UNIVERSIDAD NACIONAL MAYOR DE

SAN MARCOS
(Universidad del Perú, Decana de América)

TEMA: SEGURIDAD DE LA INFORMACIÓN

CURSO: AUDITORÍA DEL SISTEMA DE INFORMACIÓN

PROFESOR: POMA TORRES, WALTER WILFREDO

AULA: 312 - NOCHE

INTEGRANTES:

❖ Ávila Castro, Geraldine Alexandra

❖ Huamán Sánchez, Christian Rony
❖ Patiño Cayo, Cindy
❖ Rodríguez Ochoa, Deborah Nicole
❖ Salazar Ponce, María del Pilar
 INDICE
SEGURIDAD DE LA INFORMACIÓN ........................................................................ 4

GESTIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN ............ 6

2.1 Confidencialidad ...................................................................................................... 6

2.2 Disponibilidad .......................................................................................................... 6

2.3 Integridad ................................................................................................................. 6

2.4 ISO 27001 ................................................................................................................ 7

ELEMENTOS EN LA SEGURIDAD DEL SISTEMA DE INFORMACIÓN .............. 8

3.1 Responsables de la seguridad de la información ................................................... 11

3.1.1 Alta gerencia.............................................................................................................. 11

3.1.2 Líderes de unidades de negocios .............................................................................. 11
3.1.3 Empleados ................................................................................................................. 12
3.2 Seguridad lógica .................................................................................................... 12

3.2.1 SEGURIDAD DE LOS DATOS Y DE LA INFORMACIÓN ................................................. 14

3.2.2 Accesos no autorizados ............................................................................................. 16
3.2.3 Virus informáticos: Virus, gusanos, troyanos y programas espías. ........................... 16
3.2.4 Seguridad de las comunicaciones ............................................................................. 18
3.3 Seguridad fisica...................................................................................................... 18

3.4 Amenazas del entorno a la seguridad del sistema de informacion ........................ 18

3.5 Planes de contingencia ........................................................................................... 19

ASEGURAMIENTO DE LA CALIDAD DE LOS SISTEMAS DE INFORMACIÓN

20

4.1 Aseguramiento de la calidad de los datos .............................................................. 20

4.2 Procedimientos para el aseguramiento de la calidad de los datos ......................... 21

RIESGOS DE LA TI ..................................................................................................... 23

5.1 Generalidades ......................................................................................................... 23

5.2 Proceso de Gestión de Riesgos .............................................................................. 25

5.2.1 Generalidades ........................................................................................................... 25

 5.2.2 Proceso ...................................................................................................................... 26
5.3 Principales Riesgos de la TI................................................................................... 29

5.4 Matriz para medición de probabilidad e impacto de riesgos ................................. 30

5.4.1 Impacto ..................................................................................................................... 31

5.4.2 Probabilidad .............................................................................................................. 32
5.4.3 Análisis y evaluación de riesgos ................................................................................ 32
5.4.4 Resultado Matriz de riesgos ...................................................................................... 33
5.5 Ejemplo práctico: ................................................................................................... 34

5.5.1 Comunicación y consulta........................................................................................... 35

5.5.2 Alcance, contexto y criterio....................................................................................... 35
5.5.3 Evaluación del riesgo ................................................................................................. 37
5.5.4 Tratamiento del riesgo .............................................................................................. 40
5.5.5 Seguimiento y revisión .............................................................................................. 40
 SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información está relacionada con las medidas preventivas aplicadas con

el fin de salvaguardar y proteger la información bajo la confidencialidad, disponibilidad e

integridad. La información puede presentarse en diversos formatos y medios tanto físicos,

como electrónicos. Por lo tanto, las organizaciones deben adoptar y adaptar metodologías

para proteger los archivos y registros, mantener en funcionamiento una infraestructura

tecnológica adecuada que sirva para la custodia y salvaguarda de la información.

La seguridad de la información engloba un conjunto de técnicas y medidas para controlar

todos los datos que se manejan dentro de una institución y asegurar que no salgan de ese

sistema establecido por la empresa. Principalmente este tipo de sistemas se basan en las

nuevas tecnologías, por tanto la seguridad de la información resguardará los datos que están

disponibles en dicho sistema y a los que solo tendrán acceso usuarios autorizados. Por otro

lado, tampoco se podrán hacer modificaciones en la información a no ser que sea de la mano

de los usuarios que tengan los permisos correspondientes.

La seguridad de la información debe responder a tres cualidades principales:

• Crítica
• Valiosa
• Sensible

Por un lado, debe ser crítica, ya que es una pieza fundamental para que la empresa pueda

llevar a cabo sus operaciones sin asumir demasiados riesgos. También debe ser valiosa,

puesto que los datos que se manejan son esenciales para el devenir del negocio y finalmente

tiene que ser sensible, ya que al sistema solo podrán acceder las personas que estén

debidamente autorizadas. Además, también hay que tener en cuenta que la seguridad de la
información debe hacer frente a los riesgos, analizarlos, prevenirlos y encontrar soluciones

rápidas para eliminarlos si se diera el caso.

La Seguridad de la Información, según ISO27001, se refiere a la confidencialidad, la

integridad y la disponibilidad de la información y los datos importantes para la organización,

independientemente del formato que tengan, estos pueden ser:

• Electrónicos
• En papel
• Audio y vídeo, etc.

El objetivo de la seguridad de la información:

Los activos de información son los elementos que la Seguridad de la Información debe

proteger. Por lo que son tres elementos lo que forman los activos:

• Información: es el objeto de mayor valor para la empresa.

• Equipos: suelen ser software, hardware y la propia organización.
• Usuarios: son las personas que usan la tecnología de la organización.

La seguridad de la información tiene como objetivo principal proteger los datos de las

empresas. Pero este concepto es en términos generales, puesto que el sistema lo que va a

hacer es asegurar tres aspectos fundamentales: la confidencialidad, la disponibilidad y la

integridad. Para llevar a cabo estas acciones se deberán establecer estrategias donde se

redacten las políticas de actuación para cada uno de estos casos. También habrá que

establecer el uso de las tecnologías, incluir controles de seguridad y todos los procesos que

se van a llevar a cabo para detectar los riesgos a los que se puede ver expuesto el sistema.

