Análisis de riesgos en seguridad de la información
Resumen
Este trabajo, se enfoca en permitir generar argumentos sólidos para identificar cuál es la metodología de análisis de riesgos que proporciona una mejor oportunidad de toma de decisiones dentro de una organización frente a la custodia de la información, la cual se ha convertido en uno de los activos más importantes del ámbito empresarial e implica una adecuada utilización y preservación para garantizar la seguridad y la continuidad del negocio. Existen varias metodologías de análisis de riesgos como: OCTAVE, MEHARI, MAGERIT, CRAMM, EBIOS y NIST SP 800-30, las cuales se orientan hacia el mismo objetivo, pero tienen características propias que las hacen atractivas para las empresas en todos los sectores. A partir del estudio, se logra determinar que MAGERIT resulta ser la opción más efectiva y completa ya que protege la información en cuanto a integridad, confidencialidad, disponibilidad y otras características importantes para garantizar la seguridad de los sistemas y procesos de la organización. La aplicación de metodologías de análisis de riesgos es de utilidad a las organizaciones para tener un mayor control sobre sus activos, su valor y las amenazas que pueden impactarlas, obligándolas a implementar medidas de seguridad que garanticen el éxito de sus procesos y una mayor competitividad en el mundo empresarial.
Palabras clave
Texto completo:
PDFReferencias
Ministerio de Educación y Ciencia, Secretaría General de Educación, Instituto Superior de Formación del Profesorado. La Acción Tutorial: Su Concepción y su Práctica. [On line]. Disponible en http:// books.google.com.co/books?id=8Gg 0qAwn4cMC&pg=PA220&dq=concepto+NTIC&hl=es&sa=X&ei=ECiuUsujMemmsQSD04GYDQ&ved=0CDwQ6AEwAw#v=onepage&q=concepto%20NTIC&f=false
E. Daltabiut, L. Hernández, G. Mallén, J. Vázquez, La seguridad de la información, México: Limusa Noriega Editores S.A., 2009.
J. Areitio Bertolín, Seguridad de la información, redes, informática y sistemas de información, Madrid-España: Cengage Learning Paraninfo S.A., 2008.
V. Aceituno Canal, Seguridad de la información, México: Limusa Noriega Editores, 2008.
R. Gómez, D. Pérez, Y. Donoso, A. Herrera, (2010, junio), Metodología y gobierno de la gestión de riesgos de tecnología de la información, Revista de Ingeniería SCIELO, [On line]. Disponible en http://www.scielo.unal.edu.co/scielo.php?script=sci_arttext&pid=S0121-49932010000100012&lng=es&nrm=
M. Muñoz, (2013, agosto), Security Consultant ETEK International, Introducción a OCTAVE. [On line]. Disponible en http:// www.acis.org.co / memorias/JornadasSeguridad/IVJNSI/ MauricioMunoz-IVJNSI. pdf
J. M. Matalobos, (2013, septiembre), Análisis de Riesgos de Seguridad de la Información, Universidad Politécnica de Madrid, [On line]. Disponible en http://oa.upm. es/1646/1/PFC_JUAN_MANUEL_MATALOBOS_VEIGAa.pdf
J. A. Peña Ibarra, Vicepresidente internacional ISACA, (2013, octubre), Metodologías y normas para el análisis de riesgos: ¿Cuál debo aplicar?, [On line]. Disponible en http://www.isaca.org/ chapters7/Monterrey/Events/Documents/ 20100302%20 Metodolog%C3%ADas%20de%20Riesgos%20TI.pdf
Y. Campos, Administración de riesgos en las tecnologías de información, Universidad Nacional Autónoma de México. Disponible en http://www.ptolomeo. unam.mx:8080/ xmlui/bitstream/handle/132.248.52.100/1025/Tesis.pdf?sequence=1
H. Leteller, (2013, julio), Consultor Alfresco y J2EE en Blaunia, Seguridad de los sistemas de información, Metodología MAGERIT. [On line]. Disponible en: http:// www.belt.es/expertos/home2_experto.asp?id=5374
R. Gómez, D. Pérez, (2010, junio), Metodología y gobierno de la gestión de riesgos de tecnología de la información, Universidad de Los Andes, [On line]. Disponible en http://www.scielo.org.co/ scielo. php?pid=S01219932010000100012&script=sci_arttext
J. Baños y P. Carrera, (2013, Octubre), Elaboración del plan de disponibilidad del TI para la empresa RELIANCE, Escuela Politécnica Nacional, [On line]. Disponible en http://bibdigital.epn.edu.ec/bitstream /15000/2405/1/CD-3137.pdf
A. Huerta, (2013, marzo), Introducción al análisis de riesgos – Metodologías I, [On line]. Disponible en http://www.securityart work.es/2012/03/30/introduccion-alanalisis-de-riesgos-metodologias-i/
J. Borbón, Buenas prácticas, estándares y normas, Revista Seguridad y Defensa Digital. [On line]. Disponible en http:// revista. seguridad.unam.mx/numero-11/ buenas-pr%C3%A1cticas-est%C3%A1ndares-y-normas
T. Freire, Directora de la Colección Biblioteca de Economía y Finanzas, Dirección y gestión de los sistemas de información en la empresa. [On line]. Disponible en http://books.google.com.co/ books?id=OqlSVYn0fI0C&pg=PA180&dq=gestion+de+riesgos+metodologia+octave&hl=es&sa=X&ei=MOVlUqrEC4LA9QSJh4Ag&ved=0CCwQ6AEwAA#v=onepage&q=gestion%20de%20riesgos%20 metodologia%20octave&f=false.
