Gestión de riesgos informáticos utilizando NIST SP-800 e ISO/IEC 27005 en la empresa international forest products del Ecuador S.A.

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

“UNIANDES”

FACULTAD DE SISTEMAS MERCANTILES

PROGRAMA DE MAESTRÍA EN SISTEMAS DE INFORMACIÓN GERENCIAL

ARTÍCULO CIENTÍFICO PREVIO A LA OBTENCIÓN DEL

GRADO ACADÉMICO DE MAGISTER EN SISTEMAS DE INFORMACIÓN GERENCIAL

TEMA:

GESTIÓN DE RIESGOS INFORMÁTICOS UTILIZANDO NIST SP-800 E

ISO/IEC 27005 EN LA EMPRESA INTERNATIONAL FOREST PRODUCTS

DEL ECUADOR S.A.

AUTORA: ING. OÑA GARCÉS MERCEDES BEATRIZ.

TUTORES: DR. ROMERO FERNÁNDEZ ARIEL JOSÉ, PHD.

DR. CAÑIZARES GALARZA FREDY PABLO, MSC

SANTO DOMINGO - ECUADOR

ÍNDICE GENERAL

APROBACIÓN DE LOS TUTORES DEL TRABAJO DE TITULACIÓN DECLARACIÓN DE AUTENTICIDAD

DERECHOS DE AUTORA

CERTIFICACIÓN DEL LECTOR DEL TRABAJO DE TITULACIÓN RESUMEN

ABSTRACT

TÍTULO ... 1

LÍNEA DE INVESTIGACIÓN ... 1

INTRODUCCIÓN ... 1

MATERIALES Y MÉTODOS ... 4

RESULTADOS ... 5

DISCUSIÓN ... 11

RESUMEN

Actualmente las organizaciones, aprovechan las tecnologías de la información para el desarrollo de sus actividades, utilizan los recursos que les permitan desarrollar sus procesos de manera automática y acceder a la información que se genera de manera confiable, esta información es un activo valioso por lo cual es transcendental asegurar que en ella se cumpla la triada de la seguridad de la información (disponibilidad, confidencialidad e integridad), para lo cual es necesario identificar las amenazas, vulnerabilidades y riesgos. El presente trabajo de investigación tiene por objetivo analizar los riesgos informáticos en la empresa International Forest Products del Ecuador S.A., utilizando NIST SP-800 e ISO/IEC 27005 para el establecimiento de las vulnerabilidades y amenazas existentes, y proponer las medidas de control y gestión. La metodología utilizada para la investigación fue descriptiva para caracterizar la problemática existente en la empresa International Forest Products del Ecuador S.A., se trabajó con la totalidad de la población de la organización mediante la aplicación de entrevistas y encuestas, se realizó un pentesting a la infraestructura de red. Los resultados obtenidos permitieron identificar los riesgos informáticos que podrían afectar a la organización y determinar las acciones o elementos necesarios para la mitigación de riesgos.

ABSTRACT

Currently, organizations take advantage information technologies to develop their activities, use the resources that allow them to automatically develop their processes and access information that is generated in a reliable manner, this information is a valuable asset. It is transcendental to ensure that the triad of information security (availability, confidentiality and integrity) is fulfilled, for which it is necessary to identify threats, vulnerabilities and risks. The objective of this research work is to analyze computer risks in the company International Forest Products of Ecuador SA, using NIST SP-800 and ISO / IEC 27005 for the establishment of existing vulnerabilities and threats, and to propose control and management measures. The methodology used for the research was descriptive to characterize the existing problems in the company International Forest Products of Ecuador SA, we worked with the entire population of the organization through the application of interviews and surveys, and a pretesting was performed on the infrastructure of network. The results obtained allowed us to identify the computer risks that could affect the organization and determine the actions or elements necessary to mitigate risks.

1 TÍTULO

Gestión de riesgos informáticos utilizando NIST SP-800 e ISO/IEC 27005 en la Empresa International Forest Products del Ecuador S.A.

LÍNEA DE INVESTIGACIÓN

Gerencia y sistemas de información para la toma de decisiones en el sector empresarial.