Teniendo en cuenta todas estas cosas: ¿en qué consisten esos tres aspectos fundamentales?
 GESTIÓN DE LA SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN
2.1 Confidencialidad
Por confidencialidad entendemos la cualidad de la información para no ser divulgada a

personas o sistemas no autorizados. Se trata básicamente de la propiedad por la que esa

información solo resultará accesible con la debida y comprobada autorización.

¿Cómo se pierde esa confidencialidad? Generalmente, haciendo caso omiso a las

recomendaciones de seguridad o no implantando un sistema adecuado; así, cuando

compartimos equipos sin eliminar las contraseñas, olvidamos cerrar nuestro usuario, tiramos

un disco duro sin borrar antes sus datos o no ciframos los datos de manera adecuada, la

información deja de ser confidencial y entramos, digamos, en una zona de alto riesgo.

2.2 Disponibilidad
La disponibilidad es contar con acceso a la información cuando se requiere ya que cualquier

retardo superior al establecido según los niveles de servicio puede ser descrito como una

violación de la disponibilidad. De esta manera si un sistema de información no está

disponible cuando se necesita es, como mínimo, tan malo como no disponer de dicho sistema.

La disponibilidad, de la misma forma que otros aspectos vinculados a la seguridad, de la

información puede verse afectada por cuestiones puramente técnicas, por ejemplo, una parte

mal funcionamiento de una computadora o dispositivo de comunicaciones, fenómenos

naturales como por ejemplo, el viento el agua, etc. o causas humanas ya sea de manera

accidental o deliberada

2.3 Integridad
La integridad de datos es la protección de los datos frente a la modificación, supresión,

duplicación o reordenación realizada por entidades no autorizadas (organizaciones, personas,

máquinas, procesos). Más concretamente, la integridad se refiere a la fiabilidad de los

recursos de información. Una violación de la integridad se debe siempre a un ataque activo.

La integridad de datos es la garantía de la no alteración: se garantiza la detección de cualquier

alteración de los datos (ya sea en tránsito por la red o en almacenamiento en un disco duro,

por accidente o deliberadamente). Es evidente que esta garantía es esencial en cualquier tipo

de entorno empresarial o comercio electrónico, y es más que deseable en muchos otros

entornos. La integridad de un sistema de información implica garantizar que no ha habido

ninguna corrupción en los datos que han sido transmitidos o almacenados en el sistema,

detectando cualquier posible manipulación. Para ello, es necesario el uso de técnicas

criptográficas.

2.4 ISO 27001

Es una norma internacional de Seguridad de la Información que pretende asegurar la

confidencialidad, integridad y disponibilidad de la información de una organización y de los

sistemas y aplicaciones que la tratan. Este estándar ha sido desarrollado por la Organización

Internacional de Normalización (ISO: “International Organization for Standardization”) y

por la Comisión Electrotécnica Internacional (IEC: “International Electrotechnical

Commission”).

La norma define de manera genérica, independientemente de los factores ambientales de

organización (entorno, contexto, activos de las TIC, información, cultura organizacional,

etc.) tanto internos como externos a la misma y de los activos de los procesos de la

organización (políticas, procedimientos, procesos, etc.), cómo se planifica, implanta, verifica

y controla un Sistema de Gestión de Seguridad de la Información, a partir de la realización

de un análisis de riesgos y de la planificación e implantación de la respuesta a los mismos

para su mitigación. Es decir, cualquier empresa u organización puede desplegar un

SGSI siguiendo este estándar.

ELEMENTOS EN LA SEGURIDAD DEL SISTEMA DE

INFORMACIÓN
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad,

comunicación, identificación de problemas, análisis de riesgos, la integridad,

confidencialidad, recuperación de los riesgos.

Disponibilidad

Se refiere a la disponibilidad de la información cuando ésta es requerida por el proceso de

negocio ahora y en el futuro. También se refiere a la salvaguarda de los recursos necesarios

y capacidades asociadas.

La disponibilidad es la característica, cualidad o condición de la información de encontrarse

a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A

grandes rasgos, la disponibilidad es el acceso a la información y a los sistemas por personas

autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información,

los controles de seguridad utilizados para protegerlo, y los canales de comunicación

protegidos que se utilizan para acceder a ella deben estar funcionando correctamente.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de

servicio. Para poder manejar con mayor facilidad la seguridad de la información, las

empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer,

administrar y minimizar los posibles riesgos que atenten contra la seguridad de la

información del negocio.

Comunicación
Para permitir que los procesos de su sistema de seguridad de la información
funcionen de forma eficaz, deberá asegurarse de tener actividades de comunicación
bien planificadas y gestionadas. ISO 27001 detalla estos de manera concisa al
solicitarle que determine:
• Qué necesita ser comunicado;
• cuándo necesita ser comunicado;
• a quién debe comunicarse;
• quién es responsable de la comunicación; y
• cuáles son los procesos de comunicación.

Identificación de problemas
Es la identificación de los posibles riesgos y contingencias que se pueden presentar
en el área de sistematización; estas contingencias pueden tener un origen humano:
descuidos, negligencia, mal uso de la información, sabotajes, robos, piratería,
etcétera, o un origen natural: terremotos, incendios, inundaciones, etcétera. Estos
riesgos deben ser contemplados dentro de estudios y programas preventivos
elaborados por las propias áreas de sistematización.

Análisis de riesgos
Una vez identificados los riesgos a nivel de entidad y por actividad deben llevarse a
cabo el proceso de análisis de riesgos, esto incluye:
• Una estimación de la importancia del riesgo.
• Una evaluación de la probabilidad o frecuencia de que se materialice el
riesgo.
• Una cuantificación de la pérdida probable
• Determinar las medidas que deben adoptarse para mitigarlo.
Integridad
Se refiere a la precisión y suficiencia de la información, así como a su validez de
acuerdo con los valores y expectativas del negocio.
Es la propiedad que busca mantener los datos libres de modificaciones no
autorizadas. (No es igual a integridad referencial en bases de datos.) A grandes
rasgos, la integridad es mantener con exactitud la información tal cual fue generada,
sin ser manipulada ni alterada por personas o procesos no autorizados.
La integridad también es la propiedad que busca proteger que se modifiquen los
datos libres de forma no autorizada, para salvaguardar la precisión y completitud de
los recursos.
La violación de integridad se presenta cuando un empleado, programa o proceso
(por accidente o con mala intención) modifica o borra datos importantes que son
parte de la información.

