{"id":1357,"date":"2024-05-08T10:33:43","date_gmt":"2024-05-08T15:33:43","guid":{"rendered":"https:\/\/lyqauditores.com\/?p=1357"},"modified":"2025-09-16T15:42:35","modified_gmt":"2025-09-16T20:42:35","slug":"boletin-072-24-analisis-y-gestion-de-riesgos-en-la-seguridad-informatica","status":"publish","type":"post","link":"https:\/\/lyqauditores.com\/en\/boletin-072-24-analisis-y-gestion-de-riesgos-en-la-seguridad-informatica\/","title":{"rendered":"BOLET\u00cdN 072 &#8211; 24 AN\u00c1LISIS Y GESTI\u00d3N DE RIESGOS EN LA SEGURIDAD INFORM\u00c1TICA"},"content":{"rendered":"<h2 style=\"text-align: center;\"><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-566\" src=\"http:\/\/lyqauditores.com\/wp-content\/uploads\/2023\/07\/White-and-Blue-Minimalist-Modern-Business-Company-Newsletter-237x300.png\" alt=\"\" width=\"136\" height=\"172\" srcset=\"https:\/\/lyqauditores.com\/wp-content\/uploads\/2023\/07\/White-and-Blue-Minimalist-Modern-Business-Company-Newsletter-237x300.png 237w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2023\/07\/White-and-Blue-Minimalist-Modern-Business-Company-Newsletter-9x12.png 9w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2023\/07\/White-and-Blue-Minimalist-Modern-Business-Company-Newsletter.png 306w\" sizes=\"auto, (max-width: 136px) 100vw, 136px\" \/><\/h2>\n<h2 style=\"font-weight: 400; text-align: center;\"><strong>AN\u00c1LISIS Y GESTI\u00d3N DE RIESGOS EN LA SEGURIDAD INFORM\u00c1TICA<\/strong><\/h2>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p style=\"font-weight: 400;\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1360 alignleft\" src=\"http:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280.jpg\" alt=\"\" width=\"255\" height=\"255\" srcset=\"https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280.jpg 1280w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-300x300.jpg 300w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-1024x1024.jpg 1024w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-150x150.jpg 150w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-768x768.jpg 768w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-12x12.jpg 12w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-100x100.jpg 100w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-140x140.jpg 140w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-500x500.jpg 500w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-350x350.jpg 350w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-1000x1000.jpg 1000w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/ai-generated-8682027_1280-800x800.jpg 800w\" sizes=\"auto, (max-width: 255px) 100vw, 255px\" \/>Un proceso de gesti\u00f3n de riesgos comprende una etapa de evaluaci\u00f3n previa de las amenazas del sistema inform\u00e1tico, la cual se debe garantizar con rigor y objetividad para que cumpla su funci\u00f3n con eficiencia. Para ello, el equipo responsable de la evaluaci\u00f3n debe contar con un nivel adecuado de formaci\u00f3n y experiencia previa, as\u00ed como disponer de una serie de recursos y medios para realizar su trabajo.<\/p>\n<p style=\"font-weight: 400;\">El proceso propiamente dicho de gesti\u00f3n de riesgos se trata de definir un plan para la implantaci\u00f3n de ciertas salvaguardas o contramedidas en el sistema inform\u00e1tico, que permitan disminuir la probabilidad de que se materialice una amenaza o bien reducir la vulnerabilidad del sistema o el posible impacto en la organizaci\u00f3n.<\/p>\n<p style=\"font-weight: 400;\">A continuaci\u00f3n se presentan los principales conceptos y definiciones que se deben manejar a la hora de estudiar el an\u00e1lisis y gesti\u00f3n de riesgos en una organizaci\u00f3n:<\/p>\n<p>&nbsp;<\/p>\n<ol>\n<li><strong>Recursos del Sistema<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Los recursos son los activos que proteger del sistema inform\u00e1tico de la organizaci\u00f3n, seguidamente se presenta una relaci\u00f3n de los principales recursos que se deber\u00edan tener en consideraci\u00f3n a la hora de analizar y gestionar los riesgos:<\/p>\n<ul>\n<li><strong>Recursos hardware: <\/strong>servidores y estaciones de trabajo, ordenadores port\u00e1tiles, impresoras, esc\u00e1neres y otros perif\u00e9ricos.