INTRODUCCIÓN

Actualmente la información que generan las empresas es manejada física y digitalmente. Esta información, es un recurso valioso para lograr la consecución de los objetivos de cualquier organización, ya que con base en ella se toman decisiones que afectan al futuro de la empresa. Según Angarita, Tabares, & Rios, (2015), de acuerdo al análisis de un estudio titulado DATA NEVER SLEEPS 2.0, el cual tiene como objetivo principal mostrar la cantidad de datos que son generados cada minuto en internet, un minuto en informática es como hablar de un año-luz en astronomía, lo que indica que con la gran cantidad de información que circula por el internet es necesario definir estrategias para garantizar la seguridad de ésta.

Con el desarrollo y auge de las Nuevas Tecnologías de la Información y la Comunicación (NTIC), los avances en los servicios y modelos de comunicaciones e información, el uso continuo y generalizado a nivel global del Internet ha provocado que las empresas busquen estrategias que les permitan ejecutar análisis para prevenir, controlar y reducir los riesgos asociados a la violación o vulnerabilidad de su información. (Abril, Pulido, & Bohada, 2013)

2

información debe considerar aspectos tanto físicos como lógicos para lograr un adecuado tratamiento del riesgo. (Espinosa T., Martínez P., & Amador D., 2014)

De acuerdo a Valencia Duque & Orozco Alzate, (2017), las amenazas tecnológicas son parte de nuestra vida diaria y aún más de la vida organizacional, estas amenazas van desde diversas formas de virus, como los recientes ataques de ransomware hasta amenazas sofisticadas como los ataques día cero (en inglés, zero-day attack) lo cual requiere la implementación de controles que puedan ser gestionados a través de un adecuado enfoque de seguridad de la información.

Pese a esto Kosub, (2015), indica que los riesgos tecnológicos se encuentran entre los riesgos comerciales más subestimados, que pueden generar graves riesgos comerciales, lo que podría provocar, una interrupción comercial o un daño importante para la reputación de las organizaciones.

La seguridad de la información para una organización depende de diferentes frentes: el físico, que se refiere al almacenamiento de la información; el social, relacionado con el grado de discrecionalidad del personal que la manipula, y el lógico, que hace referencia a la definición de los niveles de accesibilidad y disposición. Por lo tanto un esquema seguro debe corresponder a certificar la confidencialidad, integridad y disponibilidad de la información, según la norma ISO 27001. (Monsalve, Aponte, & Chaves, 2014)

El análisis de riesgos es un proceso que se debe realizar de manera frecuente, debido a los cambios de las condiciones orientadas en la mejora continua de las organizaciones La administración de riesgos es un método sistemático que permite planear, identificar, analizar, evaluar, tratar y monitorear los riesgos relacionados con una actividad, función o proceso, para que la organización pueda reducir pérdidas y aumentar sus oportunidades. (Vanegas Devia & Pardo, 2014)

3

identificar las causas de vulnerabilidades y proponer soluciones de control que permitan su mitigación. (Solarte , Enriquez, & Benavides, 2015).

Conforme a Refsdal, Solhaug, & Stølen, (2015) la gestión de riesgos comprende actividades coordinadas que permiten dirigir y controlar una organización con respecto al riesgo.

Una evaluación de riesgos de seguridad de la información es el proceso de realizar un análisis objetivo de la efectividad de los controles de seguridad de una empresa para proteger los activos y luego determinar la probabilidad de pérdida en la que podrían incurrir esos activos. Las evaluaciones de riesgos de seguridad de la información son la herramienta principal para que las organizaciones evalúen su seguridad y aptitud para combatir las amenazas generalizadas. NIST SP 800-30 e ISO 27005 son las herramientas principales para brindar orientación a las evaluaciones de riesgos de seguridad de la información. (Thomas & Gordon, 2018)

ISO 27005 es un estándar conocido para la Gestión de Riesgos de Seguridad de la Información, según Agrawal, (2017) la gestión de riesgos debe ser un proceso recurrente que consiste en fases que aplicadas adecuadamente permiten una mejora continua en la toma de decisiones.

NIST SP 800 – 30 es una guía creada con el fin de proporcionar una evaluación de riesgos del sistema de información organizacional (National Institute of Standards and Technology, 2012), se puede utilizar para complementar el estándar ISO 27005 en la realización de evaluaciones de riesgo. (Aditya, Setiawan, & Rifa, 2017)

De acuerdo a Harkins, (2016), dentro de una organización, cada individuo percibe el riesgo de manera diferente, esta percepción varía dependiendo de su rol laboral, objetivos, antecedentes; la percepción errónea del riesgo tiene consecuencias graves, motivo por el cual se considera como herramienta valiosa el uso de modelos para evaluación de riesgos.