Confidencialidad
Se refiere a la provisión de información apropiada para la administración con el fin
de operar la entidad y para ejercer sus responsabilidades de reportes financieros y
de cumplimiento.
La confidencialidad es la propiedad que impide la divulgación de información a
individuos, entidades o procesos no autorizados. A grandes rasgos, asegura el
acceso a la información únicamente a aquellas personas que cuenten con la debida
autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el
número de tarjeta de crédito a ser transmitida desde el comprador al comerciante
y el comerciante de a una red de procesamiento de transacciones. El sistema intenta
hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los
datos que contiene la banda magnética durante la transmisión de los mismos. Si una
parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha
producido una violación de la confidencialidad.
3.1 Responsables de la seguridad de la información
3.1.1 Alta gerencia
En primer lugar, la seguridad de la información debe comenzar desde arriba. La
“parte superior” es la alta gerencia y el “comienzo” es el compromiso. La alta
gerencia debe comprometerse con la seguridad de la información para que la
seguridad de la información sea efectiva. Esto no puede ser lo suficientemente
estresado. El compromiso de la alta gerencia con la seguridad de la información
debe ser comunicado y entendido por todo el personal de la empresa y los socios
externos.
El compromiso comunicado a menudo se presenta en forma de política. La alta
gerencia demuestra el compromiso al participar activamente en la estrategia de
seguridad de la información, la aceptación del riesgo y la aprobación del
presupuesto, entre otras cosas.
Sin el compromiso de la alta gerencia, la seguridad de la información es un esfuerzo
inútil.

3.1.2 Líderes de unidades de negocios

Tenga en cuenta que un negocio está en el negocio para ganar dinero. Ganar dinero
es el objetivo principal, y proteger la información que impulsa el negocio es un
objetivo secundario (y de apoyo). El personal de seguridad de la información
necesita comprender cómo la empresa utiliza la información. De lo contrario,
pueden producirse controles ineficaces y obstrucción del proceso.
Podría decirse que nadie sabe cómo se usa la información para cumplir los objetivos
comerciales más que los empleados. Si bien no es práctico incorporar la opinión de
cada empleado en un programa de seguridad de la información, es práctico buscar
las opiniones de las personas que representan a cada empleado. Establecer un
comité directivo de seguridad de la información compuesto por líderes de la unidad
de negocios. Los líderes de las unidades de negocios deben asegurarse de que la
seguridad de la información impregne sus respectivas organizaciones dentro de la
empresa.

3.1.3 Empleados
Todos los empleados son responsables de comprender y cumplir con todas las
políticas de seguridad de la información y la documentación de respaldo (directrices,
estándares y procedimientos). Los empleados son responsables de buscar
orientación cuando las implicaciones de seguridad de sus acciones (o acciones
planificadas) no se comprenden bien. El personal de seguridad de la información
necesita empleados para participar, observar e informar.

3.2 Seguridad lógica

Es todo lo relacionado con la seguridad de los bienes intangibles de los centros
informáticos, tales como software (aplicaciones, sistemas operativos y lenguajes),
así como lo relacionado con los métodos y procedimientos de operación, los niveles
de acceso a los sistemas y programas institucionales, el uso de contraseñas, los
privilegios y restricciones de los usuarios, la protección de los archivos e información
de la empresa y las medidas y programas para prevenir y erradicar cualquier virus
informático. En sí, es todo lo relacionado con las medidas de seguridad, protección
y forma de acceso a los archivos e información del sistema.

Controles para la seguridad lógica de los sistemas

Así como es necesario establecer controles para salvaguardar los bienes físicos del
sistema computacional de la empresa, también es necesario establecer controles y
medidas preventivas y correctivas para salvaguardar sus bienes lógicos. Con ello se
pretende un buen uso del software, de los programas, de los sistemas operativos,
del procesamiento de información, de los accesos al sistema, de la información, etc.
Cabe aclarar que estos controles se deben establecer de acuerdo con el tipo de
sistemas de la empresa, al tamaño y configuración de su equipo, a la forma de
procesamiento de su información y a sus características concretas y procedimientos
de operación, así como de acuerdo con los lenguajes de programación, paqueterías,
programas y aplicaciones concretas que se realizan con el sistema computacional.
A continuación, proponemos algunos controles que se deben considerar en la
seguridad lógica, los cuales, al igual que en las secciones anteriores, se tienen que
establecer de acuerdo con las características y necesidades de procesamiento de la
empresa.

• Control para el acceso al sistema, a los programas y a la información.

Es la implementación de las medidas de seguridad y de los controles
necesarios para delimitar el nivel de acceso de los usuarios y personal al área
de sistemas, estableciendo los privilegios, modos de entrada, forma de uso
del sistema y otras características, para el control de los usuarios. Estas
pueden ser desde la limitación de procedimientos de acceso, pasando por el
establecimiento de claves de acceso (password) hasta limitar el uso de
programas e información.

• Establecimiento de niveles de acceso.

Es la definición, mediante la programación y las paqueterías específicas de
control lógico, de los límites de acceso de los usuarios a los programas
institucionales, paqueterías y herramientas de desarrollo, de acuerdo con la
importancia del software e información que pueden manejar.

• Dígitos verificadores y cifras de control.

Es el establecimiento de operaciones aritméticas, controles sumarizados y
dígitos de verificación matemática de los datos que se capturan y se
procesan en el sistema, con el propósito de mantener la confiabilidad de
estos últimos.

• Palabras clave de accesos.

 Es el control que se establece por medio de palabras clave (contraseñas) para
el acceso y uso de los programas y archivos de información. Estas claves son
establecidas por el administrador del sistema y por el propio usuario.

• Controles para el seguimiento de las secuencias y rutinas lógicas del sistema.

Este tipo de controles son más especializados para los administradores y
operadores del sistema, y se establecen para controlar las rutinas de
procesamiento y las secuencias lógicas del sistema operativo, de los
lenguajes de programación y de las paqueterías especializadas que permiten
el manejo de los sistemas.

3.2.1 SEGURIDAD DE LOS DATOS Y DE LA INFORMACIÓN

Es la protección específica de la información que se maneja en las áreas de sistemas
de la empresa, ya sea a través de las medidas de seguridad y control que limiten el
acceso y uso de esa información, o mediante sus respaldos periódicos con el fin de
mantener su confidencialidad y prevenir las alteraciones, descuidos, robos y otros
actos delictivos que afecten su manejo.

