TEMA

Gestión de Riesgos: Enfoque estructurado para manejar la incertidumbre relativa a una

amenaza, a través de una secuencia de actividades humanas que incluyen evaluación de riesgo,
estrategias de desarrollo para manejarlo y mitigación del riesgo utilizando recursos gerenciales.
Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos
negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

Metodología OCTAVE Allegro: Metodología que permite una amplia evaluación del entorno del
riesgo operativo sin la necesidad de un amplio conocimiento de evaluación de riesgos y requiere
menos tiempo de implementación.

Fiduciarias: Es un mecanismo elástico por medio del cual una persona natural o jurídica
(Fideicomitente), entrega uno o más de sus bienes a una Sociedad Fiduciaria para que los
administre de conformidad con la finalidad establecida en el contrato.

DEFINICIÓN DEL PROBLEMA:

Descripción
Hoy en día las fiduciarias son sectores de financieros a los que se les atribuye grandes
cantidades de dinero al igual que clientes, este sector maneja grandes cantidades de
información que son registrados en diferentes sistemas como lo son fondos de inversión,
pensiones voluntarias, proyectos inmobiliarios entre otros. Estos sistemas contienen
información valiosa en la cual si no se cuenta con controles de seguridad adecuados puede
estar expuesta y generar grandes amenazas para la compañía, estas amenazas se pueden
representar en hacking, interrupción de servicios, fallas críticas de infraestructura y
perdida de sistemas centrales, permitiendo que la confidencialidad, integridad y
disponibilidad sea vulnerable.
Según un estudio realizado por Cisco Colombia es un país débil en seguridad informática,
la nación obtuvo la calificación más baja en el Índice de Seguridad Cisco, quien evaluó
la seguridad de la información en seis países más de la región, según el estudio el 35% de
las empresas colombianas tienen la aprobación de las políticas de seguridad por la junta
directiva y no por ingenieros especializados. De esta forma se puede concluir que muchas
compañías aun no reconocen que la seguridad también puede ser una gran estrategia para
el negocio.
ALCANCES Y LIMITACIÓN
Alcances
A continuación, se describen dichos aspectos realizando la división correspondiente entre el
documento que contiene el desarrollo del modelo de gestión de riesgos y el prototipo de
herramienta web:

Modelo de Gestión de riesgos:

A continuación, se realiza una descripción de la información:
  Definición de criterios que permiten conocer la postura de las organizaciones
fiduciarias en cuanto a su propensión a los riegos a través de los cuales se puede
medir el grado en que la organización se verá afectada cuando se materializa una
amenaza.
• Se realiza la documentación de los activos más representativos de las
organizaciones asignando los requisitos de seguridad para cada uno de ellos.
• Se realiza una identificación de los contenedores de los activos de información
especificados de acuerdo a las características propias de cada uno.
• Se realiza el desarrollo de unos perfiles de riesgo para los activos de información
los cuales son el resultado de la combinación de la posibilidad de materialización
de una amenaza y sus consecuencias.
• Se realiza a extensión de las áreas de preocupación a escenarios de amenaza, lo
que conllevará a la identificación de otras preocupaciones para la organización
que están relacionadas con sus activos de información críticos y que no son
visibles a primera vista
• Se realiza la identificación de riegos, realizando una descripción detallada de la
manera en que se ve afectada la organización
• Se realiza une medición cualitativa del grado en que la organización es afectada
por una amenaza asignado una puntuación a cada riesgo de cada uno de los activos
de la organización.
• Por último, se realiza una determinación de las opciones de tratamiento de riesgos
con base en el resultado de los análisis, se busca mitigar los riegos que hayan
obtenido la puntuación más alta y con una probabilidad de ocurrencia alta.
Prototipo de Herramienta Web

La herramienta contará con una interfaz de login para el acceso al aplicativo y el correspondiente
módulo de registro y modificación de usuarios.

Además, se tendrá la opción de exportar informes en archivos PDF para ser impresos y sirvan de
material de soporte para la implementación del modelo de gestión de riesgos.

El prototipo será diseñado con el fin de aplicar todas las fases de la metodología de gestión de
riesgos OCTAVE ALLEGRO.

A continuación, se describen los módulos que tendrá la herramienta web:

Criterios de medición de riesgos: Este módulo permite la creación de un conjunto de criterios

cualitativos con las cuales se podrá evaluar el efecto del riesgo contra la misión y objetivos de la
organización en 5 categorías:

• Reputación/confianza del cliente

• Financiera
• Productividad 29
• Seguridad/salud
• Multas/penas legales

En este módulo el usuario ingresará la información de cada uno de los riesgos agrupándolos en
áreas de impacto, es decir, indicando cómo la compañía se verá afectada por algún incidente de
seguridad, el usuario debe definir el impacto que se generará (bajo, medio, alto) esto será
configurable en la herramienta.
También contará con una pestaña para la opción de priorización de estas áreas de acuerdo con
los intereses de la organización. La categoría más importante recibe el puntaje más alto y la
menos importante recibe la calificación más baja, con una escala de 1 a 5.

Perfil de activos de información: Este módulo permite que el usuario registre los activos de
información de la organización realizando la descripción del activo y especificando las razones
por las cuales se elige.

A cada uno de estos activos se les puede asignar un usuario responsable el cual debe llenar la
información pertinente a los requisitos de seguridad necesarios para el activo.

Contenedores de activos de información: En este módulo el usuario podrá crear los

contenedores de los activos, es decir cada uno de los lugares en donde se almacena la
información y así mismo tendrá la opción de asignar cada activo creado a uno de estos
contenedores.

Áreas de preocupación: En este módulo el usuario puede crear los perfiles de riesgo para cada
uno de los activos creados, en donde se podrán documentar las condiciones que preocupan a la
organización en cuanto a su información crítica, realizando el registro de la información sobre
quien podría llevar a cabo esta amenaza (actores), los medios por los cuales se podría ejecutar,
motivos y resultados.

Escenarios de Amenaza: En este módulo el usuario podrá configurar los escenarios de amenaza
para cada una de las áreas de preocupación que creó en el paso anterior relacionándolas con los
activos críticos, en este paso se puede documentar el actor, motivo y consecuencia de que se
materialice la amenaza.

Identificación de Riesgos: En este módulo el usuario puede documentar el impacto que tendría
la organización sí se realiza un escenario de amenaza, en este paso se define la prioridad realista
de que ocurra la amenaza.

Análisis de Riesgos: En este módulo el usuario puede medir de manera cualitativa el grado en
que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo
de cada área de preocupación.

Enfoque de Mitigación: En este módulo podrá ver el resultado del análisis que realiza la
metodología basada en la información ingresada, y podrá determinar de acuerdo a la matriz de
riesgo usada y la puntuación obtenida, la sugerencia de si debe aceptar, transferir, mitigar o
aplazar el riesgo.

Limitaciones
La gestión de riesgos desarrollada será aplicada únicamente al sector fiduciario

El prototipo web funcionará únicamente en navegador Firefox versión 47.0 o superior y

navegador Chrome versión 51.0 o superior.

Las pruebas de la aplicación móvil serán realizadas únicamente en sistema Android 6.0

Justificación

La información es la parte más importante y de mayor susceptibilidad en cualquier empresa,

para algunas entidades como lo son las del sector fiduciario un mal manejo de la información se
puede representar en pérdidas económicas considerables y es por ello que en sus procesos se
debe considerar la aplicación de estrategias que establezcan controles de seguridad

http://repository.udistrital.edu.co/bitstream/11349/6607/1/TorresMoralesSandraMilena2017.
pdf