las organizaciones con gran parte de sus operaciones basadas en infraestructuras y

tecnologías informáticas están a merced de los atacantes informáticos, por lo tanto hay una

necesidad impostergable de analizar los diferentes riesgos a los cuales se encuentran expuestos,

con el fin de prevenir a través del diseño de procesos y acciones que logren mitigar las acciones

causadas por los atacantes. Es prácticamente ya un estándar en las empresas desde los

nacimientos de los proyectos hasta su puesta en producción. Un correcto y oportuno análisis de

riesgos repercutirá positivamente en la economía de la organización. (Tellez, 2018)

.

CONCLUSIONES

La seguridad informática tiene una importancia fundamental en la sociedad actual, donde la

gran mayoría de empresas y organizaciones tienen una infraestructura tecnológica encargada de

gestionar y controlar los servicios ofrecidos, incluyendo también los procesos internos, donde el

activo más importante es la información que debe ser protegida a través de la implantación de

normas y metodologías que se adecuen de forma correcta con los objetivos de la empresa.

El análisis de riesgos en las organizaciones cumple un papel primordial para asegurar que

los objetivos sean alcanzados en las organizaciones. Pero requiere de un estudio detallado de

todos los factores relativos al riesgo identificando activos de información, vulnerabilidades y

desarrollando planes de acción y contingencia para mitigar los efectos negativos de la concreción

de los posibles riesgos.

 REFERENCIAS BIBLIOGRAFICAS

Barrera, R. (24 de 03 de 2016). Universitaria de Investigación y Desarrollo. Recuperado el 15 de

04 de 2020, de http://udi.edu.co/revistainvestigaciones/index.php/ID/article/view/91/72

Crespo, E. (13 de 06 de 2018). Universidad del Azuay. Recuperado el 15 de 04 de 2020, de

http://revistas.uazuay.edu.ec/index.php/udaakadem/article/view/129/126

Quiroz, S. (26 de 08 de 2017). Dialnet. Recuperado el 15 de 04 de 2020, de

https://dialnet.unirioja.es/servlet/articulo?codigo=6137824

Sena, L. (01 de 08 de 2004). Amazon WS. Recuperado el 15 de 04 de 2020, de

https://s3.amazonaws.com/academia.edu.documents/33216454/Admcion_de_Riesgos.pdf?respon

se-content-

disposition=inline%3B%20filename%3DFCEA_Catedra_Introduccion_a_la_Computaci.pdf&X-

Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-

Credential=ASIATUSBJ6BAEQKGVH4U%2F20200

Tellez, E. (01 de 07 de 2018). Revista Electrónica de Derecho y CIencia. Recuperado el 15 de 04

de 2020, de http://institucional.us.es/iusetscientia/index.php/ies/article/view/143/108