Controles para la seguridad de las bases de datos

El activo más importante de cualquier empresa es la información que se captura,
que se procesa y que se emite en las bases de datos de los sistemas; por lo tanto, es
el bien que más se debe proteger.
El control interno informático ayuda a proteger las bases de datos de la empresa,
por medio de controles especiales y medidas preventivas y correctivas. Con las
restricciones de acceso al sistema se pueden evitar posibles alteraciones, uso
fraudulento, piratería, destrucción y sabotaje de la información de la empresa. Estos
controles pueden ser establecidos por el área administrativa para vigilar el acceso
de los usuarios al sistema, así como para proteger la información a través de
respaldos periódicos y recuperación de datos en caso de pérdidas, deterioros y de
cualquier mal uso que se haga de ellos.
Los siguientes son algunos de los controles que se pueden establecer para la
seguridad de las bases de datos de la empresa.

• Programas de protección para impedir el uso inadecuado y la alteración de

datos de uso exclusivo.
Los controles establecidos por medio de programación, ya sean derivados
del sistema operativo, de lenguajes y paqueterías o de programas de
desarrollo y aplicación, ayudan a proteger la información contenida en los
archivos del sistema, ya que sólo el usuario autorizado tiene acceso a ella.
También ayudan a proteger dicha información de posibles alteraciones, sean
involuntarias o dolosas.

• Respaldos periódicos de información.

Es la implementación de los planes y programas de respaldo (backups) de la
información de las bases de datos, de la información de cada usuario, la de
las diferentes áreas o de toda la institución, según sea el caso; estos
programas de respaldo se realizan en forma periódica y programada y se
pueden copiar en cintas, disquetes, o en discos ópticos, de acuerdo con las
necesidades de la empresa y a la configuración de sus sistemas, así como a
su forma de gestión informática.

• Planes y programas para prevenir contingencias y recuperar información.

Es la elaboración, implementación y seguimiento de planes para prevenir
contingencias y riesgos que se pueden presentar en el manejo de
información de la empresa; dichos planes se establecen con el propósito de
salvaguardar las bases de datos de la institución, por medio de medidas
preventivas, de control o de recuperación en caso de alteración, pérdida o
 mal uso de la información institucional. También se incluyen los respaldos,
limitación de accesos y administración de bases de datos.

• Control de accesos a las bases de datos.

Es el establecimiento de los controles administrativos y del propio sistema
por medio de los cuales se limita el acceso de usuarios no autorizados a las
bases de datos; con estos controles también se establecen en forma
específica el acceso a las bases de datos para las actividades de consulta,
para un primer nivel de acceso; para la manipulación de datos sin pérdida de
los mismos ni alteración de las bases de datos en un segundo nivel, y las dos
anteriores con alteración y modificación de datos para un tercer nivel, de
acuerdo con los privilegios otorgados a los usuarios de las bases de datos y a
las características de la información.
• Rutinas de monitoreo y evaluación de operaciones relacionadas con las
bases de datos.
Es el establecimiento de las rutinas y procedimientos de monitoreo de la
información de las bases de datos, a fin de evaluar su manejo y uso.

3.2.2 Accesos no autorizados

Medidas y procedimientos que tienen como objetivo gestionar el acceso a la
información de forma segura, garantizando el acceso de usuarios autorizados e
impidiendo el acceso no autorizado a los sistemas de información.

3.2.3 Virus informáticos: Virus, gusanos, troyanos y programas

espías.
Virus
Es un programa que posee la capacidad de crear duplicados de sí mismos, en
algunos casos introduciendo ligeras variaciones y distribuirlos a través de un
sistema. Para mantenerse ocultos, los virus se instalan al interior de otros
 programas ya que no puede vivir aisalados. Su objetivos es la destrucción
deinformación
Gusanos (Worms)
Estos programas se ocupan principalmente de hacer copias de sí mismos haciendo
uso de las facilidades de comunicaciones del equipo (conexiones de red, correo
electrónico,). La mayoría no tienen efectos directamente destructivos, pero su
crecimiento exponencial puede colapsar por saturación las redes en las que se
infiltran
Troyanos
Es un programa que se dedica a destruir información. Son programas sin capacidad
de autoreproducción y solo pueden extenderse por las copias realizadas por el
usuario.

Programas espías
Se trata de programas que, de forma encubierta, extraen cualquier tipo de
información sobre nuestro ordenador o el uso que hacemos de él para enviar
información recolectada a ciertos servidores o direcciones de correo electrónico
Resultan difíciles de detectar y suelen permanecer instalados durante mucho
tiempo, ya que no se trata de programas destructivos y normalmente no producen
efectos visibles, a lo sumo cierta ralentización de las comunicaciones, ya que
utilizan parte del ancho de banda para su propio servicio.
Para proteger los sistemas de los virus, existen los productos antivirus, por lo que se
recomienda:
- Mantener residentes en memoria programas antivirus
- Mantener conexiones seguras con Internet
- Verificar cada programa o dispositivo que entre al sistema con un programa
antivirus
- Actualizar periódicamente los productos antivirus
- Disponer de un Backup

3.2.4 Seguridad de las comunicaciones

Consiste en las medidas y procedimientos, que servirán de respaldo y garantizan
mantener la integridad y disponibilidad de la información y de las instalaciones de
procesamiento de la información frente a cualquier eventualidad.
Se debe considerar lo siguiente:
a. Definir el nivel necesario de información de respaldo
b. Realizar copias seguras y completas
c. Determinar el grado y frecuencia de los respaldos
d. Precisar las copias que deben ser salvaguardadas
e. Probar regularmente los soportes de respaldo para verificar su funcionamiento
f. Proteger los respaldos

3.3 Seguridad fisica

La Seguridad Informática física abarca la protección de la información desde el
acceso físico de los equipos y dispositivos que procesan los datos y manipulación
de dispositivos de almacenamiento, así como todas las medidas físicas que van
desde los accesos a los edificios y oficinas, control de cámaras de seguridad, entre
otras medidas físicas de acceso y seguridad.

