Análisis de Riesgos Informáticos

Actividades[pic 1]

Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en presentar una propuesta que eficiente el involucramiento de todo el personal de la institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto, debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.

3. Procesos a realizar.

4. Definición de personas a involucrar.

5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y justificación de la metodología seleccionada.

UNIVERSIDAD INTERNACIONAL DE LA RIOJA MEXICO  

[pic 2]

Maestría en Seguridad Informática

Nombre: 

Materia: Análisis de Riesgos Informáticos

Docente: Federico Eduardo Vidal Martínez

Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

1. INTRODUCCIÓN

En la naturaleza de la comunicación digital, es importante conocer su funcionalidad y capacidad de alcance que pueden tener los datos digitales; es decir, conocer la información, de donde viene y cuál será su destino, quien es el remitente y quien es el destinatario, si la información llego a su destino o si en algún tramo del medio se ha perdido. Estamos ciegos al momento de confiar en la tecnología, no sabemos el alcance que puede tener una mala decisión, y aunque no dominamos el mundo o la materia digital, la ignorancia nos puede costar muy caro, desde un robo de identidad, hasta pérdidas millonarias que ponen en riesgo no solo a los dueños de esos centavos, sino a toda una nación. Considerar cada una de las circunstancias en la administración de la información digital es vital en la seguridad de los programas informáticos, de tal manera que se tiene que garantizar la seguridad de la información y ese es el principal objetivo de cualquier organización.

Para proteger la información de una empresa u organización tienen que considerarse varios factores: el factor económico es muy importante ya que de eso depende la inversión de recursos tecnológicos y recursos humanos, así como también involucrar desarrollo de un tercero en el juego, como puede ser un software o una solución desarrollada por terceros, incluye aseguradoras o empresas dedicadas al desarrollo de soluciones en ciberseguridad.

1. JUSTIFICACIÓN

El proyecto que se presenta a continuación considera 4 pilares fundamentales para la implementación de una buena estrategia en seguridad de la información de datos financieros, Banco de México (Banxico,2019). Dentro de la estrategia se buscan conservar la gobernanza, confidencialidad, la integrad y la disponibilidad de la información.

1. OBJETIVO GENERAL

 Propuesta que permita cuidar y preservar, también garantizar la disponibilidad de la información del banco, así como también garantizar el acceso a las Tecnologías de la Información evitando la perdida de los servicios que ofrece la institución (servicios bancarios online, accesos a la información, disponibilidad a los clientes).

1. ESTRATEGIA

Como metodología principal utilizaremos un Framework Core, tiene como finalidad principal proteger la privacidad de la información, así como también garantizar la disponibilidad de las tecnologías y servicios activos dentro de la organización financiera. Esta metodología está diseñada para adaptar medidas de seguridad y ser referencia base para futuros programas de ciberseguridad y mejora de mecanismos de defensa ya existente, National Institute of Standards and Technology, [NIST](16 de Abril de 2018).

 Esta metodología ayudará a reducir los riesgos de ciberseguridad apoyado de procesos y procedimientos con ideas de mejora continua que garantizan la confianza de resguardar la información tanto de la empresa como la de los clientes de la empresa.

1. ELEMENTOS PRINCIPALES DE UN FRAMEWORK CORE

Funciones: Las funciones organizan las actividades básicas de ciberseguridad en su nivel más alto las principales funciones son identificar, proteger, detectar, responder y recuperar. También ayudan a la organización en la gestión de riesgo cibernético organizando la información, tomando decisiones para la gestión del riesgo com a abordando las amenazas y satisfaciendo las necesidades. Las funciones son alineadas a las metodologías existentes para la gestión de incidentes y ayudan a mostrar el impacto de las inversiones en ciberseguridad.

Categorías: Son las subdivisiones de una función de grupos de ciberseguridad son necesidades programadas y actividades particulares estrechamente vinculadas.

Subcategorías: Son divisiones de una categoría y sus resultados son más específicos y gestiona las actividades sus resultados ayudan a simplificar los resultados de una categoría.

Figura 1. Estructura del Framework Core, (NIST 2018).

