Entregable Previo 1 - Javier Mendoza (1)

Vista previa del material en texto

Índice. 
1. Dirección de la Seguridad de TI …………………………………………………………………2
1.1. Objetivo …………………………………………………………………………………………….2
1.2. Modelos de gobierno de seguridad de TI …………………………………………………..3
1.3. Roles y responsabilidades de los actores y grupos de interés …………………….4
2. Planeación en el gobierno de seguridad de TI ……………………………………………5
2.1. Importancia de la planeación en el gobierno de seguridad TI …………………….5
2.2. Creación del plan estratégico de seguridad de TI ……………………………………….6
2.2.1. Niveles de planeación ………………………………………………………………………………6
2.2.2. Planeación para la implementación de la seguridad de TI ………………………..7
2.3. Ciclo de vida de la seguridad de TI ……………………………………………………………..8
2.3.1. Investigación ……………………………………………………………………………………………8
2.3.2. Análisis …………………………………………………………………………………………………….8
2.3.3. Diseño ……………………………………………………………………………………………………..8
2.3.4. Implementación ………………………………………………………………………………………9
2.3.5. Mantenimiento y cambio …………………………………………………………………………9
2.3.6. Evaluación del rendimiento ……………………………………………………………………..9
3. Evaluación de la seguridad de TI ……………………………………………………………….9
3.1. Tipos de amenazas para la seguridad de TI ………………………………………………..9
3.2. Conducción de evaluaciones de seguridad de TI ………………………………………10
3.2.1. Seguridad física y ambiental …………………………………………………………………..11
3.2.2. Riesgos y respuesta a incidentes …………………………………………………………….11
3.2.3. Comunicaciones …………………………………………………………………………………….11
3.2.4. Integridad de la información ………………………………………………………………….11
3.2.5. Servicios adquiridos ……………………………………………………………………………….11
3.2.6. Planeación y mantenimiento ………………………………………………………………….11
3.2.7. Certificaciones y acreditaciones ……………………………………………………………..11
3.3. Técnicas para el análisis de riesgos …………………………………………………………..12
3.3.1. Inventarios de activos de información ……………………………………………………13
3.3.2. Identificación de amenazas ……………………………………………………………………14
3.3.3. Matriz de riesgos…………………………………………………………………………………….14
4. Conclusiones…………………………………………………………………………………………..14
5. Referencias……………………………………………………………………………………………..15
1.	Dirección de la Seguridad de TI 
1.1.	Objetivo 
La seguridad de la información garantiza su confidencialidad e integridad, evitando el uso no autorizado, divulgación, mala interpretación, modificación, inspección y destrucción. Las reglas de seguridad de la información son las mismas para todas las formas de almacenamiento de información física y digital. Con la llegada de los sistemas de información computarizados, se ha mantenido la seguridad de los datos. 
 El uso de sistemas de seguridad de la información establece y asegura tareas específicas para el mantenimiento de las principales características de la información: 
 • Privacidad de datos, es decir. estado de acceso a la información solo para usuarios, procesos y dispositivos autorizados. 
 • La integridad es la ausencia de cambios, adiciones o destrucción no autorizados de la información. Garantizar la integridad es especialmente importante en situaciones en las que la información es de gran valor y no debe perderse, y la información puede alterarse intencionalmente para engañar al destinatario. 
 • El acceso es la provisión de acceso oportuno y confiable a la información y servicios de información. Los casos comunes de violaciones de acceso son fallas de software o hardware y ataques de denegación de servicio distribuido (DDoS). 
 • Autenticidad es la capacidad única de identificar al autor o fuente de información. La autenticidad de los datos electrónicos a menudo se confirma, por ejemplo, mediante una firma digital electrónica. 
 • No negar la autoría de la información y su envío o recepción. Esto puede garantizarse mediante firmas digitales y otras herramientas y protocolos criptográficos. 
