Seguridad Informática

Semana 06 – Realización del Análisis de Riesgo y Prueba de Penetración

 LOGRO DE APRENDIZAJE DE LA SESIÓN

Conocer los procesos de identificación, análisis, evaluación, tratamiento y

respuesta a los riesgos se seguridad informática en las organizaciones
empresariales.

Datos/Observaciones
 Gestión de Riesgos de TI
La sociedad actual vive en un camino constante hacia la
digitalización, con el uso masivo de los smartphones, la comunicación
diaria a través de internet, el uso de la inteligencia artificial, el Big
Data, e incluso el IoT, donde los electrodomésticos también se
vuelven inteligentes y se conectan a la red.

Todas las ventajas que aporta esta transformación digital vienen

acompañadas de una serie de amenazas que ponen en riesgo la
seguridad de los sistemas y comprometen la privacidad de la
información.

En este entorno digital las empresas deben analizar los riesgos

informáticos y tomar medidas para evitar que se produzcan o para
mitigar sus efectos negativos.
 Gestión de Riesgos de TI
Cuando se habla de ciberseguridad, el análisis de riesgos
informáticos es la evaluación de los distintos peligros que
afectan a nivel informático y que pueden producir
situaciones de amenaza al negocio, como robos o
intrusiones que comprometan los datos o ataques externos
que impidan el funcionamiento de los sistemas propiciando
periodos de inactividad empresarial.

El análisis y gestión de los riesgos previene a las empresas

de este tipo de situaciones negativas para su actividad y
recoge una serie de factores fundamentales para su
consecución.
 Gestión de Riesgos de TI
Identificación de activos
Para realizar un análisis de riesgos efectivo, el primer paso es
identificar todos los activos de la empresa. Estos activos incluyen
todos losr ecursos relacionados con la gestión e intercambio de
información de la empresa, como software, hardware, vías de
comunicación, documentación digital y manual e incluso de
recursos humanos.

Riesgos y amenazas
Una vez se identifiquen todos los activos de información que
componen la empresa, deben definirse las amenazas a las que
pueden estar expuestos. Estas amenazas pueden ser de diferente
índole, como ataques externos, desastres naturales o errores
humanos.
 Gestión de Riesgos de TI
• Ataques externos. Los ciberdelincuentes siempre tienen en su punto de
mira a las empresas y sus sistemas, con el objetivo de robar información
(bancaria o de otra índole comercial o personal), tirar sus sistemas o
utilizar sus recursos. Dos de las mayores amenazas que reciben las
empresas hoy en día son ataques de denegación de
servicio DDoS (inutilizan los sistemas informáticos de la empresa)
o ataques con malware de tipo ransomware (encriptan los datos de la
empresa, solicitando un rescate económico en criptomonedas para
liberarlos).