1. FUNCIONES PRINCIPALES DE UN FRAMEWORK CORE

• Identificar: Ayuda a desarrollar una comprensión organizacional para gestionar el riesgo de ciberseguridad en sistemas, personas, activos, datos y capacidades. Ayuda a la organización a priorizar sus esfuerzos, de acuerdo con su estrategia de gestión de riesgos y necesidades comerciales. En esta función se incluye gobernanza, gestión de activos, ambiente de negocios, evaluación de riesgos y estrategias de gestión de riesgos.
• Proteger: Esta función ayuda a desarrollar e implementar salvaguardas adecuadas para garantizar la entrega de servicios. También ayuda a limitar o contener el impacto de un potencial evento de ciberseguridad dentro de esta función se aborda la gestión de identidad y control de acceso, sensibilización y formación, seguridad de datos, procesos y procedimientos de protección de la información, mantenimiento y protección de la tecnología.  
• Detectar: Ayuda a desarrollar e implementar actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. También ayuda a detectar eventos oportunos y descubrir necesidades de ciberseguridad dentro de esta función están anomalías y eventos, monitoreo continuo de seguridad y procesos de detección temprana.
• Responder: No esta función ayuda a desarrollar e implementar actividades que serán enfocadas en la toma de acciones con respecto a incidencias de ciberseguridad detectadas. Esta función También apoya la capacidad de contener el impacto de un potencial incidente de ciberseguridad. Dentro de esta función Se puede contemplar planificación de respuestas, comunicaciones, análisis, mitigación y mejoras.
• Recuperar o recuperarse: Desarrolla e implementa actividades apropiadas para mantener planes enfocados en la resiliencia e incidencia de ciberseguridad. También ayuda a restaurar cualquier capacidad o servicio que se haya visto afectado debido al incidente. En esta tarea nos ayuda y permite la recuperación oportuna a las operaciones normales para reducirla el impacto de un incidente de ciber seguridad. Dentro de esta función están planificación de recuperación, mejoras y comunicaciones.

1. FASES DEL FRAMEWORK CORE

Fase 1

Priorización y Alcance

1. Identificar los objetivos de negocio, misión y prioridades de alto nivel.
2. Realizar estrategias enfocadas a la implementación de ciberseguridad, determinar el alcance de los sistemas.
3. Determinar los activos que respaldan el proceso o la línea de negocio. Estas estrategias pueden ser aplicadas también a diferentes líneas de negocio procesos dentro de la organización.

Fase 2

Orientar / Dirigir

1. Identificar los sistemas y activos relacionados, requisitos y enfoque de riesgo general.
2. Consultar fuentes, ya sean internas o externas para identificar amenazas y vulnerabilidades aplicables a esos sistemas y activos.

Fase 3

Crear un perfil actual de la empresa (saber dónde estamos)

1. La organización financiera desarrolla un perfil actual, es decir, saber que categorías y subcategorías se necesitan trabajar, basado en el Framework Core. Si un resultado se logra ya sea parcialmente, ayudara a continuar con los siguientes procedimientos o pasos a seguir, validando positivamente la herramienta.

Fase 4

Realizar una evaluación de riesgos

1. Puede ser evaluada por un proceso general de gestión de riesgos de la organización.
2. Analizar el entorno operativo para identificar la probabilidad de un evento de ciberseguridad y el impacto que pueda tener en la organización
3. Identificar los riesgos emergentes, conocer o tener información sobre amenazas cibernéticas de fuentes internas o externas, de esta forma se podrá comprender la probabilidad y el impacto de los eventos de ciberseguridad.

Fase 5

Crear un perfil destino

1. Se deberá crear un perfil objetivo en el cual se consideran evaluar las categorías y subcategorías del Framework Core que ayudarán a describir los resultados de ciberseguridad.
2. El perfil también considera las influencias requisitos de las partes interesadas externan, como entidades del sector, clientes y socios comerciales. El perfil de destino debe reflejar los criterios dentro del nivel de implementación objetivo.

Fase 6

Determinar, analizar y priorizar

1. Hacer un comparativo sobre El perfil actual con el perfil destino para determinar las brechas a considerar.
2. crear un plan de acción para priorizar y abordar los objetivos estos van enfocados a la misión, a los costos y beneficios, y los riesgos, esto se considera para lograr los resultados en el perfil destino.
3. Determinar los recursos, esto incluye la financiación, la mano de obra, necesaria para abordar cada una de las brechas identificadas. El uso de perfiles fomenta y ayuda a la organización a tomar decisiones informadas sobre las actividades de ciberseguridad respalda la gestión de riesgo y permite a la organización realizar mejoras específicas y rentables.

Fase 7

Implementar el plan de acción

1. La organización determinará cuáles serán las acciones por tomar para abordar cada una de las brechas, ajustará sus prácticas actuales para lograr el perfil objetivo.
2. La organización deberá determinar cuáles son las normas, pautas y prácticas, políticas que ayudarán a mejorar y eficientizar mejor las necesidades de la empresa.
3. Repetir los pasos según sean necesarios para evaluar y mejorar continuamente la ciberseguridad de la organización financiera.

1. IDENTIFICADORES UNICOS POR FUNCIÓN Y CATEGORIA

Tabla 2. Identificadores únicos por función y categoría, (NIST, 2018).

...