 El principal objetivo de los sistemas de seguridad de la información es garantizar la protección de los datos frente a amenazas externas e internas. Para garantizar la total privacidad del sistema de información, se utilizan cuatro métodos dependiendo de cada formato de información: 
 1. Restricción o bloqueo total del acceso a la información 
 2. Cifrado 
3. Almacenamiento disperso 
4. Ocultar evidencia de disponibilidad de datos
1.2.	Modelos de gobierno de seguridad de TI
El gobierno de seguridad de la información consiste en el liderazgo, estructura organizacional y proceso para proteger la información. Es un subconjunto del gobierno corporativo de la organización que provee dirección estratégica, garantiza los objetivos establecidos, gestiona los riesgos de forma apropiada, usa los recursos organizacionales responsablemente y monitorea el éxito o falla del programa de seguridad de la organización. 
 
Resalta la importancia de los roles y responsabilidades de la alta dirección y las implementa mediante una visión de gestión de riesgo, busca alineación entre la seguridad de la información y los objetivos del negocio y requiere cumplimiento de leyes y regulaciones como de las políticas de seguridad de la información. Los modelos de gobierno pueden tener distintos enfoques, entre los que destacan los siguientes: 
 1. El enfoque financiero. Los directivos buscan siempre su propio interés y, por tanto, tienen incentivos para comportarse de manera oportunista, tiene como objetivo maximizar el beneficio, proteger a los inversores de los directivos depredadores, a través de los sistemas de remuneración, auditorías, mercado de directivos, incentivos. 
 2. Un enfoque "alfabetizado" de las finanzas. También se debe tener en cuenta a otros stakeholders, ya que sin su cooperación no es posible lograr altas ganancias, el objetivo es maximizar la ganancia del accionista y, además, proteger sus intereses a largo plazo, para ganar y mantener la reputación y legalidad. 
 3. Enfoque estratégico o cooperación. Es necesaria la cooperación de los grupos de interés, especialmente de los internos que aportan capital, requiere un ambiente de confianza en la empresa, que tiene como objetivo aumentar el valor social de la empresa para todos sus grupos de interés y lograr la cooperación de todos para que todos salgan ganando. 
 
4. Enfoque basado en RS. Una organización es una comunidad de personas que requiere que todos trabajen por un objetivo común, su objetivo es atender las necesidades de los clientes, atender las necesidades de sus empleados, lograr la eficiencia económica, la continuidad y la participación para llegar a todos, pero con plena responsabilidad, creando un ambiente de mutua confianza y reciprocidad.
1.3.	Roles y responsabilidades de los actores y grupos de interés 
En una organización existen distintos actores que tienen una implicación, así como en los proyectos que esta desarrolle, siendo agentes importantes debido a la influencia en el éxito o fracaso de la organización, a estas personas también se les conoce como stakeholders, 
 En términos simples, los stakeholders pueden ser definidos como todos los actores sociales que, producto de las decisiones y objetivos de una organización se pueden ver afectados, ya sea de forma positiva o negativa. Así, por ejemplo, los dueños de una compañía, sus trabajadores, la comunidad donde esta ópera y sus proveedores, entre otros forman parte de este grupo. 
 Existen tres tipos de grupos de interés: 
 Primarios: Los stakeholders primarios son fundamentales para el operar de una organización. Este grupo incluye a quienes tienen alguna relación económica con el negocio, por ejemplo, los accionistas, los clientes, los proveedores y los trabajadores. 
 Secundarios: Los stakeholders secundarios son aquellos que no participan directamente en el intercambio con una empresa, pero que sí pueden afectar o verse afectados por las acciones de ésta. Los competidores, los medios y las ONG entran en esta categoría. 
 Socios estratégicos: Según el concepto de RSE, no solo los dueños de la empresa son los actores principales, sino también sus empleados y la sociedad en general. Dado que las operaciones de una empresa tienen impactos económicos, ambientales y sociales, es importante que estas considerena los grupos de interés al momento de tomar decisiones. A través del diálogo que la empresa pueda generar con otros actores, se enriquecerá con el aprendizaje y el intercambio de experiencias, gracias a las cuales podrá establecer una relación integral con su entorno y desarrollar una estrategia para la transformación de una organización sustentable. 