<\/li>\n<li><strong>Recursos software: <\/strong>Sistemas operativos, herramientas ofim\u00e1ticas, software de gesti\u00f3n, herramientas de programaci\u00f3n y aplicaciones desarrolladas a la medida dentro de la organizaci\u00f3n, etc.<\/li>\n<li><strong>Elementos de comunicaciones: <\/strong>Dispositivos de conectividad (hub, switches, routers), armarios con paneles de conexi\u00f3n, cableado, punto de acceso a la red y l\u00edneas de comunicaci\u00f3n con el exterior, etc.<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\">Cada recurso o activo de la organizaci\u00f3n se puede caracterizar por un c\u00f3digo, su descripci\u00f3n, su costo o precio de adquisici\u00f3n, su costo de reposici\u00f3n, su nivel de criticidad o importancia para el mantenimiento de las actividades de la organizaci\u00f3n o el nivel requerido de integridad y de confidencialidad, etc.<\/p>\n<ol start=\"2\">\n<li><strong>Amenazas<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Se considera una amenaza a cualquier evento accidental o intencionado que pueda ocasionar alg\u00fan da\u00f1o en el sistema inform\u00e1tico, provocando p\u00e9rdidas materiales, financieras o de otro tipo a la organizaci\u00f3n.<\/p>\n<p style=\"font-weight: 400;\">Se puede establecer la siguiente clasificaci\u00f3n a la hora de estudiar las amenazas a la seguridad:<\/p>\n<ul>\n<li><strong>Amenazas naturales: <\/strong>inundaci\u00f3n, incendio, tormenta, tsunami, fallo el\u00e9ctrico o explosi\u00f3n, etc.<\/li>\n<li><strong>Amenazas de agentes externos: <\/strong>virus inform\u00e1ticos, ataques de una organizaci\u00f3n criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos o estafas, etc.<\/li>\n<li><strong>Amenazas de agentes internos: <\/strong>empleados descuidados, empleados con una formaci\u00f3n inadecuada o descontentos o errores en la utilizaci\u00f3n de las herramientas y recursos del sistema, etc.<\/li>\n<li><strong>Accidentes: <\/strong>aver\u00edas del hardware y fallos del software, incendio e inundaci\u00f3n, etc.<\/li>\n<li><strong>Errores: <\/strong>Errores de utilizaci\u00f3n, de explotaci\u00f3n o de ejecuci\u00f3n de determinados procedimientos, etc.<\/li>\n<li><strong>Actuaciones malintencionadas: <\/strong>robos, fraudes, sabotajes e intentos de intrusi\u00f3n, etc.<\/li>\n<\/ul>\n<p style=\"font-weight: 400;\">La organizaci\u00f3n puede emplear una escala cuantitativa o cualitativa para definir los niveles para la ocurrencia de una amenaza (es decir, en funci\u00f3n de su frecuencia): muy baja, baja, media, alta o muy alta.<\/p>\n<ol start=\"3\">\n<li><strong>Vulnerabilidades<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1359 alignright\" src=\"http:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280.jpg\" alt=\"\" width=\"326\" height=\"191\" srcset=\"https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280.jpg 1280w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280-300x176.jpg 300w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280-1024x600.jpg 1024w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280-768x450.jpg 768w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/technology-7111760_1280-18x12.jpg 18w\" sizes=\"auto, (max-width: 326px) 100vw, 326px\" \/>Una vulnerabilidad es cualquier debilidad en el sistema inform\u00e1tico que pueda permitir a las amenazas causarle da\u00f1os y producir p\u00e9rdidas en la organizaci\u00f3n.<\/p>\n<p style=\"font-weight: 400;\">Las vulnerabilidades se corresponden con fallos en los sistemas f\u00edsicos y\/o l\u00f3gicos, aunque tambi\u00e9n pueden tener su origen en los defectos de ubicaci\u00f3n, instalaci\u00f3n, configuraci\u00f3n y mantenimiento de los equipos.<\/p>\n<p style=\"font-weight: 400;\">Pueden estar ligadas a aspectos organizativos (procedimientos mal definidos, procedimientos desactualizados y ausencia de pol\u00edticas de seguridad), al factor humano (falta de formaci\u00f3n y\/o de sensibilizaci\u00f3n del personal con acceso a los recursos del sistema), a los propios equipos , a los programas y herramientas l\u00f3gicas del sistema, a los locales y las condiciones ambientales del sistema (deficientes medidas de seguridad f\u00edsicas, escasa protecci\u00f3n contra incendios o mala ubicaci\u00f3n de los locales con recursos cr\u00edticos para el sistema, etc).