Risk evaluation in information technology assets in a MIPYME

Authors

  • Liz Sofia Raymunda Pedro Huaman Facultad de Ciencias Físicas y Matemáticas, Universidad Nacional de Trujillo, Av. Juan Pablo II s/n – Ciudad Universitaria, Trujillo, Perú
  • Francisco Elías Rodríguez Novoa Facultad de Ingeniería, Universidad Nacional de Trujillo, Av. Juan Pablo II s/n – Ciudad Universitaria, Trujillo, Per

Keywords:

Risk evaluation, information technology assets, MiPyme

Abstract

This research goal was evaluating the risk in the information technology assets in a MiPyme using an evaluation model based on good practices. The research is descriptive, and the proposed model was validated using the expert judgement method with the Kendall's concordance coefficient W and the Chi-square test. As a result, we proposed an information technology asset risk evaluation model using components of the methodologies MAGERIT and OCTAVE-S, and the international standards ISO 27005 and ISO 31000. The model was validated and successfully applied to an urban transportation MiPyme of Trujillo province, there were identified 19 critical assets which allowed to identify 248 potential asset risks of which 06 are not acceptable, for which 02 risk treatment plans were proposed.

References

Ab Rahman, N.; Choo, K. 2015. A survey of information security incident handling in the cloud. Computers and Security. 49:45-69

Astuti, H.; Muqtadiroh, F.; Tyas Darmaningrat, E.; Putri, C. 2017. Risks Assessment of Information Tech-nology Processes Based on COBIT 5 Framework: A Case Study of ITS Service Desk. Procedia Computer Science. 124:569-576

Barafort, B.; Mesquida, A; Mas, A. 2017. Integrating risk management in IT settings from ISO standards and management systems perspectives. Computer Standards & Interfaces. 54:176-185.

Barros, M.; Salles, C.; Gomes, C.; Silva, R.; Costa, H. 2015. Mapping of the Scientific Production on the ITIL Application Published in the National and International Literature. Procedia Computer Science. 55: 102-111.

Bennett, J. 2007. Business continuity and availability planning. Infosecurity. 4(3):38.

Carnegie Mellon. 2005. OCTAVE-S Implementation Guide, Version 1. Disponible en: https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=6795

CEPAL. 2016. Estudio Económico de América Latina y el Caribe La Agenda 2030 para el Desarrollo Soste-nible y los desafíos del financiamiento para el desarrollo. Naciones Unidas. Disponible en: https://repositorio.cepal.org/bitstream/handle/11362/40326/86/S1600799_es.pdf

Cruz-Hinojosa, N.; Gutiérrez-de-Mesa, J. 2016. Literature review of the situation research faces in the appli-cation of ITIL in Small and Medium Enterprises. Computer Standards & Interfaces. 48:124-138.

Escobar-Pérez, J.; Cuervo-Martínez, Á. 2008. Validez De Contenido Y Juicio De Expertos: Una. Avances en Medición. 6:27-36.

Espinosa, D.; Martínez, J.; Amador, S. 2014. Gestión del riesgo en la seguridad de la información con base en la Norma ISO/IEC 27005 de 2011, proponiendo una adaptación de la Metodología OCTAVE-S. Ca-so de estudio: proceso de inscripciones y admisiones en la división de admisión registro y control AC. Re-vista de Ingenierías USBmed. 5(2):33.

Gobierno de España. 2012a. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I- Método. Ministerio de Hacienda y Administraciones Públicas. 127pp.

Gobierno de España. 2012b. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro II - Catálogo de Elementos. 75pp.

Gobierno de España. 2012c. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro III- Guía de Técnicas. 42 pp.

Heidenreich, M. 2017. How to design a method for measuring IT security in micro enterprises for IT security level measuring? A literature analysis. 2017 Communication and Information Technologies (KIT). 1-9.

ISO. 2018. ISO/IEC 27005:2018 - Information technology -- Security techniques -- Information security risk management. 56 pp.

Lagazio, M.; Sherif, N.; Cushman, M. 2014. A multi-level approach to understanding the impact of cyber crime on the financial sector. Computers & Security. 45:58-74.

Mesquida, A.; Mas, A. 2015. Integrating IT service management requirements into the organizational man-agement system. Computer Standards & Interfaces.37:80-91.

Ministerio de Producción. 2018. MiPyme en cifras. Disponible en: http://ogeiee.produce.gob.pe/images/oee/Mipyme-en-cifras-2016.pdf

Moscoso, L.; Peña, E.; Soto, M. 2018. Modelo de gestión de riesgos de TI que contribuye a la operación de los procesos de gestión comercial de las empresas del sector de saneamiento del norte del Perú. Tesis para optar al grado de Maestro. Universidad Católica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/bitstream/20.500.12423/1409/1/TM_SotoCastrillonMariadelCarmen_PenaNuñezEdgard_MoscosoAnayaLissette.pdf

Ponce, F.; Zevallos, E. 2017. La innovación en la micro y la pequeña empresa (MYPE): no solo factible, sino accesible. Revista de Ciencias de la Gestión. 2(2):48-68.

Sánchez, L.; Ruiz, C.; Fernández Medina, E.; Piattini, M. 2010. Managing the Asset Risk of SMEs. 2010 International Conference on Availability, Reliability and Security. 422-429.

Suroso, J.; Fakhrozi, M. 2018. Assessment of Information System Risk Management with Octave Allegro at Education Institution. Procedia Computer Science. 135:202-213.

Tøndel, I.; Line, M.; Jaatun, M. 2014. Information security incident management: Current practice as re-ported in the literature. Computers & Security. 45:42-57.

Vásquez, F.; Alva, J. 2018. Modelo de gestión de riesgos de TI para contribuir en la continuidad del negocio de las microfinancieras de la región Lambayeque Tesis para optar al grado de Maestro. Universidad Ca-tólica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/handle/usat/1373

Wickboldt, J.; Bianchin, L.; Lunardi, R.; Granville, L.; Gaspary, L.; Bartolini, C. 2011. A framework for risk assessment based on analysis of historical information of workflow execution in IT systems. Computer Networks. 55(13):2954-2975.

Downloads

Published

2022-09-30

How to Cite

Pedro Huaman, L. S. R., & Rodríguez Novoa, F. E. (2022). Risk evaluation in information technology assets in a MIPYME. Revista CIENCIA Y TECNOLOGÍA, 18(3), 71-78. Retrieved from https://revistas.unitru.edu.pe/index.php/PGM/article/view/4806

Issue

Vol. 18 No. 3 (2022): Julio-Setiembre

Section

Artículos Originales

License

Los autores/as que publiquen en esta revista aceptan las siguientes condiciones:

  1. Los autores/as conservan los derechos de autor y ceden a la revista el derecho de la primera publicación, con el trabajo registrado con la licencia de atribución de Creative Commons, que permite a terceros utilizar lo publicado siempre que mencionen la autoría del trabajo y a la primera publicación en esta revista.

  2. Los autores/as pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.

  3. Se permite y recomienda a los autores/as a publicar su trabajo en Internet (por ejemplo en páginas institucionales o personales) antes y durante el proceso de revisión y publicación, ya que puede conducir a intercambios productivos y a una mayor y más rápida difusión del trabajo publicado