M. C. Gallardo, P. O. Jácome, (2013, agosto), Análisis de riesgos informáticos y elaboración de un plan de contingencia TI para la empresa eléctrica Quito S.A., [On line]. Disponible en http://bibdigital.epn. edu.ec/ bitstream/15000/3790/1/CD-3510.pdf
E. Cárdenas, (2013, octubre), Metodologías para el análisis. Universidad técnica de Manabí (UTM), [On line]. Disponible en http:// msnseguridad.blogspot.com/2012/08/seguridad-informatica-la-seguridad.html
J. A. Betolini, (2013, agosto). Gestión de riesgos de seguridad y privacidad de la información, Universidad de Deusto, [On line]. Disponible en http://www.conec tronica. com/Seguridad/Gesti%C3%B3n-de-riesgos-de-seguridad-y-privacidad-de-lainformaci % C3%B3n.html
CERT, 2013, septiembre, Metodología OCTAVE, [On line]. Disponible en http:// www.cert.org/octave/
M. Baldeón, C. Coreonel, Plan maestro de seguridad informática para la UTIC DE LA ESPE con lineamientos de la norma ISO /IEC 27002. [On line]. Disponible en http://repositorio.espe.edu. ec/bitstream/21000/6026/1/AC-GS-ESPE-034491.pdf
European Union Agency for Network And Information Security. [On line]. Disponible en http://rminv.enisa.europa.eu/methods/m _mehari.html
C. Gutiérrez, (2013, mayo), Metodología MAGERIT: metodología práctica para gestionar riesgos, [On line]. Disponible en http://www.elsemanario.com/noticias/tecnologia/85028-magerit-metodologia-practica-para-gestionar-riesgos.html
J. Eterovic, G. Pagliari, Metodología de Análisis de Riesgos Informáticos. [On line]. Disponible en http://www.cyta.com. ar /ta1001 /v10n1a3.htm
E. Ferrero, (2006), Análisis y gestión de riesgos del servicio IMAT del sistema de información del I.C.A.I. Madrid, Universidad Pontificia Comillas, [On line]. Disponible en http://www.iit.upcomillas.es/pfc/ resumenes/44a527e27a231.pdf
A. Lucero, J. Valverde, Análisis y gestión de riesgos de los sistemas de la cooperativa de ahorro y crédito Jadin Uzuayo (Ecuador), Utilizando la metodología MARGERIT. [On line]. Disponible en http://dspace.ucuenca.edu.ec/bitstream/123456789/1342/1/ tcon640.pdf
M. Fernández Manuel, Estudio de una estrategia para la implementación de los sistemas de gestión de seguridad de la información, Universidad de CÁDIZ (España). [On line]. Disponible en http://www.mfbarcell.es/conferencias/Metodolog%C3%ADas%20de%20seguridad_2.pdf
R. Valbuena, Seguridad en redes de telecomunicaciones e informática. 2010. [On line]. Disponible en http://seguridad digitalvenezuela.blogspot.com/2010/07/ cramm-software-para-el-manejo-de.html
M. Crespo, (2013, enero), El análisis de riesgos dentro de una auditoría informática: pasos y posibles metodologías, Universidad Carlos III de Madrid, [On line]. Disponible en http://e-archivo.uc3m.es/bitstream/ handle/10016/16802/PFC_Carmen_Crespo _Rin.pdf;jsessionid=8EA401088DD103F 1324990EBA6FD6CC5?sequence=1
F. Martus, V. Mesa, Seguridad, Editorial MAT, S.L., España, 2006.
E. Landazuri, C. Roberto, J. C. Merino, Manual de procedimientos para ejecutar la auditoría informática en la Armada del Ecuador, Facultad de Ingeniería en Sistemas e Informática, ESPE-Ecuador, 2005.
DOI: https://doi.org/10.23857/pc.v3i4.809
Enlaces de Referencia
- Por el momento, no existen enlaces de referencia
Polo del Conocimiento
Revista Científico-Académica Multidisciplinaria
ISSN: 2550-682X
Casa Editora del Polo
Manta - Ecuador
Dirección: Ciudadela El Palmar, II Etapa, Manta - Manabí - Ecuador.
Código Postal: 130801
Teléfonos: 056051775/0991871420
Email: polodelconocimientorevista@gmail.com / director@polodelconocimiento.com
URL: https://www.polodelconocimiento.com/