<\/p>\n<p style=\"font-weight: 400;\">Se suele emplear una escala cuantitativa o cualitativa para definir el nivel de vulnerabilidad de un determinado equipo o recurso: Baja, Media y Alta.<\/p>\n<ol start=\"4\">\n<li><strong>Incidentes de Seguridad<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado, la interrupci\u00f3n de los servicios suministrados por un sistema inform\u00e1tico y\/o posibles p\u00e9rdidas f\u00edsicas de activos o financieras. Es decir, se considera que un incidente es la materializaci\u00f3n de una amenaza.<\/p>\n<ol start=\"5\">\n<li><strong>Impactos<\/strong><\/li>\n<\/ol>\n<p style=\"font-weight: 400;\">El impacto es la medici\u00f3n y valoraci\u00f3n del da\u00f1o que podr\u00eda producir a la organizaci\u00f3n, un incidente de seguridad. Para valorar el impacto es necesario tener en cuenta tanto los da\u00f1os tangibles, como la estimaci\u00f3n de los da\u00f1os intangibles (incluida la informaci\u00f3n). En este sentido, podr\u00eda resultar de gran ayuda la realizaci\u00f3n de entrevistas en profundidad con los responsables de cada departamento, funci\u00f3n o proceso de negocio, tratando de determinar cu\u00e1l es el impacto real de la revelaci\u00f3n, alteraci\u00f3n o p\u00e9rdida de la informaci\u00f3n para la organizaci\u00f3n y no solo del elemento TIC que la soporta.<\/p>\n<p style=\"font-weight: 400;\">Tambi\u00e9n en este caso puede emplearse una escala cualitativa o cuantitativa para medir el impacto del da\u00f1o en la organizaci\u00f3n: Bajo, Moderado y Alto<\/p>\n<p>&nbsp;<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1358 alignleft\" src=\"http:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/Imagen-1.png\" alt=\"\" width=\"626\" height=\"228\" srcset=\"https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/Imagen-1.png 442w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/Imagen-1-300x109.png 300w, https:\/\/lyqauditores.com\/wp-content\/uploads\/2024\/05\/Imagen-1-18x7.png 18w\" sizes=\"auto, (max-width: 626px) 100vw, 626px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>6. \u00a0<strong>Riesgo<\/strong><\/p>\n<p style=\"font-weight: 400;\">El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema inform\u00e1tico, causando un determinado impacto en la organizaci\u00f3n.<\/p>\n<p style=\"font-weight: 400;\">El nivel de riesgo depende por lo tanto de un an\u00e1lisis previo de vulnerabilidades del sistema, de las amenazas y del posible impacto que estas puedan tener en el funcionamiento de la organizaci\u00f3n.<\/p>\n<p>&nbsp;<\/p>\n<a class=\"wp1_like_like enabled\" data-id=\"1357\"><i class=\"fa fa-thumbs-up\" aria-hidden=\"true\"><\/i> <span>Me gusta (0)<\/span><\/a>","protected":false},"excerpt":{"rendered":"<p>AN\u00c1LISIS Y GESTI\u00d3N DE RIESGOS EN LA SEGURIDAD INFORM\u00c1TICA &nbsp; &nbsp; &nbsp; Un proceso de gesti\u00f3n de riesgos comprende una etapa de evaluaci\u00f3n previa de las amenazas del sistema inform\u00e1tico,&#8230;<\/p>","protected":false},"author":8,"featured_media":1361,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[15],"tags":[],"class_list":{"0":"post-1357","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tic"},"_links":{"self":[{"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/posts\/1357","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/users\/8"}],"replies":[{"embeddable":true,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/comments?post=1357"}],"version-history":[{"count":11,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/posts\/1357\/revisions"}],"predecessor-version":[{"id":1370,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/posts\/1357\/revisions\/1370"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/media\/1361"}],"wp:attachment":[{"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/media?parent=1357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/categories?post=1357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/lyqauditores.com\/en\/wp-json\/wp\/v2\/tags?post=1357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}