Evaluación de riesgos en activos de tecnologías de información en una MIPYME

Autores/as

  • Liz Sofia Raymunda Pedro Huaman Facultad de Ciencias Físicas y Matemáticas, Universidad Nacional de Trujillo, Av. Juan Pablo II s/n – Ciudad Universitaria, Trujillo, Perú
  • Francisco Elías Rodríguez Novoa Facultad de Ingeniería, Universidad Nacional de Trujillo, Av. Juan Pablo II s/n – Ciudad Universitaria, Trujillo, Per

Palabras clave:

Evaluación de riesgos, activos de tecnologías de información, MiPyme

Resumen

Esta investigación tuvo como objetivo evaluar los riesgos en activos de tecnologías de información en una MiPyme empleando un modelo de evaluación basado en buenas prácticas. El tipo de investigación es descriptiva, y para validar el modelo se empleó el método de juicio de expertos junto coeficiente de concordancia W de Kendall y la prueba Chi-cuadrado. Como resultado, se obtuvo un modelo de evaluación de riesgos que emplea elementos de las metodologías MAGERIT y OCTAVE-S, así como de los estándares internacionales ISO 27005 e ISO 3100. El modelo fue validado y aplicado exitosamente en una MiPyme de transporte urbano de la provincia de Trujillo, donde se identificaron 19 activos críticos; los cuales permitieron identificar 248 riesgos en activos de tecnologías de información, siendo 06 de ellos no aceptables para los cuales se elaboraron 02 planes de tratamiento de riesgos.

Citas

Ab Rahman, N.; Choo, K. 2015. A survey of information security incident handling in the cloud. Computers and Security. 49:45-69

Astuti, H.; Muqtadiroh, F.; Tyas Darmaningrat, E.; Putri, C. 2017. Risks Assessment of Information Tech-nology Processes Based on COBIT 5 Framework: A Case Study of ITS Service Desk. Procedia Computer Science. 124:569-576

Barafort, B.; Mesquida, A; Mas, A. 2017. Integrating risk management in IT settings from ISO standards and management systems perspectives. Computer Standards & Interfaces. 54:176-185.

Barros, M.; Salles, C.; Gomes, C.; Silva, R.; Costa, H. 2015. Mapping of the Scientific Production on the ITIL Application Published in the National and International Literature. Procedia Computer Science. 55: 102-111.

Bennett, J. 2007. Business continuity and availability planning. Infosecurity. 4(3):38.

Carnegie Mellon. 2005. OCTAVE-S Implementation Guide, Version 1. Disponible en: https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=6795

CEPAL. 2016. Estudio Económico de América Latina y el Caribe La Agenda 2030 para el Desarrollo Soste-nible y los desafíos del financiamiento para el desarrollo. Naciones Unidas. Disponible en: https://repositorio.cepal.org/bitstream/handle/11362/40326/86/S1600799_es.pdf

Cruz-Hinojosa, N.; Gutiérrez-de-Mesa, J. 2016. Literature review of the situation research faces in the appli-cation of ITIL in Small and Medium Enterprises. Computer Standards & Interfaces. 48:124-138.

Escobar-Pérez, J.; Cuervo-Martínez, Á. 2008. Validez De Contenido Y Juicio De Expertos: Una. Avances en Medición. 6:27-36.

Espinosa, D.; Martínez, J.; Amador, S. 2014. Gestión del riesgo en la seguridad de la información con base en la Norma ISO/IEC 27005 de 2011, proponiendo una adaptación de la Metodología OCTAVE-S. Ca-so de estudio: proceso de inscripciones y admisiones en la división de admisión registro y control AC. Re-vista de Ingenierías USBmed. 5(2):33.

Gobierno de España. 2012a. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I- Método. Ministerio de Hacienda y Administraciones Públicas. 127pp.

Gobierno de España. 2012b. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro II - Catálogo de Elementos. 75pp.

Gobierno de España. 2012c. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro III- Guía de Técnicas. 42 pp.

Heidenreich, M. 2017. How to design a method for measuring IT security in micro enterprises for IT security level measuring? A literature analysis. 2017 Communication and Information Technologies (KIT). 1-9.

ISO. 2018. ISO/IEC 27005:2018 - Information technology -- Security techniques -- Information security risk management. 56 pp.

Lagazio, M.; Sherif, N.; Cushman, M. 2014. A multi-level approach to understanding the impact of cyber crime on the financial sector. Computers & Security. 45:58-74.

Mesquida, A.; Mas, A. 2015. Integrating IT service management requirements into the organizational man-agement system. Computer Standards & Interfaces.37:80-91.

Ministerio de Producción. 2018. MiPyme en cifras. Disponible en: http://ogeiee.produce.gob.pe/images/oee/Mipyme-en-cifras-2016.pdf

Moscoso, L.; Peña, E.; Soto, M. 2018. Modelo de gestión de riesgos de TI que contribuye a la operación de los procesos de gestión comercial de las empresas del sector de saneamiento del norte del Perú. Tesis para optar al grado de Maestro. Universidad Católica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/bitstream/20.500.12423/1409/1/TM_SotoCastrillonMariadelCarmen_PenaNuñezEdgard_MoscosoAnayaLissette.pdf

Ponce, F.; Zevallos, E. 2017. La innovación en la micro y la pequeña empresa (MYPE): no solo factible, sino accesible. Revista de Ciencias de la Gestión. 2(2):48-68.

Sánchez, L.; Ruiz, C.; Fernández Medina, E.; Piattini, M. 2010. Managing the Asset Risk of SMEs. 2010 International Conference on Availability, Reliability and Security. 422-429.

Suroso, J.; Fakhrozi, M. 2018. Assessment of Information System Risk Management with Octave Allegro at Education Institution. Procedia Computer Science. 135:202-213.

Tøndel, I.; Line, M.; Jaatun, M. 2014. Information security incident management: Current practice as re-ported in the literature. Computers & Security. 45:42-57.

Vásquez, F.; Alva, J. 2018. Modelo de gestión de riesgos de TI para contribuir en la continuidad del negocio de las microfinancieras de la región Lambayeque Tesis para optar al grado de Maestro. Universidad Ca-tólica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/handle/usat/1373

Wickboldt, J.; Bianchin, L.; Lunardi, R.; Granville, L.; Gaspary, L.; Bartolini, C. 2011. A framework for risk assessment based on analysis of historical information of workflow execution in IT systems. Computer Networks. 55(13):2954-2975.

Descargas

Publicado

2022-09-30

Número

Sección

Artículos Originales