3.4 Amenazas del entorno a la seguridad del sistema de informacion

Una vez que los bienes informáticos que requieren protección son identificados y
valorados, según su importancia, es necesario identificar a las amenazas sobre
estos y estimar el daño(impacto) que puede producir su materialización
Para cada bien informático a proteger los objetivos fundamentales de seguridad
son la confidencialidad, la integridad y la disponibilidad, por lo que hay que
determinar cada amenaza sobre la base de cómo pueda afectar a estas
características de la información. El peso que cada una de estas características
 tiene para los bienes informáticos que se llevan a cabo en función de su objeto
social. Algunas de las amenazas más comunes son las siguientes:
a. Pérdida de información
b. Corrupción o modificación de información
c. Sustracción, alteración o pérdida de equipos o componentes
d. Divulgación de información
e. Interrupción de servicios.
La realización de un análisis de riesgos implica el examen de cada una de las
amenazas sobre los bienes informáticos y su clasificación por niveles, a partir de la
probabilidad de su ocurrencia y la severidad del impacto que puedan producir

3.5 Planes de contingencia

También llamados Planes de Desastre o Planes de Emergencia, estos planes entran
a tallar cuando las medidas se seguridad fallan o su efecto no es el esperado y
contienen las acciones planificadas para recuperar y/o restaurar el servicio de
procesamiento de datos ante la ocurrencia de un evento grave que no pudo ser
evitado
Un plan de contingencia debe incluir, manuales de instrucciones, juegos de copias
de seguridad y bases de datos del sistema
Pasos para elaborar un PLAN DE CONTINGENCIA son:
- Análisis de riesgos
- Valoración de riesgos
- Asignación de prioridades a los sistemas de información a recuperar
- Fijar requerimientos de recuperación
- Documentar el Plan de Contingencia
- Verificación e implementación del Plan
- Distribución y mantenimiento del Plan de Contingencia
 ASEGURAMIENTO DE LA CALIDAD DE LOS SISTEMAS DE
INFORMACIÓN
Los sistemas de información facilitan el manejo de datos dentro de una organización,

haciéndolo más rápido y eficiente, es por ello que es muy importante que dichos sistemas

cumplan estándares de calidad.

La calidad de los sistemas de información es sinónimo de excelencia, de valor, de

alineación con las especificaciones internas y, también, de cumplimiento de las
expectativas de los clientes.
El aseguramiento de la calidad de los sistemas de información en una organización
va a prevenir amenazas que pudieran resultar en una pérdida de confidencialidad,
integridad y disponibilidad de la información.
Para asegurar la calidad de los sistemas de información, primero se debe trabajar en
la calidad de los datos. Un dato de calidad es aquél que se ajusta al uso para el que
se destina y cumple con los requisitos de exactitud, fiabilidad, completitud,
actualización y consistencia. Pero, para salvaguardarlos, es necesario que la
organización dicte las políticas necesarias al respecto.

4.1 Aseguramiento de la calidad de los datos

El aseguramiento de la calidad de los datos es el proceso de verificación que garantiza que

cada dato reúna todos los atributos necesarios:

• Exactitud
• Integridad
• Actualización
• Relevancia
• Coherencia
• Confiabilidad
• Presentación apropiada
• Accesibilidad
 4.2 Procedimientos para el aseguramiento de la calidad de los datos
Procedimientos fundamentales para una efectiva gestión de calidad de datos:

Documentar los requerimientos de calidad de datos y definir reglas para

medir la calidad
Comienza con la recopilación de requisitos: Involucra a los usuarios
decisores para obtener una comprensión de sus objetivos de negocio y
pedir cuales son sus expectativas en cuanto a facilidad de uso de datos.
Esta información, combinada con las experiencias compartidas sobre el
impacto en el negocio de los problemas de calidad de datos, se puede
traducir en unas reglas que sirven para medir las dimensiones clave de la
calidad.

Evaluar los datos nuevos para crear una base de referencia de calidad
Un proceso repetible para la evaluación estadística de la calidad de datos,
ayuda a aumentar el conjunto de reglas para medir la calidad, chequeando
los sistemas fuente para localizar posibles anomalías en la creación de
datos nuevos.

Comprobar la validez de datos de forma continua

Se deben desarrollar servicios automatizados que validen los registros de
datos contra las normas de calidad definidas. Los resultados se pueden
introducir en una variedad de sistemas de información, por ejemplo,
notificaciones y alertas directas enviados a los administradores de datos,
para hacer frente a las anomalías y defectos de datos de alta prioridad, y
paneles de control de calidad de datos

Atender los problemas de calidad de datos

Evaluar el cumplimiento de las normas de calidad de datos no dará lugar
a mejoras a menos que existan procesos estándar para evaluar y eliminar
las causas fundamentales de los errores en los datos. Dar prioridad a los
problemas de calidad de datos, alertando a las partes interesadas,
asignando tareas de mejora de calidad de datos y haciendo un
seguimiento del progreso de los esfuerzos de corrección.
 RIESGOS DE LA TI
5.1 Generalidades
Los riesgos típicos incluyen pérdida de productividad o negocios debido al tiempo de

inactividad, responsabilidad por brechas de seguridad que exponen la información de los

clientes, multas por violaciones de normas y la imposibilidad de defenderse de demandas

debido a la conservación inadecuada de registros. (Alfaro, 2017)

Este tipo de riesgos se puede clasificar en tres categorías:

a) Riesgo de generación de valor de TI (estratégico): Volver a enfocarse en los riesgos

para consideraciones tales como cuan bien alineada estala capacidad de las TI con las

estrategias de negocio y su aprovechamiento con el fin de mejorar la eficiencia o

efectividad de los procesos del negocio. (Alfaro, 2017)

b) Riesgo en la entrega de programas y proyectos de TI (proyecto): La administración

de riesgos necesita enfocarse en la habilidad para comprender y gestionar proyectos

complejos de manera que no exista una deficiente contribución de las TI para las

nuevas soluciones o mejoras. (Alfaro, 2017)

c) Riesgo en la entrega de servicios y operaciones de TI (operacional ): Aquellos riesgos

que podrían comprometer la efectividad de los servicios soportados por TI y la

infraestructura de apoyo. Se debe recordar que el rendimiento y disponibilidad de los

servicios de TI pueden influir directamente en el valor de la empresa llegando a

reducirlo e inclusive destruirlo. (Alfaro, 2017)

En el siguiente cuadro se presenta los tipos de riesgo y su relación con las fuentes de

riesgo y factores clave:

 Tipo de Fuentes de riesgo Factores clave

riesgo TI

Operacional ✓ Pérdida de activos informáticos. ❖ Gestión de activos.

y riesgos ✓ Registro inexacto de datos. ❖ Gestión del recurso humano.

técnicos ✓ Aumento del riesgo de fraude. ❖ Gestión de seguridad de la

asociados. ✓ Pérdida o robo de datos. información.