4

Domingo de los Tsáchilas, su proceso de producción y comercial genera gran cantidad de información necesaria para el giro del negocio y la toma de decisiones, motivo por el cual presenta dos grandes necesidades, reducir las vulnerabilidades que presenten sus sistemas informáticos y gestionar los riesgos informáticos para reducir las amenazas físicas y lógicas.

El objetivo del presente trabajo de investigación es analizar los riesgos informáticos en la empresa International Forest Products del Ecuador S.A., utilizando NIST SP-800 e ISO/IEC 27005 para el establecimiento de las vulnerabilidades y amenazas existentes, y proponer las medidas de control y gestión.

MATERIALES Y MÉTODOS

Según el alcance se realizó una investigación descriptiva para caracterizar la problemática existente en la empresa IFPESA, con respecto al análisis y gestión de riesgos en los sistemas de información.

Según la finalidad se realizó una investigación aplicada, ya que a través del conocimiento se permitió a la empresa IFPESA identificar las vulnerabilidades y amenazas existentes en los sistemas de información; y establecer las medidas de acción a través de la gestión de riesgos.

Según el enfoque, la investigación que se realizó es de tipo mixto ya que se integró métodos cuantitativos para asignar valores de ocurrencia a los riesgos identificados, mientras que para medir el nivel de impacto se utilizó métodos cualitativos.

Se consideró las siguientes áreas de la empresa como unidades de estudio para la presente investigación:

Tabla 1

Áreas de Trabajo IFPESA

Área Cantidad de Personas

Ejecutiva 2

Tecnologías de la Información 1

5

Operativa 2

Total 12

Fuente: Autora

La población considerada para esta investigación es de 12 personas.

Para la presente investigación no se consideró necesario determinar la muestra, ya que la población es reducida, por lo tanto, se empleó a toda la población. Para la presente investigación se utilizó las siguientes técnicas:

 Observación, a través de la cual se analizó las medidas que aplican los trabajadores de la empresa en referencia a la gestión de riesgos en los sistemas de información.

 Encuesta, se empleó para conocer el nivel de aplicación de gestión de riesgos en sistemas de información en las áreas administrativas y operativas de la empresa.

 Entrevista, que se realizó al nivel Directivo de la empresa con el fin de determinar la importancia que el nivel gerencial da a la gestión de riesgos informáticos en la organización.

RESULTADOS

Análisis de riesgos es el proceso sistemático para valorar la magnitud de los riesgos a los que se encuentra expuesta una organización, éste permite determinar cómo es, cuánto vale y dar información de que tan protegido se encuentra un sistema, siguiendo los objetivos, estrategia y política de la organización para elaborar un plan de seguridad. (Molina, 2017)

El análisis del test de penetración, los resultados obtenidos de las encuestas, entrevistas y observación realizadas en la organización, permitieron determinar los problemas de seguridad de la información que posee IFPESA, los cuales se listan a continuación:

6

 Mediante un sencillo pentesting es posible identificar los puertos que utilizan los servicios que proporcionan los servidores de bases de datos, lo que podría generar ataques de denegación de servicio, robo o secuestro de la información, entre otros.

 La empresa no posee políticas de seguridad de la información, las cuales permiten establecer reglas, procedimientos y prácticas para preservar la triada de la seguridad de la información.

 Los colaboradores de la organización no tienen la cultura de velar por el trabajo que realizan y por la información que pertenece a la empresa (activo), motivo por el cual es necesario crear y difundir normas de confidencialidad de la información y políticas que apoyen a la seguridad de la información.

Estos problemas si no son controlados, podrían generar grandes pérdidas a la organización motivo por el cual se considera importante realizar la gestión de riesgos informáticos

Para la determinación de los riesgos informáticos se utilizó la metodología NIST SP 800-30, la cual fue desarrollada desde la fase inicial que es la caracterización del sistema, hasta la fase de determinación del riesgo.

Caracterización del sistema

Se definió el alcance del análisis de riesgos mediante la identificación de los activos de la organización incluyendo los aplicativos informáticos.