 Los siguientes roles y responsabilidades existen entre las partes interesadas en una organización:
• Patrocinadores. Es la persona que suele pertenecer a la dirección de la empresa y por tanto da el impulso inicial al desarrollo del proyecto, quien normalmente puede decidir sobre los recursos económicos y humanos a destinar al proyecto o en su defecto los recursos internos necesarios. relaciones. para negociar sobre ellos. 
 • Jefe de proyecto. Es la persona responsable de la gestión y ejecución del proyecto dentro del alcance asignado. 
 • Administración. El resto de la dirección se encargará de priorizar determinados proyectos y destinar más o menos recursos. 
 • Producción. Los empleados de varios departamentos de implementación deben ser asignados al proyecto a tiempo parcial o completo. 
 • Compra. Dependiendo del tamaño de la empresa, el personal de compras puede estar involucrado si hay necesidad de comprar materiales o servicios. 
 • Ventas. Para proyectos externos que se venden a un cliente, los proveedores brindan información básica del proyecto, como el contrato, contacto con el cliente, riesgos y oportunidades, y más. Un ingeniero comercial puede ser una pieza clave a la hora de desarrollar un proyecto relacionado con la relación con el cliente. 
 • Logística. Si el proyecto involucra la entrega de productos, dependiendo del destino y tamaño del producto y de la empresa, se debe involucrar al personal de logística. 
 • Cliente. El cliente puede ser externo o interno y es la entidad legal o la persona responsable en última instancia de aceptar los entregables del proyecto. En algunos casos, se entiende por cliente a la persona que utiliza el producto o sistema para el que ha sido desarrollado. 
 • Varios. Dependiendo del tipo y tamaño del proyecto y de la empresa, también pueden participar otros participantes. Algunos ejemplos son: técnico, técnico, servicio, ingeniero de patentes, autoridad encargada de emitir la certificación.
2.	Planeación en el gobierno de seguridad de TI 
2.1.	Importancia de la planeación en el gobierno de seguridad TI
La planificación tiene que ver con las acciones para manejar los riesgos y las oportunidades, cuando se está planificando el gobierno de seguridad de TI, la organización debe considerar los problemas y los requerimientos sobre contexto de la información, determinar los riesgos y oportunidades que necesitan ser manejados para asegurar que el gobierno de seguridad pueda lograr los resultados esperados, prevenir o reducir los efectos no deseados y lograr el mejoramiento continuo. 
 En lo que respecta a la valoración de riesgos de seguridad de la información, la organización debe definir y aplicar un proceso de valoración de riesgos de seguridad que establezca un criterio de riegos en donde se contemple la aceptación del riesgo, así como la Identificación de riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad de la información, dentro del alcance del gobierno de seguridad, además de identificar a los poseedores de los riesgos. Es necesario analizar los riesgos valorando las potenciales consecuencias que podrían resultar si los riesgos identificados se materialicen, la probabilidad real de ocurrencia de los y la determinación de los niveles de riesgos. 
 La organización debe determinar que será realizado, los recursos requeridos, personal responsable, plazos de ejecución y la forma de evaluación de los resultados. Una de las actividades necesarias en la iniciación de un proyecto es la identificación de las partes implicadas. En la fase de planificación se hace una clasificación de todos estos actores para determinar qué tratamiento necesita cada uno de ellos para asegurar el éxito del proyecto.
 
2.2.	Creación del plan estratégico de seguridad de TI 
Para la creación de un plan estratégico es necesario generar una Declaración de Aplicabilidad que contenga los controles necesarios y las justificaciones de su inclusión, si estos están implementados o no, y la justificación de exclusiones de controles, formular un plan de tratamiento de riesgos de seguridad de la información, obtener la aprobación del plan de tratamiento de riesgos de seguridad de la información, por parte de los poseedores o dueños de los riesgos, y la aceptación de los riesgos residuales de seguridad de la información. 