• Errores humanos. La intervención humana en los procesos informáticos

siempre está expuesta a que se cometan errores (intencionados o no
intencionados). Por ejemplo, un empleado sin los conocimientos
suficientes, o con privilegios superiores a los de su función, puede
realizar acciones que comprometan los datos o produzcan
un malfuncionamiento en los sistemas.
 Gestión de Riesgos de TI
Los riesgos se producen al existir una amenaza que tenga consecuencias
negativas para los sistemas de información de la empresa. El análisis de riesgos
debe recoger información detallada de todos los riesgos a los que se ve expuestos
y cómo afectan a la empresa.
En esta fase del análisis de riesgos hay que priorizar cada uno de estos riesgos,
siendo preciso consultar datos estadísticos sobre incidentes pasados en materia
de seguridad.
Detectar vulnerabilidades
Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo
para la información. Dos ejemplos de vulnerabilidades que suelen encontrarse en
el análisis de riesgos informáticos son la falta de actualización de los sistemas
operativos (por lo tanto, no incluyen los últimos parches en materia de seguridad) y
el uso de contraseñas de acceso débiles (contraseñas cortas que no utilizan
combinaciones de letras, números, símbolos y mayúsculas/minúsculas, y que son
fácilmente descifrables con procesos automáticos).
 Gestión de Riesgos de TI
Medidas de prevención y control
Una vez se tengan identificadas las amenazas y vulnerabilidades de los
sistemas y se tengan definidos todos los riesgos y sus consecuencias,
deben establecerse una serie de medidas y tratamientos de riesgo con dos
objetivos claros: evitar que se produzca el riesgo o minimizar su impacto en
caso de que llegue a producirse.
Dentro de este tipo de medidas podemos destacar:
• Instalación de software de seguridad y cortafuegos (por software o
hardware).
• Implementación de sistemas de seguridad en la nube automatizados y
planes de Disaster Recovery.
• Añadir protocolos de seguridad para reforzar la seguridad de las
contraseñas.
 Gestión de Riesgos de TI
• Revisión de los roles y privilegios de los usuarios (con especial cuidado
en la asignación de los roles con mayores privilegios, como los
administradores).
• Contratación de un seguro que cubra los daños ocasionados.
• Implementación de sistemas alternativos o duplicados para asegurar la
disponibilidad del sistema (high availability).
El análisis de riesgos requiere de la elaboración y consolidación de informes
sobre la ciberseguridad y las distintas medidas aplicadas. Estos informes
sirven para medir el grado de éxito que se está obteniendo en la prevención
y mitigación, a la vez que permite detectar puntos débiles o errores que
requieran de la aplicación de medidas correctoras.
 Gestión de Riesgos de TI
Ventajas del análisis de riesgos informáticos
Las empresas que realicen un análisis de sus riesgos informáticos y de
ciberseguridad se verán beneficiadas de la siguiente manera:
• Dispondrán de una visión precisa de los activos relacionados con la
información de la empresa.
• Conocerán los riesgos a los que se expone la empresa, pudiendo
priorizar aquellos que tengan mayor probabilidad de producirse, para así
poder invertir mayores recursos en evitarlo.
• Podrán medir el impacto que producirá en la empresa cualquier riesgo en
caso de producirse.
 Gestión de Riesgos de TI
• Facilita la toma de decisiones a la hora de invertir en ciberseguridad
y reduce los tiempos de actuación ante posibles incidentes de seguridad.
• Ayuda a elegir la mejor alternativa en cuanto a métodos de reducción de
los riesgos.
• Permite realizar una evaluación de los resultados, para implementar
mejoras o reforzar aspectos débiles en las medidas de seguridad.
• Garantiza la continuidad del negocio, disponiendo de planes y protocolos
en caso de incidentes graves.
• Ayuda a crear una cultura de prevención en la empresa, implicando a
todas las personas que la forman.
• Permite cumplir con las normativas legales en cuestión de seguridad.
 Gestión de Riesgos de TI
La ciberseguridad debe formar parte de la cultura de cualquier empresa, ya que en
el marco actual las TI son fundamentales para todas las áreas empresariales. El
análisis de riesgos permite conocer todos los activos relacionados con la
información de la empresa, identificando amenazas y vulnerabilidades que
permitan definir los riesgos reales a los que se expone la información y los
sistemas.
Este análisis permite implementar las medidas necesarias que mitigan el impacto
inherente a los distintos riesgos, pudiendo incluso llegar a evitar que se
produzcan. Todas las empresas deben realizar un análisis de riesgos
informáticos y de seguridad, ya que actualmente dependen de la tecnología para
realizar la mayoría de sus actividades, tanto de administración, producción y
comunicación.
No disponer de las medidas apropiadas de seguridad expone a las empresas a
sufrir situaciones graves que ocasionen pérdidas importantes (como periodos de
inactividad o pérdida de datos sensibles).
Fases de Análisis de Riesgos
 Fases de Análisis de Riesgos
Fase 1. Definir el alcance

El primer paso a la hora de llevar a cabo el análisis de riesgos, es

establecer el alcance del estudio. Vamos a considerar que este análisis de
riesgos forma parte del Plan Director de Seguridad. Por lo tanto,
recomendamos que el análisis de riesgos cubra la totalidad del alcance del
PDS, dónde se han seleccionado las áreas estratégicas sobre las que
mejorar la seguridad. Por otra parte, también es posible definir un alcance
más limitado atendiendo a departamentos, procesos o sistemas. Por
ejemplo, análisis de riesgos sobre los procesos del departamento
Administración, análisis de riesgos sobre los procesos de producción y
gestión de almacén o análisis de riesgos sobre los sistemas TIC
relacionados con la página web de la empresa, etc. En este caso práctico
consideramos que el alcance escogido para el análisis de riesgos es “Los
servicios y sistemas del Departamento Informática”.
 Fases de Análisis de Riesgos