Con respecto a equipamiento de TI la organización posee:  4 servidores

o _{Servidor de base de datos de aplicativos referentes al área de} producción

o _{Servidor de base de datos de aplicativo contable.} o _{Servidor de facturación electrónica.}

o Servidor NAS

 1 Switch administrable capa 3  1 UPS

7 Con respecto a aplicativos informáticos posee:

o Sistema Contable o Sistema Nómina

o Sistema de Proveedores o Sistema de Producción o Sistema de Mantenimiento o Sistema de Activos Fijos o _{Sistema Agrícola}

Los aplicativos descritos anteriormente permiten administrar la información sensible de la organización, sobre todo la relacionada a los registros financieros y el proceso de producción que contienen información vital para el giro del negocio.

Orígenes de las amenazas

Se determinó que las amenazas a los activos organizacionales podrían provenir de 4 tipos de orígenes: Externo (Hacker, competencia, proveedor), Accidental (Usuarios, Administrador de los Sistemas Informáticos), Estructural (Equipo de TI), Ambiental (Incendio).

Estos orígenes de amenazas, pueden afectar a todos los niveles de la organización: estratégico, táctico y operativo.

Los orígenes de amenazas se establecieron en función de NIST SP 800-30 revisión 1, apéndice D, tabla D-1, D-2.

Identificación de eventos de amenazas

Se identificaron 12 eventos de amenazas adversas y 5 eventos de amenazas no adversas; de las cuales 3 tienen relevancia confirmada, 5 tienen relevancia anticipada, 4 de relevancia esperada, 4 de relevancia posible y 1 de relevancia predicha.

8 Identificación de vulnerabilidades

De las 20 vulnerabilidades identificadas, 12 presentan una severidad muy alta, 3 alta, y 5 moderada.

Estas vulnerabilidades se identificaron considerando NIST SP 800-30 revisión 1, apéndice F, tablas F-1, F-2, F-3.

Identificación de impactos adversos

Al realizar la identificación de impactos adversos se obtuvo: 3 tipos de impactos con un nivel muy alto de afectación a la empresa en caso de explotarse la vulnerabilidad, 3 tipos de impactos con nivel alto, y 2 tipos de impactos con nivel moderado.

Los impactos adversos se establecieron en función de NIST SP 800-30 revisión 1, apéndice H, tabla H-1, H-2, H-3, H-4.

Identificación de riesgos

Una vez aplicadas las matrices sugeridas por la NIST SP 800-30, se identificaron 12 riesgos generados de la explotación de eventos de amenazas adversas: 1 Muy alto, 5 riesgos altos, 4 riesgos moderados y 2 riesgos bajos. De la explotación de amenazas no adversas se identificaron: 1 riesgo muy alto, 1 alto, 2 moderados, 1 bajo.

Los riesgos fueron establecidos considerando NIST SP 800-30 revisión 1, apéndice I, tablas I-1, I-2, I-3, I-4, I-5, I-6, I-7.

Riesgos Muy Altos

Vincent, (2019), indicó que según Kaspersky casi el 50% de los ataques de phishing del año 2016 fueron diseñados para robar dinero; que la organización IFPESA sea víctima de un ataque de estos afectaría gravemente su economía y reputación, motivo por el cual con base en los resultados obtenidos al ser considerado este un riesgo muy alto es necesario aplicar medidas de control para mitigar el riesgo de sufrir ataques de este tipo.

9

riesgo es muy alto ya que se generaría la destrucción total o parcial de la infraestructura tecnológica.

Riesgos Altos

El hecho de que el software antivirus no se encuentre actualizado y que incluso algunos computadores de la empresa no posean este tipo de software es un alto riesgo, ya que al alojarse una infección en los equipos podría provocarse la pérdida parcial o total de la información, y la indisponibilidad de los servicios. Otra amenaza que podría generar graves pérdidas en la organización es la infección por un ransomware, como ya se mencionó anteriormente IFPESA no posee un plan de respaldo de la información que contenga políticas para la generación y almacenamiento de los respaldos obtenidos, lo que provocaría un alto riesgo en el manejo de la información crítica de la organización.