✓ Violaciones de privacidad. ❖ Gestión de tecnología de

✓ Brechas informáticas. ❖ información.

✓ Protección insuficiente de la

información o los sistemas.

Estratégico. ✓ Falta de estrategia. ❖ Estrategia organizacional.

✓ Falta de gestión específica para ❖ Política organizacional.

riesgos de TI. ❖ Planificación en

✓ La naturaleza de la perspectiva ❖ relación con planes

de gestión. ❖ estratégicos y planes

✓ La responsabilidad de la ❖ operativos.

auditoría y el control de las TI.

✓ La complejidad de los sistemas.

✓ Plan estratégico poco claro.

✓ Plan operativo poco claro.

Fuente: (Alfaro, 2017)

 5.2 Proceso de Gestión de Riesgos
5.2.1 Generalidades
Las actividades desarrolladas por las empresas están siempre bajo amenazas de situaciones
que las hacen desviarse del objetivo establecido, estas situaciones adversas son los riesgos.
Todas las actividades de una organización están sometidas de forma permanente a una serie
de amenazas, lo cual las hace altamente vulnerables, comprometiendo su estabilidad.
Accidentes operacionales, enfermedades, incendios u otras catástrofes naturales, son una
muestra de este panorama, sin olvidar las amenazas propias de su negocio. (Casares San José
Martí & Lizarzaburu, 2016, pág. 28)

Luego de haber abordado los conceptos generales de los riesgos, procederemos a describir el

proceso de Gestión de Riesgos.

Según el ISO 31000:2018- Gestión del riesgo — Directrices la gestión del riesgo son todas

aquellas actividades coordinadas para dirigir y controlar la organización con relación al

riesgo. Asimismo, se puede mencionar que la Gestión del Riesgo está compuesto por 8

principios:

1) Integrada

2) Estructurada y exhaustiva

3) Adaptada

4) Inclusiva

5) Dinámica

6) Mejor información disponible

7) Factores humanos y culturales

8) Mejora continua
 5.2.2 Proceso
5.2.2.1 Comunicación y consulta
El propósito de la comunicación y consulta es asistir a las partes interesadas pertinentes a

comprender el riesgo, las bases con las que se toman decisiones y las razones por las que son

necesarias acciones específicas. La comunicación busca promover la toma de conciencia y

la comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e

información para apoyar la toma de decisiones.

5.2.2.2 Alcance, contexto y criterios

Como el proceso de la gestión del riesgo puede aplicarse a niveles distintos (por ejemplo:

estratégico, operacional, de programa, de proyecto u otras actividades), es importante tener

claro el alcance considerado, los objetivos pertinentes a considerar y su alineamiento con los

objetivos de la organización.

El contexto del proceso de la gestión del riesgo se debería establecer a partir de la

comprensión de los entornos externo e interno en los cuales opera la organización y debería
reflejar el entorno específico de la actividad en la cual se va a aplicar el proceso de la gestión

del riesgo.

Los criterios del riesgo se deberían alinear con el marco de referencia de la gestión del riesgo

y adaptar al propósito y al alcance específicos de la actividad considerada. Los criterios del

riesgo deberían reflejar los valores, objetivos y recursos de la organización y ser coherentes

con las políticas y declaraciones acerca de la gestión del riesgo.

5.2.2.3 Evaluación del riesgo

La evaluación del riesgo es el proceso global de identificación del riesgo, análisis del riesgo
y valoración del riesgo.

El propósito de la identificación del riesgo es encontrar, reconocer y describir los riesgos que

pueden ayudar o impedir a una organización lograr sus objetivos.

El propósito del análisis del riesgo es comprender la naturaleza del riesgo y sus características

incluyendo, cuando sea apropiado, el nivel del riesgo.

El propósito de la valoración del riesgo es apoyar a la toma de decisiones. La valoración del

riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo

establecidos para determinar cuándo se requiere una acción adicional.

5.2.2.4 Tratamiento del riesgo

El propósito del tratamiento del riesgo es seleccionar e implementar opciones para abordar

el riesgo. Al seleccionar opciones para el tratamiento del riesgo, la organización debería

considerar los valores, las percepciones, el involucrar potencialmente a las partes interesadas

y los medios más apropiados para comunicarse con ellas y consultarlas.

Las opciones de tratamiento del riesgo no necesariamente son mutuamente excluyentes o

apropiadas en todas las circunstancias. Las opciones para tratar el riesgo pueden implicar una

o más de las siguientes:

 • evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;

• aceptar o aumentar el riesgo en busca de una oportunidad;

• eliminar la fuente de riesgo;

• modificar la probabilidad;

• modificar las consecuencias;

• compartir el riesgo;

• retener el riesgo con base en una decisión informada.

5.2.2.5 Seguimiento y revisión

El propósito del seguimiento y la revisión es asegurar y mejorar la calidad y la eficacia del

diseño, la implementación y los resultados del proceso. El seguimiento continuo y la revisión

periódica del proceso de la gestión del riesgo y sus resultados debería ser una parte

planificada del proceso de la gestión del riesgo, con responsabilidades claramente definidas.

5.2.2.6 Registro e informe

El proceso de la gestión del riesgo y sus resultados se deberían documentar e informar a
través de los mecanismos apropiados. El registro e informe pretenden:

- comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la

organización;

- proporcionar información para la toma de decisiones;

- mejorar las actividades de la gestión del riesgo;

- asistir la interacción con las partes interesadas, incluyendo a las personas que tienen

la responsabilidad y la obligación de rendir cuentas de las actividades de la gestión

del riesgo.
 5.3 Principales Riesgos de la TI
En el 2017 Zurich (una de las aseguradores globales más importantes en el mundo) y el centro

de estudios estadounidense Atlantic Council (think tank atlantista estadounidense en el

campo de los asuntos internacionales) dieron a conocer su Reporte de Seguridad Informática.

El estudio revela que la mayoría de los profesionales de seguridad informática no tienen del

todo claro la manera en que una falla tecnológica podría evolucionar a convertirse en un

riesgo a nivel organizacional.

