Modelo de evaluación del riesgo informático aplicando las metodologías MAGERIT y NIST SP 800-30
Information risk assessment model base don MAGERIT and NIST SP 800-30
DOI:
https://doi.org/10.56712/latam.v7i2.5781Palabras clave:
amenazas, riesgos, salvaguardas, vulnerabilidadesResumen
Los avances tecnológicos han mejorado los procesos institucionales; sin embargo, también han incrementado la exposición a riesgos de seguridad de la información. Cuando no existen medidas de seguridad adecuadas, las instituciones se vuelven más vulnerables a diversas amenazas. En este contexto, se realizó una evaluación de riesgos de seguridad de la información en la infraestructura de hardware del área de Tecnologías de la Información y la Comunicación de la Universidad Técnica Luis Vargas Torres de Esmeraldas, mediante la aplicación de las metodologías MAGERIT versión 3 y NIST SP 800-30. Para la evaluación se utilizó la herramienta Pilar, la cual soporta las cuatro fases del método MAGERIT: caracterización de los activos, identificación de amenazas, análisis de salvaguardas y estimación del estado del riesgo. De forma complementaria, la metodología NIST SP 800-30 orientó las etapas de preparación de la evaluación, realizar la evaluación que incluyó cinco actividades y comunicación de resultados. La evaluación identificó riesgos asociados a la infraestructura y permitió determinar los niveles de riesgo presentes en los activos tecnológicos. Con base en estos resultados, se estableció la necesidad de implementar un plan de tratamiento que reduzca los riesgos a niveles aceptables mediante la aplicación de salvaguardas y controles alineados con la norma ISO/IEC 27001:2022.
Descargas
Citas
3.0 Metodología y Análisis y Gestión de Riesgos de los Sistemas de Información. Obtenido de Magerit - versión 3.0 Metodología y Análisis y Gestión de Riesgos de los Sistemas de Información: https://pilar.ccn-cert.cni.es/docman/documentos/1- magerit-v3-libro-i-metodo/file
Adrián, C. A. (2020). Implementación de un plan de tratamiento de riesgos tecnológicos al centro de cómputo de una organización no gubernamental sin fines de lucro siguiendo la metodología MAGERIT. Obtenido de Implementación de un plan de tratamiento de riesgos tecnológicos al centro de cómputo de una organización no gubernamental sin fines de lucro siguiendo la metodología MAGERIT: https://www.dspace.espol.edu.ec/handle/123456789/50402
Ángel, M. O. (8 de Octubre de 2019). Estudio de herramientas de análisis y gestión de riesgos y propuesta de mejora de la herramienta Pilar. Obtenido de Estudio de herramientas de análisis y gestión de riesgos y propuesta de mejora de la herramienta Pilar: https://uvadoc.uva.es/handle/10324/41310
Arellano, D. A. (29 de Julio de 2022). Estrategias de prevención frente a los ciberataques en la Unidad Educativa Fiscal Luis Alfredo Noboa Icaza. Obtenido de Estrategias de prevención frente a los ciberataques en la Unidad Educativa Fiscal Luis Alfredo Noboa Icaza: https://dspace.ups.edu.ec/bitstream/123456789/24173/1/UPS- GT004223.pdf
Aristizabal, A. O. (2021). Análisis de riesgos basados en la norma Magerit v3 de la red WLAN de las intituciones de educación superior del Tolima. Obtenido de Análisis de riesgos basados en la norma Magerit v3 de la red WLAN de las intituciones de educación superior del Tolima: https://repository.unad.edu.co/jspui/bitstream/10596/41960/3/aortizari.pdf
Avila Torres, A., & Tapia, J. C. (2021). Análisis y evaluación de riesgos: aplicado a EMAPAL-EP, basado en la metodología de MAGERIT versión 3.0. Dominio de las Ciencias, 14.
Baudean, M. (18 de Julio de 2015). Introducción a la investigación aplicada. Obtenido de https://marcosbaudean.net/wp-content/uploads/2015/11/MBS_Introduccion-a-la- investigacion-aplicada.pdf
Chang, J. E. (2020). Análisis de ataques cibernéticos hacia el Ecuador. Aristas, 10.
Cruz, G., Delgado, L., & Ponce, B. (2022). Riesgos de seguridad de los datos en la web. Journal TechInnovation, 7.