Dentro de las entrevistas realizadas al área de TI se identificó que la organización no tiene políticas para el desarrollo de aplicativos informáticos, ni un proceso de control de calidad. Una incorrecta programación o configuración en los aplicativos podría dejar una brecha que una vez explotada permitiría la ejecución de ataques cibernéticos, afectando la disponibilidad, integridad y confidencialidad de la información.

La realización del pentesting permitió determinar entre otros aspectos que no existe un filtrado de puertos en el 75% de los servidores de la organización, lo que podría generar ataques para la sustracción de la información o ataques DDoS (denegación de servicios).

Riesgos Moderados

A través de la observación y entrevistas realizadas se identificó que no existen políticas para la conexión de equipos a la red institucional, cualquier PC puede ser conectado a un punto de datos disponible, automáticamente se le asignará una dirección IP y navegación libre hacia el internet, y estará habilitado para escanear la red y obtener información que luego podrá ser utilizada en contra de la organización.

10

medidas para restringir el acceso, ya que cualquier persona puede manipular físicamente los equipos de la infraestructura tecnológica, conectar un dispositivo o realizar ataques de manera física.

El inicio de sesión en los equipos clientes no está controlado por un servidor de dominio, no se ha desarrollado una política de cambio de claves, no existen controles que obliguen a los usuarios de los aplicativos a utilizar contraseñas seguras. Actualmente el acceso a los equipos clientes puede ser realizado fácilmente mediante ataques de fuerza bruta, por lo tanto se podría comprometer información importante de la organización.

Los errores humanos también se convierten en amenazas para la seguridad informática, los errores que comete el personal de administración de TI pueden ocasionar graves pérdidas de acuerdo a la forma en que afecten al activo, se identificó que el área de TI de la organización no posee documentación de los aplicativos informáticos, ni de los roles y niveles de acceso que debe tener cada colaborador, una asignación errónea de roles puede generar la obtención indebida de información o la modificación de información crítica de la organización.

La falla del equipamiento informático es considerada un riesgo que afectará la disponibilidad de los recursos tecnológicos, la organización se encuentra vulnerable en este aspecto debido a que conforme a su inventario de hardware la mayoría de sus servidores poseen más de 6 años vida útil, con base en información obtenida del sitio web de sus fabricantes estos modelos de servidores se encuentran sin soporte técnico por la marca y fuera de producción, lo que significa que actualmente no poseen vigencia tecnológica; la organización no posee un plan de mantenimiento preventivo, el mantenimiento se realiza de manera correctiva.

Riesgos Bajos

11 Acciones de mitigación

De acuerdo a la información obtenida en esta investigación se han identificado los eventos de amenazas cuya probabilidad de ocurrencia generan un riesgo para la organización, la tabla 2 presenta los eventos de amenaza que deben ser mitigados, de acuerdo a la matriz de apetito del riesgo basada en NIST SP 800-30.

Tabla 2 Amenazas

N° Evento de Amenaza

1 Ataque de pishing

2 Recibir ataques de ingeniería social 3 Incendio

4 Recibir malware en sistemas organizacionales

5 Secuestro o Robo de información a través de malware

6 Manejo incorrecto de la información crítica de la organización

7 Recibir ataques en sistemas de información configurados erróneamente

8 Recibir ataque en los puertos y protocolos de los servicios 9 Recibir un ataque de denegación de servicios DDoS 10 Escaneo de la red perimetral.

11 Intentos de inicio de sesión mediante ataques de fuerza bruta 12 Asignación incorrecta de permisos a usuarios

13 Falla de recursos tecnológicos 14 Falla de hardware

15 Divulgación de información crítica de la empresa 16 Acceso físico a sistemas de información

17 Recibir ataques físicos en la organización Fuente: Autora

DISCUSIÓN

12

ejecutadas por la empresa para alcanzar un mayor nivel de seguridad informática. Tabla 3