 En lo relacionado a objetivos de seguridad de la información y la planificación para su consecución, la organización debe establecer estos objetivos en funciones y niveles relevantes. Los objetivos deben ser: 
 • Consistentes con la política de seguridad de la información. 
 • Medibles. 
 • Considerar los requerimientos aplicables de seguridad de la información, y resultados de la valoración y tratamiento de riesgos. 
 • Comunicación. 
 • Actualizaciones programadas para cumplir con los objetivos de seguridad de la información.
2.2.1.	Niveles de planeación
La planeación es posiblemente la fase más importante puesto que es en la cual se realiza un análisis detallado sobre la situación actual en la que se encuentra la organización y se establece una serie de tareas para una mejor situación futura, es decir el proceso de establecer o visualizar un futuro deseado, la planeación tienen tres niveles, el primero es el nivel estratégico, el segundo es el nivel programático y el tercero el nivel operativo: 
 El nivel de Planificación Estratégica 
 Facilita la construcción de la Visión, la Misión institucional y la elaboración de objetivos estratégicos. Exige a la organización precisa lo que quiere ser y hacer en el largo plazo. 
 El nivel de Planificación Ejecutiva 
 Establece las estrategias y tácticas las cuales nos permitirán alcanzar los objetivos estratégicos. Es necesario destacar que el nivel ejecutivo se convierte en el puente que articula el nivel estratégico con el nivel operativo. 
 El nivel de Planificación Operativa 
 Establece con claridad las actividades y metas que se deben alcanzar en el corto plazo para garantizar el logro de los objetivos.
2.2.2.	Planeación para la implementación de la seguridad de TI 
Un plan de seguridad de TI permite entender dónde pueden existir vulnerabilidades en los sistemas, para tomar las medidas necesarias para prevenir esos problemas, esta planeación debe ser capaz de ayudar a proteger los datos y los sistemas críticos de la organización, asegurándose además que se ajuste a la legislación vigente y a la Ley de Protección de Datos. Para poder implementar seguridad en la información es necesario contemplar los siguientes pasos: 
 1. Identificación 
 Para proteger a tu organización, lo primero que debes hacer es saber lo que tienes en ella que vale la pena proteger. Este paso inicial implica averiguar el conjunto de los activos de la organización, incluido el personal, el hardware, software, sistemas y datos que componen tu sistema informático. Pueden incluir programas informáticos, servidores y servicios externos como alojamiento web. 
 2. Evaluación de riesgos 
 Ahora debe determinar qué podría poner en riesgo los activos anteriores. Por ejemplo, virus informáticos, piratas informáticos, daño físico o error de los empleados. En cada caso, considere el tipo y la extensión del daño que se puede causar. 
 3. Priorizar la protección TI 
 Después de evaluar el daño potencial de cada amenaza y la probabilidad de que ocurra, puede decidir qué amenazas son más importantes e interesantes para comenzar a protegerse. Por ejemplo, puede encontrar que proteger su servidor es más importante que proteger computadoras individuales. 
4. Tome las precauciones adecuadas 
 Determine qué pasos debe tomar para protegerse de los riesgos que identificó en la sección anteriorde este plan de seguridad de TI y asegúrese de que su organización permanezca operativa si algo sale mal. Por ejemplo, debe restringir el acceso a su servidor o instalar un firewall de hardware. Un plan de recuperación ante desastres debe explicar qué hacer en caso de una emergencia.
2.3.	Ciclo de vida de la seguridad de TI 
Es un período de mantenimiento de la seguridad en una organización donde se implementan una serie de pasos o pasos para reducir el riesgo, las amenazas o el flujo de información. El ciclo de vida de la ciberseguridad es un proceso completo, no una actividad discreta. Es mucho menos diferente de otras plataformas o herramientas de diferentes sistemas.
2.3.1.	Investigación 
Esta fase incluye el descubrimiento de nuevos conocimientos sobre amenazas de seguridad y nuevos métodos y técnicas para protegerse contra estos problemas. En esta fase, se recopila información para que pueda ser analizada posteriormente para desarrollar planes más seguros. Las diferentes formas de recopilación de información dependen de la usar será Tema de estudio Misión.