Fase 2. Identificar los activos

Una vez definido el alcance, debemos identificar los activos más
importantes que guardan relación con el departamento, proceso, o sistema
objeto del estudio. Para mantener un inventario de activos sencillo puede
ser suficiente con hacer uso de una hoja de cálculo o tabla como la que se
muestra a continuación a modo de ejemplo:
 Fases de Análisis de Riesgos

Fase 3. Identificar / seleccionar las amenazas

Habiendo identificado los principales activos, el siguiente paso consiste en
identificar las amenazas a las que estos están expuestos. Tal y como
imaginamos, el conjunto de amenazas es amplio y diverso por lo que
debemos hacer un esfuerzo en mantener un enfoque práctico y
aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que
corremos frente a la destrucción de nuestro servidor de ficheros, es
conveniente, considerar las averías del servidor, la posibilidad de daños por
agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos
el riesgo de que el CPD sea destruido por un meteorito.
 Fases de Análisis de Riesgos

Fase 4. Identificar vulnerabilidades y salvaguardas

La siguiente fase consiste en estudiar las características de nuestros
activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una
posible vulnerabilidad puede ser identificar un conjunto de ordenadores o
servidores cuyo sistemas antivirus no están actualizados o una serie de
activos para los que no existe soporte ni mantenimiento por parte del
fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos
penalizaciones para reflejar las vulnerabilidades identificadas.
 Fases de Análisis de Riesgos
Por otra parte, también analizaremos y documentaremos las medidas de
seguridad implantadas en nuestra organización. Por ejemplo, es posible
que hayamos instalado un sistema SAI (Sistema de Alimentación
Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los
equipos del CPD. Ambas medidas de seguridad (también conocidas como
salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas
con el corte de suministro eléctrico.

Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas

en cuenta cuando vayamos a estimar la probabilidad y el impacto como
veremos en la siguiente fase.
 Fases de Análisis de Riesgos
Fase 5. Evaluar el riesgo
Llegado a este punto disponemos de los siguientes elementos:
• Inventario de activos.
• Conjunto de amenazas a las que está expuesta cada activo.
• Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
• Conjunto de medidas de seguridad implantadas
Con esta información, nos encontramos en condiciones de calcular el riesgo. Para
cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se
materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo
se puede realizar usando tanto criterios cuantitativos como cualitativos. Pero para
entenderlo mejor, veremos a modo de ejemplo las tablas para estimar los factores
probabilidad e impacto.
Fases de Análisis de Riesgos
 Fases de Análisis de Riesgos
Cálculo del riesgo