Amenazas – Mitigación

N° Nivel de

Riesgo Evento de Amenaza

Acción o elemento para mitigación del riesgo

1

Muy Alto Ataque de phishing

Mantener actualizados Sistema operativo, navegadores, Antivirus

Capacitar a los colaboradores sobre las

formas en que podrían ser atacados: correo

electrónico, URL 2 Moderado Recibir ataques de

ingeniería social

3 Muy Alto Incendio

Plan de contingencia Plan de respaldo de la

información 4 Alto

Recibir malware en sistemas

organizacionales _{actualización de antivirus} Definir políticas de uso y 5

Alto

Secuestro o Robo de información a través de

malware

Plan de respaldo de la información 6 Alto

Manejo incorrecto de la información crítica de la

organización

7 Alto

Recibir ataques en sistemas de información

configurados erróneamente

Definir políticas para protección contra amenazas a servidores

Definir políticas para la gestión de calidad del software desarrollado en

la empresa 8 Alto

Recibir ataque en los puertos y protocolos de

los servicios

Definición de restricciones para acceso

de equipos a la red. Implementar Firewall Implementar filtrado de

puertos en servidores Plan de contingencia 9 Alto

Recibir un ataque de denegación de servicios

DDoS 10 Moderado Escaneo de la red

perimetral. 11 Moderado

Intentos de inicio de sesión mediante ataques

de fuerza bruta

Definir políticas para el manejo de claves

12 Moderado Asignación incorrecta de permisos a usuarios

Desarrollar documentación de los

13

Desarrollar catálogo de roles y niveles de acceso 13 Moderado Falla de recursos

tecnológicos

Plan de mantenimiento preventivo Plan de contingencia 14 Moderado Falla de hardware

15 Bajo

Divulgación de información crítica de la

empresa

Generar acciones que establezcan la fidelidad de los colaboradores con

la organización 16 Moderado Acceso físico a sistemas

de información Acondicionar un espacio físico con restricción de acceso para el data

center 17 Bajo Recibir ataques físicos

en la organización Fuente: Autora

Es indispensable que la organización posea un “Plan de Continuidad del

Negocio”, el desarrollo de este plan le permitirá identificar los impactos

potenciales que la amenazan y proporcionará el marco propicio para construir y reforzar la capacidad de dar una respuesta efectiva. (Carrizo, Alfaro, & Loyola, 2016). Para desarrollar este plan la empresa puede utilizar como base la norma ISO 22301.

Según Kolias, Kambourakis, Stavrou, & Voas, (2017), gran parte de la responsabilidad de los ataques DDoS a menudo se debe a los usuarios que practican conductas de seguridad deficientes y a los administradores de sistemas que no implementan las medidas de seguridad adecuadas, por lo cual es necesario fortalecer los conocimientos de los colaboradores de la organización con respecto a la seguridad informática.

Un elemento imprescindible que permitirá disminuir los riesgos informáticos es la generación de políticas, la empresa necesita definir las estrategias y procedimientos (los cuales deben ser desarrollados, analizados, y aprobados por las áreas correspondientes) para precautelar los bienes institucionales. De acuerdo a los riesgos informáticos identificados en esta investigación, se considera necesario definir como mínimo políticas para:

 Administración de servidores

 Administración de equipos clientes.

14

 Gestión de calidad del software desarrollado o adquirido por la empresa.  Administración de base de datos.

 Administración de la red organizacional.  Seguridad de la información.

Estas políticas deben ser desarrolladas priorizando en todo momento el poseer una infraestructura tecnológica que conserve la triada de la seguridad de la información.

Un aspecto importante que debe considerar la organización es proporcionar capacitación y documentación apropiada a sus colaboradores a fin de que los procedimientos para la utilización de los sistemas organizacionales sean claros, esto permitirá minimizar el riesgo de error humano al que se encuentra expuesta. Luego que se han definido las acciones de control de riesgos y estas sean implementadas por la organización, es necesario aplicar el proceso iterativo de evaluación de riesgos de la norma ISO 27005, de acuerdo a Patiño, Yoo, Solís, & Arroyo, (2018), se requiere realizar las iteraciones necesarias hasta que el tratamiento del riesgo produzca un nivel aceptable de riesgo residual.

CONCLUSIONES

La investigación realizada permitió determinar que el análisis de riesgos es un componente muy importante para alcanzar la seguridad informática en todo tipo de organización. Actualmente para la gestión de riesgos se cuenta con un gran número de estándares que deben ser seleccionados de acuerdo a las necesidades de la organización.

Al analizar los resultados obtenidos en esta investigación fue posible determinar que IFPESA no posee un plan de Gestión de Riesgos Informáticos, además existen varias amenazas que al ser ejecutadas podrían causar graves daños a la organización.