2.3.2.	Análisis
Debe hacerse la primera referencia para evaluar, encontrar una metodología o una estrategia que le permite saber en qué estado está su seguridad, donde se puede determinar el estado de las vulnerabilidades según la evidencia encontrada, tales evaluaciones deben ser específicas como el núcleo de empresa o el entorno en el que se basa la organización. Sobre la base el objetivo es poder analizar, verificar que significa que cada vulnerabilidad encontrada, ver las prioridades para resolver, ver el estado actual es suficiente para la protección de la información protegida, con el fin de tener una visión general. También vemos que cruzará para todos los pasos, para comunicarse, para crear conciencia sobre la situación de los datos, y comunicarse en un lenguaje que sea comprensible para todos, en términos y lenguaje de los negocios.
2.3.3.	Diseño 
Con la evaluación anterior, se debe diseñar la solución para solucionar los ataques y mitigar los puntos anteriores, cumplir con los criterios de prioridad y contar con los recursos para implementar la solución, y establecer los parámetros que indiquen el éxito o fracaso del programa Post - pasos para aplicando cada criterio de evaluación, p. h cómo se gestiona, quién lo controla, a quién se distribuye, etc. 
 Todo el plan elaborado debe ejecutarse según el cronograma dividido en tareas y plazos según el cronograma establecido (tabla), distribución de medidas o parámetros controvertidos. La comunicación debe ser en términos comerciales y métricas de éxito claras para que no haya problemas para cumplir con las expectativas.
2.3.4.	Implementación 
La fase en la que orienta de acuerdo con la función práctica que implementa cada actividad propuesta en el cronograma inicial para la implementación de cada método de seguridad, para que los sistemas sean más seguros. 
 Se deben documentar los cambios, se debe ingresar cada parámetro, se deben documentar los problemas restantes, sus soluciones, implementación de mediciones contra indicadores ya acordados, pruebas de implementación, pruebas de estrés, evaluación del grado de éxito contra las mediciones. el propio curso práctico.
2.3.5.	Mantenimiento y cambio 
La fase en la que se enfoca la implementación es la mejora continua del proceso, por lo que se debe medir constantemente para mantener y dar soporte, midiendo contra las métricas de apoyo y contra las métricas que se comparan y se muestran en constante comunicación. documentar las vulnerabilidades recién descubiertas. 
2.3.6.	Evaluación del rendimiento 
Luego de culminado el ciclo completo, siempre debe estar presente la fase de mejora continua, fallas y soluciones para solucionar problemas o conflictos que se presenten en el sistema. Debe continuar como una extensión de toda la organización a lo largo del ciclo de vida. Se validan las habilidades y experiencias adquiridas a través de este proceso.
3.	Evaluación de la seguridad de TI 
3.1.	Tipos de amenazas para la seguridad de TI 
Ingeniería Social: Consiste en utilizar artilugios, tretas y otras técnicas para engañar a las personas, a fin de que ellas revelen información de interés para el atacante, por ejemplo: las contraseñas de acceso. Se diferencia del resto de las amenazas, básicamente porque no se aprovecha de debilidades y vulnerabilidades propias de un componente informático para obtener información. 
 Phishing: Consiste en el envío masivo de mensajes electrónicos que simulan ser notificaciones oficiales de entidades o empresas legítimas, con el fin de obtener datos personales y bancarios de los usuarios. 
 Código Malicioso: Se define así a todo programa o fragmento de este que genera algún tipo de problema en el sistema en el cual se ejecuta, interfiriendo de esta forma con su normal funcionamiento. 
 Ataques de Contraseña: Consisten en la prueba metódica de contraseñas para lograr el acceso a un sistema, siempre y cuando la cuenta no presente un control de intentos fallidos de logueo. Este tipo de ataques puede ser efectuado: 
 • Por diccionario: existiendo un diccionario de palabras, una herramienta intentará acceder al sistema probando, una a una, las palabras incluidas en el diccionario. 