En ese sentido, el estudio ha identificado estos siete principales riesgos:

i. Manejo de TI interno: Esto se puede interpretar como la sobrecarga de toda la

estructura de TI que recaera sobre la organización, por ello se debe subcontratar a

otras empresas para la realización de estas actividades.

ii. Asociaciones con contrapartes: Cuando se realice un proyecto en conjunto con una

organización externa o interna, se debe tener en cuenta que se compartira

información, por ello se deben establecer los mecanismos pertinentes.

iii. Subcontratación de servicios: Cuando se realiza una subcontratación por la saturación

de actividades, se estableceran accesos a la información solo a los usuarios

autorizados.

iv. Riesgos cibernéticos a cadenas de suministro: La cadena de suministro es susceptible

de sufrir ataques por parte de personas externas o internas de la organización, debido

a que la cadena de suministro es la medula espinal de una organización.

v. Tecnologías disruptivas: La aplicación de nuevas tecnologias en la medida que los

usuarios aún no estan capacitados con estas ya que son tecnologías que se estan

implementando.
 vi. Infraestructura ascendente: Las TI de una organización dependen de empresas

externas a la organización, por ello si es que ocurre alguna contingencia (corte de luz,

falta de internet, sobrecarga de servidores) la organización perdera toda capacidad de

administración de la información.

vii. Crisis externas: Son aquellas situaciones del exterior que amenaza a las TI, por

ejemplo las pandemias de malware que pueden afectar la integridad de la información

de nuestros sistemas.

5.4 Matriz para medición de probabilidad e impacto de riesgos

La matriz de evaluación de riesgos es una herramienta surgida de la imperiosa necesidad de

accionar proactivamente a los efectos de suprimir y/o disminuir significativamente la

multitud de riesgos a las cuales se hayan afectadas los distintos tipos de organizaciones, sean

estos privados o públicos, con o sin fines de lucro. (Casares, 2014)

La matriz de evaluación de riesgos es una herramienta de suma importancia para la eejcución

de la políticas y directrices de la organización debido a que posee un aspecto proactivo, es

decir, se anticipa a los hechos (riesgos) que podrian amenzar a la organización.

El constante avance en el contexto de los riesgos, ha llevado a la búsquedade herramientas o

instrumentos que permitan, como se expreso al inicio, "suprimir y / o disminuir

significativamente los riesgos a los cuales se encuentran expuestos". (Casares, 2014)

Muy pocas empresas tienen políticas, planes y metodologías sistemáticamente conformadas

para evitar los riesgos antes comentados. Generalmente accionan por experiencia, intuición

o planifican de manera parcializada. (Casares, 2014)

En el siguiente cuadro se puede observar un ejemplo de una matriz de riesgos:

Matriz de riesgos. Fuente: Implementación de la Gestión Integral de Riesgos en el sector asegurador bajo la
norma ISO 31000. (Casares, 2014).

5.4.1 Impacto
El impacto es el conjunto de repercusiones provocadas por una organización en el ambiente
en el que opera. Los entornos donde están ubicadas las empresas pueden sufrir tantas
externalidades negativas como positivas, que pueden causar un riesgo para la organización.
(Casares & Lizarzaburu, 2016)

Características del impacto:

A. Expresan los cambios ocasionados a partir de las acciones de formación. Deben

permitir la comparación con la situación anterior a la implementación del programa

y en los sucesivos cortes evaluativos programados. Para ello es necesario disponer de

la llamada “línea de base” y los momentos de evaluación intermedia, final y de

impacto.

B. Reflejan cambios observados en la población objetivo (salarios, empleo, protección

social) así como de situaciones expresadas cualitativamente (satisfacción, salud,

bienestar).
 C. Se definen desde el diseño de las acciones de formación37 y de esa manera se

garantiza su solidez y confiabilidad.

D. Deben buscar el retorno económico de las acciones de formación para poder

demostrar la utilidad del esfuerzo realizado.

E. Deben ser válidos, es decir comprobar efectivamente aquello que se pretende medir

5.4.2 Probabilidad
Es la posibilidad que existe entre varias posibilidades, que un hecho o condición se produzca.

La probabilidad, entonces, mide la frecuencia con la cual se obtiene un resultado en

oportunidad de la realización de un experimento sobre el cual se conocen todos los resultados

posibles gracias a las condiciones de estabilidad que el contexto supone de antemano.

(Casares & Lizarzaburu, 2016)

5.4.3 Análisis y evaluación de riesgos

5.4.3.1 Análisis de riesgos
El objetivo del análisis de riesgos se basa en determinar la probabilidad e impacto de los

riesgos identificados a través de escalas de calificación cualitativa y cuantitativa. Esto facilita

la posterior asignación de valores que permiten clasificar los riesgos en el nivel

correspondiente y así determinar las prioridades en la atención de riesgos. Para este fin, se

colocan los valores de los riesgos analizados en un mapa de calor. Un aspecto importante que

debe ser considerado son las capacidades y la experiencia que debe tener el personal

encargado de ejecutar cada uno de los pasos del análisis de riesgos. Lo anterior, con el

objetivo de contar con información precisa para el análisis de riesgos y que la respectiva

evaluación se efectúe de manera objetiva y fundamentada. (Alfaro, 2017)

 5.4.3.2 Evaluación de riesgos
La evaluación de los riesgos consiste en comparar los valores producto del análisis de riesgos,

con los parámetros establecidos en el contexto del riesgo. Esta etapa se ocupa de verificar si

el nivel de riesgo se encuentra o no, dentro de los límites definidos por la organización. En

el caso de los riesgos que exceden el apetito de riesgo definido por el negocio, se

debecontinuar con el tratamiento de riesgos. Esta etapa se describe en el siguiente apartado.

(Alfaro, 2017)

5.4.4 Resultado Matriz de riesgos

Un ejemplo de resultado de la Matriz de Riesgos es el que se presenta a continuación, esta

matriz se desarrolló con base y apoyo a la metodología que presenta COBIT 5 para riesgos

permitiendo este marco vincularlo y al mismo tiempo identificar riesgos.

Resultados de Matriz de Riesgos. Fuente: Elaborar un Plan de Gestión de Riesgos de las Tecnologías de
Información y Comunicación basada en el Marco COBIT 5 para Riesgos aplicado a la Universidad de Cuenca.
(Alvarado & Zumba, 2015)
 5.5 Ejemplo práctico:
Para el desarrollo del caso práctico se tomará como ejemplo propuesta de metodología para

la gestión de riesgos de TI basada principalmente en el ciclo de gestión de riesgos sugerido

por la norma ISO 31000, de la tesis titulada: “Gestión de riesgos de seguridad de la

información para empresas del sector telecomunicaciones”. UNMSM. 2019.