REFERENCIAS BIBLIOGRÁFICAS

Abril, A., Pulido, J., & Bohada, J. (2013). ANÁLISIS DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN. Revista Ciencia, Innovación y Tecnología (RCIYT, 1, 39-53. Obtenido de

https://www.jdc.edu.co/revistas/index.php/rciyt/article/view/121

Aditya , F., Setiawan , H., & Rifa , A. (2017). Design of Information Security Risk Management Using ISO/IEC 27005 and NIST SP 800-30. 2017

International Conference on Information Technology Systems and Innovation (ICITSI), 251-256. doi:978-1-5386-3100-3/17/$31.00

Agrawal, V. (2017). A framework for the information classification in ISO 27005 standard. 2017 IEEE 4th International Conference on Cyber Security and Cloud Computing (CSCloud), 264 - 269. doi:10.1109/CSCloud.2017.13

Angarita, A. A., Tabares, C. A., & Rios, J. I. (2015). Definición de un modelo de medición de análisis de riesgos de la seguridad de la información

aplicando lógica difusa y sistemas basados en el conocimiento. Entre Ciencia e Ingeniería(17), 71-80.

Espinosa T., D., Martínez P., J., & Amador D., S. (2014). GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN CON BASE EN LA NORMA ISO/IEC 27005 DE 2011, PROPONIENDO UNA

ADAPTACIÓN DE LA METODOLOGÍA OCTAVE-S. CASO DE ESTUDIO: PROCESO DE INSCRIPCIONES Y ADMISIONES EN LA DIVISIÓN DE ADMISIÓN REGISTRO Y CONTROL. Ingenierías USBMed, 5(2), 33 - 43. doi:http://dx.doi.org/10.21500/20275846.309

Harkins, M. (2016). Managing Risk and Information Security: Protect to Enable. Folsom: ApressOpen. doi:DOI 10.1007/978-1-4842-1455-8

Kolias, C., Kambourakis, G., Stavrou, A., & Voas, J. (2017). DDoS in the IoT: Mirai and Other Botnets. Computer, 80-84. doi:10.1109/MC.2017.201 Kosub, T. (2015). Components and challenges of integrated cyber risk

management. ZVersWiss, 104(5), 615-634. doi:https://doi.org/10.1007/s12297-015-0316-8

Molina, M. (2017). ANÁLISIS DE RIESGOS DE CENTRO DE DATOS BASADO EN LA HERRAMIENTA PILAR DE MAGERIT. Espirales revista

multidisciplinaria de investigación, 1(11), 9-18.

Monsalve, J., Aponte, F., & Chaves, D. (2014). Estudio y gestión de vulnerabilidades informáticas para una empresa privada en el

departamento de Boyacá (Colombia). Revista Facultad de Ingeniería (Fac. Ing.),, 23(37), 65 - 72.

Patiño , S., Yoo, S., Solis, E., & Arroyo , R. (2018). ICT Risk Management Methodology Proposal for Governmental Entities Based on ISO/IEC 27005. 2018 International Conference on eDemocracy & eGovernment (ICEDEG), 75-82. doi:10.1109/ICEDEG.2018.8372361

Refsdal, A., Solhaug, B., & Stølen, K. (2015). Cyber-Risk Management. New York: Springer. doi:10.1007/978-3-319-23570-7

Smruti, S., & Hemant, K. (2018). Strategies for Ransomware Removal and Prevention. 4th International Conference on Advances in Electrical, Electronics, Information, Communication and Bio-Informatics. doi:10.1109/AEEICB.2018.8480941

Solarte , F., Enriquez, E., & Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de

información bajo la norma ISO/IEC 27001. Revista Tecnológica ESPOL, 28(5), 492-507.

Thomas, J. E., & Gordon, C. G. (2018). Improving Backup System Evaluations in Information Security Risk Assessments to Combat Ransomware. Computer and Information Science, 11(1), 14-25.

doi:10.5539/cis.v11n1p14

Valencia Duque, F. J., & Orozco Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Ibérica de Sistemas y Tecnología de la Información(22), 73-88. doi:http://dx.doi.org/10.17013/risti.22.73-88

Vanegas Devia, G., & Pardo, C. J. (2014). Hacia un modelo para la gestión de riesgos de TI en MiPyMEs: MOGRIT. Redalyc, 12(30), 35-48.

Vincent, A. (2019). Don’t feed the phish: how to avoid phishing attacks. Network