 • Por fuerza bruta: una herramienta generará combinaciones de letras números y símbolos formando posibles contraseñas y probando, una a una, en el login del sistema. 
 Fraude Informático: Se trata del perjuicio económico efectuado a una persona mediante la utilización de un sistema informático, ya sea, modificando datos, introduciendo datos falsos o verdaderos o cualquier elemento extraño que sortee la seguridad del sistema. 
 Acceso a Información Confidencial Impresa: Ocurre cuando la información confidencial impresa es obtenida por personal no autorizado, debido a que la misma no es resguardada adecuadamente mediante, una política de limpieza de escritorios. 
 Daños Físicos al Equipamiento: Los daños físicos pueden ser ocasionados por acciones intencionadas, negligencia de los usuarios, catástrofes naturales, 
 Pérdida de Copias de Resguardo: Si no existen adecuadas medidas de seguridad física para las copias de resguardo, éstas pueden dañarse, por ejemplo, en caso de ser afectadas por desastres tales como un incendio, inundación, o incluso por robo. La mala gestión de los medios de almacenamiento físico también puede conducir a la obsolescencia. Por otro lado, se debe tener en cuenta el desgaste tecnológico de los medios de almacenamiento a lo largo del tiempo para que puedan actualizarse adecuadamente para su recuperación en caso de ser necesario. 
 Robo de identidad: Ocurre cuando alguien usa una computadora para obtener información personal de otros sin su permiso y la usa para cometer actividades fraudulentas. 
 Trashing: Consiste en buscar datos en la papelera de reciclaje. Esto puede suponer un grave riesgo para los usuarios que no destruyan datos sensibles o confidenciales borrándolos.
3.2.	Conducción de evaluaciones de seguridad de TI 
La evaluación de la seguridad de TI cubre varias áreas que interfieren con la organización y afectan la seguridad de la información, que incluyen: seguridad física y ambiental, respuesta a riesgos e incidentes, comunicaciones, integridad de la información, servicios adquiridos, planificación y mantenimiento y, finalmente, certificaciones y acreditaciones.
3.2.1.	Seguridad física y ambiental 
La seguridad física describe las medidas que impiden o evitan que los atacantes obtengan acceso a un edificio o centro de datos, un recurso o información almacenada en medios físicos. Puede ser tan simple como una puerta cerrada con llave o tan complejo como capas de acceso físico, controles biométricos y guardias de seguridad. 
3.2.2.	Riesgos y respuesta a incidentes 
En esta área se evalúan los riesgos existentes en la organización, enfocados a las tecnologías de la información y, por tanto, a conocer la efectividad de las herramientas de seguridad informática y formas de atacar los problemas analizados.3.2.3.	Comunicaciones
La evaluación debe comunicarse a los miembros de la organización que tienen el rol y la responsabilidad de abordar estos problemas para que puedan tomar las medidas adecuadas si es necesario.
3.2.4.	Integridad de la información 
Cuando se trata de evaluaciones de seguridad, lo más importante es combinar toda la información con la que trabaja para generar informes precisos y así identificar áreas de mejora para garantizar una mayor seguridad para la organización.
3.2.5.	Servicios adquiridos 
La sección de servicios de compras se refiere a la inclusión de estos servicios en una evaluación de seguridad para determinar si estos servicios crean vulnerabilidades o, por el contrario, no contribuyen a mejorar la seguridad de la organización.
3.2.6.	Planeación y mantenimiento 
Con las evaluaciones, podemos determinar si existen áreas en la organización que necesitan reconfigurar sus objetivos, así como el mantenimiento de los equipos identificados durante la auditoría, así como modificar el plan si es necesario.
3.2.7.	Certificaciones y acreditaciones 
La certificación y acreditación nos ayudan en gran medida a crear mayor confianza en nuestros clientes y socios sobre las medidas de seguridad que se siguen en la organización con el manejo de la información, entre otros aspectos, contribuyen a mejorar la imagen de la organización.