A la hora de calcular el riesgo, si hemos optado por hacer el análisis

cuantitativo, calcularemos multiplicando los factores probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso de
una matriz de riesgo como la que se muestra a continuación:
 Fases de Análisis de Riesgos
Cálculo del riesgo
A la hora de calcular el riesgo, si hemos optado por hacer el análisis
cuantitativo, calcularemos multiplicando los factores probabilidad e impacto:
RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso de
una matriz de riesgo como la que se muestra a continuación:
 Fases de Análisis de Riesgos
Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar
la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y
salvaguardas existentes. Por ejemplo, la caída del servidor principal podría
tener un impacto alto para el negocio. Sin embargo, si existe una solución
de alta disponibilidad (Ej. Servidores redundados), podemos considerar que
el impacto será medio ya que estas medidas de seguridad harán que los
procesos de negocio no se vean gravemente afectados por la caída del
servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al
activo, aplicaremos una penalización a la hora de estimar el impacto. Por
ejemplo, si los equipos de climatización del CPD no han recibido el
mantenimiento recomendado por el fabricante, incrementaremos el impacto
de amenazas como “condiciones ambientales inadecuadas” o
“malfuncionamiento de los equipos debido a altas temperaturas”.
 Fases de Análisis de Riesgos
Fase 6. Tratar el riesgo
Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen
un límite que nosotros mismos hayamos establecido. Por
ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o
superior a “Medio” en caso de que hayamos hecho el cálculo en términos
cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias
principales:
• Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que
cubra los daños a terceros ocasionados por fugas de información.
 Fases de Análisis de Riesgos
• Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que
está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto,
podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no
es estrictamente necesario.
• Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de
instalar un grupo electrógeno puede ser demasiado alto y por tanto, la
organización puede optar por asumir.
• Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a
internet de respaldo para poder acceder a los servicios en la nube en
caso de que la línea principal haya caído.
 Prueba de Penetración o Pentesting
El “pentesting” o “pruebas de penetración” o “pruebas de seguridad
informática” consiste en atacar un sistema informático para
identificar fallos y vulnerabilidades, para así poder prevenir los
ataques cibernéticos. Pentesting es muy fundamental para la
seguridad informática, ya que la pérdida o el robo de datos
confidenciales es un riesgo que una empresa, por pequeña que
sea, no se puede permitir. Existen las evidencias estadísticas,
avaladas por empresa de pentesting; indicando que estos casos
son mucho más numerosos en empresas más pequeñas, en dónde
la seguridad informática es mínima. Dependiendo del entorno de la
empresa, se puede tener diferentes riegos/vulnerabilidades que
pueden comprometer a los objetivos empresariales.
 Prueba de Penetración o Pentesting
Para estar protegido ante cualquier riesgo informático, una empresa
tiene dos alternativas. La primera alternativa es tomar la ayuda de
expertos depruebas de seguridad informática y hacer las pruebas de
seguridad de software para detectar y solucionar los riesgos.
Segunda alternativa es capacitar su equipo de TI con cursos de
pruebas de penetración, por lo que su equipo puede entender,
detectar, resolver las vulnerabilidades informáticas. El objetivo de las
pruebas de seguridad informática es la preservación de la
confidencialidad, la integridad y la disponibilidad de los sistemas de
información. Los cursos de pentesting forman una parte integral de
los servicios de pruebas de seguridad informática. Ambos deben
enfocar sobre los siguientes áreas.
 Prueba de Penetración o Pentesting
Pentesting de red
• Pentesting de caja blanca
• Pentesting de caja negra
Pruebas de penetración avanzadas
Pentesting de aplicación móvil y web
• Pentesting de iOS
• Pentesting de Android
Pentesting inalámbrico Wifi
Pentesting de dispositivos IoT
PentestingCloud – Nube
 Prueba de Penetración o Pentesting
Pentesting usualmente se clasifican en tres clases: física, lógica y
administrativa. Para que las pruebas sean efectivas, deben estar integradas
en una arquitectura de seguridad informática, la cual debe ser conforme con
los objetivos empresariales y las posibles vulnerabilidades de acuerdo al
impacto que éstas tengan en la empresa. Por lo tanto, una etapa principal
en la implementación de la arquitectura de seguridad informática es la etapa
de pentesting. Las empresas pueden implementar eso con la ayuda de los
servicios o los cursos. Los servicios de pruebas de penetración, toman en
cuenta los siguientes pasos:
 Prueba de Penetración o Pentesting
• Definir los activos informáticos a probar.
• Definir el plan para las pruebas de penetración de aplicaciones móviles, incluidos
iOS y Android.
• Plan de seguridad inalámbrica Wifi.
• Plan de seguridad de IoT
• Plan de prueba de penetración en la nube de AWS
• Plan de probar red y aplicaciones
• Identificar las vulnerabilidades con la ayuda del pentesting de caja negra
y blanca.
• Establecer las probabilidades de la ocurrencia de las vulnerabilidades
informáticas que puedan comprometer la seguridad de los activos.
 Prueba de Penetración o Pentesting
• Calcular el impacto y la prioridad de cada vulnerabilidad detectada
durante el pentesting de caja negra y caja blanca.
• Al terminar se documentan los detalles, impactos, prioridades de las
vulnerabilidades informáticas.
• Trabajar con el equipo del cliente para implementar las medidas de
seguridad y resolver las vulnerabilidades informáticas detectadas durante
las pruebas de caja blanca y negra.
• Rehacer pentesting otra vez para asegurar la implementación de la
arquitectura de seguridad.
• Capacitar al equipo de soporte de TI con curso de pentesting para que
puedan realizar las pruebas de penetración ellos mismos.
 Prueba de Penetración o Pentesting
Pentesting de caja blanca – Pruebas de seguridad informática internas
Pentesting de caja blanca también conocido como la evaluación interna. Es una
evaluación crítica, sistemática y detallada de redes informáticas. Generalmente es
realizado por los profesionales de empresa de pentesting, utilizando técnicas
establecidas con el objeto de emitir informes y formular sugerencias para el
mejoramiento de la seguridad.