A continuación, se muestra una figura sobre el panorama general del “Proceso de Gestión de
Riesgos de Seguridad de la Información para empresa del sector Telecomunicaciones basado
en la NTP ISO/IEC 31000”.

Figura: Panorama general del “Proceso de Gestión de Riesgos de Seguridad de la Información para empresa
del sector Telecomunicaciones basado en la NTP ISO/IEC 31000. Fuente: Gestión de riesgos de seguridad de
la información para empresas del sector telecomunicaciones. (Huaura, 2019). Elaboración: propia.
 5.5.1 Comunicación y consulta
Es necesario emitir e informar al Comité y a la Alta Dirección de todas las actividades

importantes de la gestión de riesgos desde su inicio hasta su finalización. Dependiendo de la

cultura de la empresa estas comunicaciones podrían ser a través de reuniones semanales o

mensuales según se defina, reportes o métricas de gestión o informes de periódicos del

proceso de gestión de riesgos. Para esta fase se realizó planes de comunicación (reuniones

semanales de los avances, verificación de cumplimiento de actividades, reuniones para

definir los planes y tratamiento de riesgos), que cubrió desde el inicio hasta el cierre de la

gestión de riesgos. Es de mencionar, que las actividades comprendidas se ejecutaron de

manera transversal, es decir, informar desde la Alta Dirección hasta los dueños de los activos

y/o proceso. (Huaura, 2019)

En el siguiente cuadro se puede observar las responsabilidades de las personas involucradas

durante el proceso de Gestión del Riesgos (basado en el ISO 31000):

Cuadro de Responsabilidades. Fuente: Gestión de riesgos de seguridad de la información para empresas del
sector telecomunicaciones. UNMSM. (Huaura, 2019)

5.5.2 Alcance, contexto y criterio

El alcance de la gestión de Riesgos será Operativo. En cuanto a los contextos internos estos

se pueden definir como: “los requisitos internos que toda empresa debe tener identificado
para el cumplimiento de sus objetivos”. En el siguiente cuadro se establecen los puntos a

considerar:

Figura: Puntos a considerar en el contexto interno. Fuente: Gestión de riesgos de seguridad de la información
para empresas del sector telecomunicaciones. UNMSM. (Huaura, 2019)

En cuanto al contexto externo este se puede definir como aquellos factores de índole externo

que se deben considerar para lograr conseguir sus objetivos. En el siguiente cuadro se

establecen los puntos a considerar:

Figura: Puntos a considerar en el contexto externo. Fuente: Gestión de riesgos de seguridad de la información
para empresas del sector telecomunicaciones. UNMSM. (Huaura, 2019)

En cuanto a los criterios de riesgo estos deberían reflejar los valores, los objetivos y los

recursos de la organización. Algunos criterios pueden estar impuestos o derivarse de

requisitos legales o reglamentarios, o de otros requisitos suscritos por la organización.

(Huaura, 2019). En el presente caso se elegiran los criterios de riesgo en función a los

conceptos de probabilidad e impacto, los cuales se presentan a continuación:

Cuadro: Categorías de Probabilidad. Fuente: Gestión de riesgos de seguridad de la información para empresas
del sector telecomunicaciones. UNMSM. (Huaura, 2019)

Cuadro: Categorías de Impacto. Fuente: Gestión de riesgos de seguridad de la información para empresas del
sector telecomunicaciones. UNMSM. (Huaura, 2019)

5.5.3 Evaluación del riesgo

5.5.3.1 Identificación del riesgo
En este punto se realiza la identificación de riesgos potenciales que podrían afectar a la

empresa y por ende incumplir con sus objetivos, aquí se valida cuáles son los activos, áreas

que requieren algún tipo de control. Para el presente caso se realizó la identificación de
activos que soporta el proceso y la identificación de amenazas y vulnerabilidades, las cuales

se presentan a continuación:

Cuadro: Inventario de activos del proceso clasificados según su tipo y criticidad. Fuente: Gestión de riesgos de
seguridad de la información para empresas del sector telecomunicaciones. UNMSM. (Huaura, 2019)
Cuadro: Inventario de por activo. Fuente: Gestión de riesgos de seguridad de la información para empresas del
sector telecomunicaciones. UNMSM. (Huaura, 2019)

5.5.3.2 Análisis del riesgo

El análisis del riesgo proporciona elementos de entrada para la evaluación del riesgo y para

tomar decisiones acerca de si es necesario tratar los riesgos, así como sobre las estrategias y

los métodos de tratamiento del riesgo más apropiados.

 Mayor 5 5 10 15 20 25

IMPACTO
Importante 4 4 8 12 16 20
Significativo 3 3 6 9 12 15
Regular 2 2 4 6 8 10
Menor 1 1 2 3 4 5
1 2 3 4 5
0-10% 11-30% 31-50% 51-80% 81-100%
MATRIZ DE RIESGO Poco Muy Casi
Raro Probable
probable probable seguro
PROBABILIDAD

Cuadro: Matriz de probabilidad e impacto. Fuente: Gestión de riesgos de seguridad de la información para
empresas del sector telecomunicaciones. UNMSM. (Huaura, 2019). Elaboración: propia.

Cuadro: Prioridad de riesgos. Fuente: Gestión de riesgos de seguridad de la información para empresas del
sector telecomunicaciones. UNMSM. (Huaura, 2019)

5.5.4 Tratamiento del riesgo

Para la elaboración del Plan de Tratamiento de Riesgos (PTR) se tomaron en consideración

los activos que representan un riesgo prioritario según se indica en el mapa de riegos. Luego

de culminado las actividades de diseño de mitigación de riesgos corresponde a la Alta

Dirección y los dueños de los procesos la implementación de los controles.

5.5.5 Seguimiento y revisión

Una vez evaluados los controles a implementar, de acuerdo con el apetito de riesgo definido,

sólo se evaluarán los niveles de riesgo que hayan obtenido valores de “Catastrófico”,

“Mayor” y “Moderado”. El monitoreo del riesgo a nivel de seguridad de la información

consiste en evaluar si el proceso es el apropiado y si existen nuevos riesgos o cambios en los

existentes, que puedan ocasionar nuevas amenazas, vulnerabilidades o situaciones que se

consideren inaceptables.