3.3.	Técnicas para el análisis de riesgos.
Durante los últimos años la complejidad de los riesgos a los que están expuestas las organizaciones ha cambiado, especialmente en el ámbito de las tecnologías de la información, han surgido nuevos riesgos y tanto las juntas directivas como los ejecutivos han mejorado su conciencia y supervisión de la gestión del riesgo, sin embargo, existe la necesidad de que las organizaciones mejoren su enfoque de la gestión del riesgo para satisfacer las demandas de un entorno empresarial en evolución. 
 Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. 
 Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades 
 Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano, eventos naturales o fallas técnicas. Algunos ejemplos pueden ser ataques informáticos externos, errores u omisiones del personal de la empresa, infecciones con programa maligno, terremotos, tormentas eléctricas o sobrecargas en el fluido eléctrico. 
Sin embargo, para que la empresa pueda tomar decisiones sobre cómo actuar frente a los diferentes riesgos, es necesario realizar una evaluación para determinar cuáles son los riesgos más importantes para la empresa. Esta evaluación generalmente se realiza en función de la probabilidad de que ocurra el riesgo y el impacto de la actualización del riesgo. La evaluación de impacto se puede medir en función de una serie de factores: daño económico si se puede cuantificar el monto de la pérdida, la reputación de la empresa en la que el riesgo puede afectar la imagen de la empresa, el mercado o la medida en que se vea afectado por la pérdida o el daño de información. 
 En esta etapa se deben identificar y evaluar los principales riesgos que potencialmente afecten los activos de información de la empresa. Una vez que se identifican las amenazas, la parte más importante del análisis de riesgos es identificar las medidas de control para reducir la probabilidad de que ocurra una amenaza o para minimizar su impacto. Los controles que puede ejercer una empresa se relacionarán con el tipo de amenaza y la medida en que representa para la información de la empresa. 
 Una empresa puede afrontar el riesgo de cuatro maneras diferentes: aceptarlo, entregarlo, minimizarlo o evitarlo. Si un riesgo no es lo suficientemente material para el negocio, la medida de control podría ser la Aceptación, es decir, ser consciente de que el riesgo existe y monitorearlo. Si el riesgo representa una amenaza significativa para la seguridad de la información, se puede tomar la decisión de transferir o reducir el riesgo. 
 La primera opción implica adquirir algún tipo de seguro para reducir el monto de la posible pérdida, y la segunda implica tomar medidas preventivas o correctivas para reducir la probabilidad de que ocurra una pérdida o el impacto del riesgo. Finalmente, si el nivel de riesgo es demasiado alto para que la empresa lo acepte, puede optar por evitar el riesgo eliminando las operaciones o los activos de información asociados. 
3.3.1.	Inventarios de activos de información 
La evaluación de riesgos basada en activos es una de las dos formas comunes de hacer esto. Otra es la evaluación de escenarios. Una evaluación basada en activos lleva más tiempo para identificar las amenazas relevantes, pero proporciona una visión integral donde es difícil evitar que los profesionales diagnostiquen el riesgo asociado. 
 La tarea continúa con la lista de activos de información. Esto debe incluir al menos: 
 • Hardware. 
 • Software. 
 • Herramientas. 
 • Base de datos. 
 • Medios extraíbles. 
 • Teléfonos móviles. 
 • Propiedad intelectual. 
 • Registros en papel. 
 La lista la completan los dueños de casa. Se refiere a las personas u organizaciones encargadas de velar por el uso, mantenimiento y seguridad de los bienes antes mencionados.
3.3.2.	Identificación de amenazas 
Con una lista de activos empezamos a ver las ventajas de trabajar con un sistema basado en ellos. En lugar de analizar y pensar en cientos o miles de escenarios posibles, nos limitamos a lo que podría pasar con cada uno de nuestros activos. 
 Un ejemplo de vulnerabilidad relacionada con dispositivos móviles es el robo de dispositivos. Por otro lado, el software puede ser pirateado y los sistemas operativos pueden ser puertas de entrada para los ciberdelincuentes.
3.3.3.	Matriz de riesgos
Ahora tenemos una lista de activos y una lista de riesgos que los amenazan. Este es el momento en que se entiende que estas amenazas no son de igual importancia y por lo tanto de igual importancia. 
