Análisis y evaluación de riesgos, de los activos de información de la Dirección Ejecutiva Seccional de Administración Judicial de Tunja - DESAJT, adoptando una metodología de gestión de riesgos de los sistemas de información.

Abstract

La presente monografía aborda el estudio de las metodologías de gestión de riesgos de sistemas de información: MAGERIT versión 3 y NIST SP800-30 revisión 1, que se destacan por proporcionar las actividades que le permiten a una organización conocer los riesgos que pueden generarse con el uso de los sistemas tecnológicos, de comunicaciones y el entorno asociado a su nivel de operación. Con los resultados de este estudio, de forma aplicada se ha tomado una organización con activos y sistemas de información específicos, con el objeto proponer la metodología de gestión de riesgos, que se ajusta a los requerimientos en materia de seguridad de la organización y determinar los riesgos a los que se encuentran sometidos sus activos a través del análisis y evaluación de los riesgos. Con fundamento en lo anterior, esta monografía desarrolla los siguientes temas: en el primer capítulo se describe la estructura organizacional de la Dirección Ejecutiva Seccional de Administración Judicial de Tunja – DESAJT (organización tomada como caso de estudio), y la estructura de procesos de su Sistema Integrado de Gestión y Control de la Calidad y el Medio Ambiente – SIGCMA, obteniendo a través de sus procesos de apoyo el inventario de los activos de información más relevantes, mediante los cuales se soporta el funcionamiento operativo y la prestación de servicios de la organización. En el segundo capítulo se estudian los aspectos más importantes de las metodologías de gestión de riesgos para sistemas de la información: MAGERIT versión 3 y NIST SP800-30 revisión 1, donde se exponen las actividades y procedimientos de cada metodología respecto del proceso de análisis y evaluación de riesgos. Como resultado de este estudio, se resaltan los aspectos más importantes de cada metodología en cuanto a objetivos de seguridad contemplados, la aplicación de gestión de riesgos sobre los activos de la organización, las tareas y subtareas de las actividades del análisis y evaluación de riesgos y los criterios de evaluación respecto de las amenazas, vulnerabilidades, la probabilidad, el impacto y el nivel del riesgo. Permitiendo de esta forma, establecer un cuadro comparativo de cada uno de estos aspectos, logrando seleccionar a la metodología MAGERIT versión 3, por su esquema de actividades y gran compatibilidad con el modelo actual de gestión de riesgos de la Dirección Ejecutiva Seccional de Administración Judicial de Tunja – DESAJT. En el tercer capítulo se presenta la metodología MAGERIT versión 3, como la metodología que puede ser integrada al modelo actual de administración de riesgos de la Dirección Ejecutiva Seccional de Administración Judicial de Tunja – DESAJT. Esta integración puede llevarse a cabo mediante un “Proyecto de análisis de riesgos” dentro de la organización; por lo cual, en esta sección se propone la guía para llevar a cabo el análisis y evaluación de riesgos, de los activos de información de la Dirección Ejecutiva Seccional de Administración Judicial de Tunja - DESAJT, mediante el desarrollo del “Proyecto de análisis de riesgos”, por lo que se describen cada una de las actividades preliminares que le permiten a la organización emprender el proyecto, realizar el análisis de riesgos y comunicar los resultados del mismo; logrando de esta forma con la ejecución de este proyecto que los objetivos de la presente monografía sean alcanzados y brinden un aporte fundamental para la gestión de riesgos en materia de seguridad de la información a la organización tomada en el presente estudio.