Pentesting de caja negra – Pruebas de seguridad informática externas

Pentesting de caja negra es también conocido como evaluación externa. Es una
evaluación crítica, sistemática y detallada de redes informáticas desde afuera.
Generalmente es realizado por los hacker éticos o profesionales de empresa de
pentesting, utilizando técnicas establecidas con el objeto de emitir informes y
formular sugerencias para el mejoramiento de la seguridad.
 Prueba de Penetración o Pentesting
Pruebas de seguridad de software de aplicaciones móviles y web
Actualmente, muchas empresas manejan aplicaciones móviles o aplicaciones web
que no incluyen las verificaciones de seguridad y un hacker puede robar los datos
empresariales fácilmente. Con el servicio de pruebas de seguridad de software las
empresas pueden verificar y resolver los diferentes tipos de vulnerabilidades que
puedan existir en las aplicaciones móviles y web.

Pruebas de seguridad informática en la nube – Pentesting Cloud

La computación en nube ayuda a las empresas a reducir los gastos en la
infraestructura informática, la mejora de la flexibilidad, la fuerza de trabajo
globalizado y mucho más. Sin embargo las empresas están muy preocupadas por
la seguridad de sus datos y quién más pueda acceder a sus recursos sin su
conocimiento. Las pruebas de penetración en el entorno de la nube como AWS
también se conocen como pruebas AWS. Las pruebas de seguridad informática en
la nube incluyen el análisis, evaluación y resolución de las vulnerabilidades
informáticas en el entorno de la nube.
 Prueba de Penetración o Pentesting
Pruebas de seguridad informática de infraestructura crítica
Pruebas de seguridad informática de la infraestructura crítica implican el
análisis, la evaluación y validación de seguridad de la infraestructura crítica
usando sistemas SCADA, ICS e IACS.

Pruebas de seguridad informática IoT– Pentesting IoT

Internet de las cosas, o IoT, se refiere a los miles de millones de
dispositivos que se conectan a Internet para recopilar y distribuir datos.
Según las empresas de pruebas de penetración, las pruebas de seguridad
informática IoT son más complicadas porque hay mucho más hardware,
software y protocolos de comunicación involucrados. Los pasos son
similares a pruebas convencionales.
 Gestión de Riesgos ISO 31000

ISO 31000 es la norma internacional para la gestión del riesgo.

Al proporcionar principios integrales y directivas, esta norma
ayuda a las organizaciones con su análisis y evaluación de
riesgos. Sea que trabaje en una empresa pública, privada o
comunitaria, se puede beneficiar de ISO 31000, porque se aplica
a la mayoría de las actividades comerciales, incluyendo la
planeación, operaciones de gestión y procesos de comunicación.

Mientras que todas las organizaciones manejan el riesgo en

cierta medida, las recomendaciones de mejores prácticas de
esta norma internacional se desarrollaron para mejorar las
técnicas de gestión y garantizar la seguridad y protección en
todo momento en el lugar de trabajo.
 Gestión de Riesgos ISO 31000

Al implementar los principios y directivas de la ISO 31000 en su organización, será

capaz de mejorar la eficiencia operativa, gobernanza y confianza de las partes
interesadas, a la vez que minimiza las pérdidas. Esta norma internacional también
le ayuda a impulsar el desempeño de salud y seguridad, establecer un fuerte
fundamento para la toma de decisiones y alentar la gestión proactiva en todas las
áreas.
Beneficios de la ISO 31000