 En esta etapa, los riesgos se evalúan en términos de probabilidad de ocurrencia y grado de daño. Las matrices de riesgo, que tienen en cuenta factores como el apetito de riesgo, categorizan los riesgos según su probabilidad de ocurrencia, así como su impacto económico, legal, contractual y regulatorio.
4.	Conclusiones
Esta actividad me fue de gran ayuda, porque con esta actividad pude investigar conceptos que no tenia muy presente como el ciclo de vida de la seguridad en TI, en donde pude entender como es que funciona este proceso, así como la importancia que tiene en la seguridad de la información en una organización, además de otros conceptos que investigue y pude conocer más en detalle como los análisis de riesgos, estos en mi opinión junto a la planeación son las partes mas importantes a tratar en una organización, puesto que gracias a una correcta planeación se pueden evitar ciertos riesgos y por consiguiente hacer un uso optimo de los recursos disponibles en la organización.
Estas dos fases representan una parte fundamental en el aseguramiento de la información puesto que, para realizar una correcta planeación, es necesario realizar una investigación detallada para conocer los principales riesgos a los que se enfrenta la organización, y con este análisis de riesgos poder determinar que medidas se deben tomar con cada riesgo, si es que se puede ignorar, mitigar o transferir, dependiendo del impacto que pueda generar cadariesgo identificado.
Finalmente concluyo con que este tipo de actividades me son de gran ayuda para adquirir nuevos conocimientos mediante la investigación, que posteriormente serán complementados con la información que nos comparta la profesora en el salón de clases.
5.	Referencias
Master, G. D. P. (2018, 10 mayo). Actores principales o Stakeholders de un proyecto. Gestión de Proyectos Master. https://www.gestiondeproyectos-master.com/actores-principales-o-stakeholders-de-un-proyecto/
de Ceupe, B. (2020, 13 mayo). ¿Cuáles son los objetivos de la seguridad de la información? Ceupe. https://www.ceupe.com/blog/cuales-son-los-objetivos-de-la-seguridad-de-la-informacion.html?dt=1663317726888
Tecnología, C. E. E. D. E. Y. (2021, 23 diciembre). Cómo crear un plan de seguridad informática fácilmente. VIU. https://www.universidadviu.com/es/actualidad/nuestros-expertos/como-crear-un-plan-de-seguridad-informatica-facilmente
Universidad Nacional de la Plata. (s. f.). Algunas amenazas y sus consecuentes precauciones. econo. unlp. https://www.econo.unlp.edu.ar/detise/amenazasinformaticas-3918
E. (2022, 15 febrero). Evaluación de riesgos de seguridad de la información: 7 pasos para asegurar el cumplimiento de ISO 27001. Escuela Europea de Excelencia. https://www.escuelaeuropeaexcelencia.com/2022/02/evaluacion-de-riesgos-de-seguridad-de-la-informacion-7-pasos-para-asegurar-el-cumplimiento-de-iso-27001
COSO, Commite of sponsoring organizations of the treadway commission. Recuperado de: https://www.coso.org 
Quitoeca (2011) ¿Qué son los stakeholders? Recuperado de: https://www.guioteca.com/rse/que-son-los-stakeholders/
Blog IESE (2013), Cuatro modelos de gobierno de la empresa. Recuperado de: https://blog.iese.edu/antonioargandona/2013/02/08/cuatro-modelos-de-gobierno-de-la-empresa/
Palermo (2014), El proceso de toma de decisiones a nivel de gobierno en las pequeñas y medianas empresas familiares de Argentina. Recuperado de: https://www.palermo.edu/negocios/cbrs/pdf/pbr 11/BusinessReview11_05.pdf
Palisade (2017) Análisis de riesgo. Recuperado de: https://www.palisade-lta.com/risk/analisis_de_riesgo.asp
Welivesecurtiry Eset (2017) ¿Qué es y por qué hacer un Análisis de Riesgos? Recuperado de: https://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
2