Análisis de riesgo en activos de tecnología de la información y comunicaciones para una entidad del estado colombiano

Abstract

Este artículo reseña un estudio que tiene como objetivo desarrollar un análisis de riesgos para activos de tecnología de la información y las comunicaciones para una entidad del estado colombiano, el cual tomó en cuenta para un estudio inicial de los activos, una evaluación institucional que permitió identificar cuáles de estos son los importantes para el funcionamiento institucional y de este modo catalogarlos como críticos, luego de esta identificación se propuso una metodología de análisis de riesgos que se adaptará a las necesidades del estudio, que para este caso es detectar problemas de seguridad teniendo en cuenta el ámbito organizativo y tecnológico, posterior a esto se elaboró perfiles de riesgo sobre cada uno de los activos críticos que ayudaron a identificar vulnerabilidades, finalmente se desarrolló un plan de mitigación enfocado en la metodología de riesgo utilizada para poder evaluar y contrarrestar amenazas a nivel organizativo y tecnológico en los activos objeto de estudio en la entidad, teniendo en cuenta que se usaron las capacidades y habilidades de los mismos funcionarios para su elaboración, de acuerdo a esto se concluye que los principios aplicados con la metodología de análisis de riesgo fue totalmente aplicable a la realidad de la entidad, ya que propuso un planteamiento de estrategias de seguridad que permitió generar planes a corto plazo para evitar futuras amenazas que alteren los principios de seguridad de la información en los activos críticos y se podrán aplicar previa aceptación y aprobación del grupo directivo de la entidad.

This paper reports on a study that aims to develop a risk analysis for asset information technology and communications for an entity of the Colombian state, which took into account an initial survey of the assets, an institutional assessment that identified which of these are important for institutional operations and thus cataloged as critics, after this identification was proposed risk analysis methodology that will suit the needs of the study, which in this case is to identify safety issues, taking into account the organizational and technological, it was developed after risk profiles on each of the critical assets that helped identify vulnerabilities, finally developed a mitigation plan focused on the methodology used to assess risk and to counter threats at organizational and technological assets in order to study in the state, taking into account that used the skills and abilities of the same officials for processing, accordingly concludes that the principles applied to the risk analysis methodology was fully applicable to the reality of the entity, as proposed an approach that allowed security strategies generate shortterm plans to prevent future threats to alter the principles of information security in critical assets and will be applicable upon acceptance and approval steering group of the entity.