• Mejorar proactivamente la eficiencia y gobernanza

• Desarrollar la confianza de las partes interesadas en el uso de sus técnicas de
riesgo
• Aplicar los controles de sistemas al análisis de riesgo para reducir las pérdidas
• Mejorar el desempeño y la fiabilidad del sistema de gestión
• Responder al cambio efectivamente y proteger su negocio conforme crece
 Gestión de la Seguridad de la Información ISO
27005
La norma ISO 27005 es el estándar internacional que se
ocupa de la gestión de los riesgos relativos a la
seguridad de información. La norma suministra las
directrices para la gestión de riesgos, apoyándose
fundamentalmente en los requisitos sobre esta cuestión
definidos en la ISO 27001.

Se trata de una norma aplicable a todo tipo de

organizaciones que tengan la intención de gestionar los
riesgos que puedan complicar la seguridad de la información
de su organización.
 Metodología de Aplicación
El aumento en el uso de tecnologías de la información puede
posibilitar brechas o fisuras en aspectos de seguridad con respecto a su
utilización, por ello se hace necesaria una gestión de la información desde
una perspectiva tecnológica a tres niveles: aseguramiento y control sobre la
infraestructura (nivel físico), los sistemas de información (nivel lógico) y las
medidas organizacionales (factor humano) desde la perspectiva tecnológica.

Esta norma no recomienda una metodología concreta, puesto que dependerá

de una serie de factores relativos a cada empresa que se plantee implantarla
como por ejemplo: el alcance real del Sistema de Gestión de Seguridad de la
Información (SGSI) o el sector comercial de la propia industria.

No obstante, como otras normas ISO y sistemas basados en procesos,

un método considerado válido y, por lo tanto, recomendable es utilizar como
base el modelo PHVA con la finalidad de establecer un proceso de gestión
que se enfoque en la mejora continua siguiendo el siguiente esquema:
 Metodología de Aplicación
Planificar
Se establecen los objetivos, procesos y procedimientos para el proceso de gestión
de riesgos tecnológico, con el objeto de conseguir unos resultados acordes con las
políticas y objetivos globales de la organización.
Hacer
Corresponde a la implementación y operación de los controles, procesos y
procedimientos e incluye la operación e implementación de las políticas definidas.
Verificar
Se trata de evaluar y medir el desempeño de los procesos contra la política y los
objetivos de seguridad e informar sobre los resultados.
Actuar
Consiste en establecer la política para la gestión de riesgos tecnológicos e
implementar los cambios requeridos para la mejora de los procesos.
 Gestión de la Seguridad de la Información
ISO 27005
Basándose en el modelo anterior, una forma de implantar con éxito un
Sistema de Gestión de Seguridad de la Información consiste en
establecer una hoja de ruta basada en cuatro pasos:

1) Establecimiento de plan de comunicación interno y externo

El plan de comunicación se debe realizar a nivel interno (áreas de la
organización, empleados, directivos, socios) y externo (clientes,
proveedores, entes reguladores), teniendo en cuenta las definiciones sobre
la existencia del riesgo, los objetivos de la gestión, el informe de los
avances del proceso y todo aquello que se considere necesario. Los medios
a usar para comunicar el proceso de gestión dependen de las necesidades
y disponibilidad de la organización.
 Gestión de la Seguridad de la Información ISO 27005
2) Definición del contexto organizacional
El objetivo de esta etapa es conocer a la organización para determinar qué puede afectarla
a nivel interno y externo, qué elementos se requieren proteger y, de acuerdo a los recursos
actuales, cómo podría darse esa protección hasta establecer un nivel de riesgo aceptable.

3) Valoración de los riesgos tecnológicos

En la etapa de valoración de riesgos se identifican los activos que se quieren proteger y
sus debilidades, así como las amenazas a las cuales se encuentran expuestos. En este
punto se recomiendan posibles controles de mitigación de los riesgos.

4) Tratamiento de riegos tecnológicos

En la etapa de tratamiento de riesgos se establece e implementan las acciones a llevar a
cabo para mitigar los riesgos encontrados y lograr riesgos residuales aceptables por la
organización. Dentro de las acciones a tomar encontramos principalmente: reducir, aceptar,
eliminar y transferir.
CIERRE DE SESIÓN