Felix, B. B. (Junio de 2023). Guía de gestión de seguridad de la información para el Gobierno Provincial de Tungurahua. Obtenido de Guía de gestión de seguridad de la información para el Gobierno Provincial de Tungurahua: https://repositorio.puce.edu.ec/items/c9d11f7b-3d52-48da-8720-f36d7c029124
Guerrero, J. V. (Febrero de 2021). Análisis de seguridad de la información aplicando la metodología IST SP 800-30 Y NIST SP 800-115 para la empresa textiles JHONATEX. Obtenido de https://repositorio.uta.edu.ec/server/api/core/bitstreams/3aca72d1-299a- 4add-a856-eef2272f4f6d/content Hacknoid. (Abril de 2020). Cómo gestionar los riesgos informáticos de forma eficiente. Obtenido de https://hacknoid.com/wp-content/uploads/2020/04/GestionRiesgosTI- Hacknoid-Ebook.pdf
Helmer, M., & Laura, Z. (2019). Riesgos informáticos y alternativas para la seguridad informática en sistemas contables en Colombia. Venezolana de Gerencia, 13.
Hernández, E. S. (25 de Mayo de 2022). Plan de Implementación de la norma ISO/IEC 27001. Obtenido de https://openaccess.uoc.edu/bitstream/10609/145849/11/esanchezhernTFM0622mem oria.pdf
Intriago, J. Y. (Junio de 2022). Aplicación del NIST CYBERSECURITY FRAMEWORK en el Instituto Superior Tecnológico Sucre. Obtenido de Aplicación del NIST CYBERSECURITY FRAMEWORK en el Instituto Superior Tecnológico Sucre.
Iván, S. B. (Julio de 2019). Análisis de MAGERIT y PILAR. Obtenido de https://uvadoc.uva.es/bitstream/handle/10324/37736/TFG-I-1213.pdf?sequence=1
Jacqueline, C. M. (12 de Octubre de 2022). Propuesta de un modelo híbrido basado en las metodologías Magerit E ISO 27001 para controlar amenazas internas identificadas en la intranet de la Facultad de Informática y Electrónica. Obtenido de Propuesta de un modelo híbrido basado en las metodologías Magerit E ISO 27001 para controlar amenazas internas identificadas en la intranet de la Facultad de Informática y Electrónica.: http://dspace.espoch.edu.ec/handle/123456789/17706
Lillo, J. S. (Junio de 2019). Análisis y correlación entre probabilidad e impacto de los riesgos. Obtenido de Análisis y correlación entre probabilidad e impacto de los riesgos: https://rua.ua.es/dspace/bitstream/10045/93271/1/Analisis_y_correlacion_entre_pro babilidad_e_impacto_de_l_Santonja_Lillo_Juan.pdf
Macías, M. A. (2018). Análisis de riesgos en seguridad de la información. Polo del conocimiento, 15.
Marín, C. P., & CampoverdeMolina, M. (2021). Análisis de riesgos del departamento de Tecnologías de la Información y Comunicación del Registro de la Propiedad de la ciudad de Cuenca, Ecuador. Polo del conocimiento, 18.
Martín, A. J., & Mateo, E. V. (2015). Selección de salvaguardas en gestión del riesgo en sistemas de la información: un enfoque borroso. Obtenido de https://oa.upm.es/40919/1/INVE_MEM_2015_223957.pdf
Ministerio de Hacienda y Administraciones Públicas. (Octubre de 2012). Magerit - versión
Quizhpi Cazho, L. M. (2022). Riesgos que afectan la disponibilidad de servicio en los proveedores de internet en los cantones Cañar, El Tambo y Suscal. Pro Sciences: Revista De Producción, Ciencias E Investigación, 14.
Reina, J. O. (2022). El impacto de la gestión integral de riesgo en el contexto actual. South Florida Journal of Developmen, 18.
Sanchez, F. P., & Calispa, N. I. (Marzo de 2021). Propuesta de un plan de contingencia para salvaguardar los activos de información en el departamento de Tecnología de la Información y Comunicación. Obtenido de Propuesta de un plan de contingencia para salvaguardar los activos de información en el departamento de Tecnología de la Información y Comunicación: https://dspace.ups.edu.ec/bitstream/123456789/19865/1/UPS%20-%20TTS276.pdf
Suárez, J. A., Andrade, R. F., Obando, C. C., & Gómez, a. A. (2017). La seguridad informática y la seguridad de la información. Polo del conocimiento, 11.
Tejena, M. M. (2018). Análisis de riesgos en seguridad de la información. Polo del conocimiento, 15.
Publicado
Cómo citar
Número
Sección
Licencia
Derechos de autor 2026 Víctor Eduardo Quispe Mera, Lenin Vicente Quispe Mera, Galo Eduardo Maldonado Ibarra, Ingrid Magdalena Rodriguez Cevallos
Esta obra está bajo una licencia internacional Creative Commons Atribución 4.0.
