Evaluación de riesgos en activos de tecnologías de información en una MIPYME
Palabras clave:
Evaluación de riesgos, activos de tecnologías de información, MiPymeResumen
Esta investigación tuvo como objetivo evaluar los riesgos en activos de tecnologías de información en una MiPyme empleando un modelo de evaluación basado en buenas prácticas. El tipo de investigación es descriptiva, y para validar el modelo se empleó el método de juicio de expertos junto coeficiente de concordancia W de Kendall y la prueba Chi-cuadrado. Como resultado, se obtuvo un modelo de evaluación de riesgos que emplea elementos de las metodologías MAGERIT y OCTAVE-S, así como de los estándares internacionales ISO 27005 e ISO 3100. El modelo fue validado y aplicado exitosamente en una MiPyme de transporte urbano de la provincia de Trujillo, donde se identificaron 19 activos críticos; los cuales permitieron identificar 248 riesgos en activos de tecnologías de información, siendo 06 de ellos no aceptables para los cuales se elaboraron 02 planes de tratamiento de riesgos.
Citas
Ab Rahman, N.; Choo, K. 2015. A survey of information security incident handling in the cloud. Computers and Security. 49:45-69
Astuti, H.; Muqtadiroh, F.; Tyas Darmaningrat, E.; Putri, C. 2017. Risks Assessment of Information Tech-nology Processes Based on COBIT 5 Framework: A Case Study of ITS Service Desk. Procedia Computer Science. 124:569-576
Barafort, B.; Mesquida, A; Mas, A. 2017. Integrating risk management in IT settings from ISO standards and management systems perspectives. Computer Standards & Interfaces. 54:176-185.
Barros, M.; Salles, C.; Gomes, C.; Silva, R.; Costa, H. 2015. Mapping of the Scientific Production on the ITIL Application Published in the National and International Literature. Procedia Computer Science. 55: 102-111.
Bennett, J. 2007. Business continuity and availability planning. Infosecurity. 4(3):38.
Carnegie Mellon. 2005. OCTAVE-S Implementation Guide, Version 1. Disponible en: https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=6795
CEPAL. 2016. Estudio Económico de América Latina y el Caribe La Agenda 2030 para el Desarrollo Soste-nible y los desafíos del financiamiento para el desarrollo. Naciones Unidas. Disponible en: https://repositorio.cepal.org/bitstream/handle/11362/40326/86/S1600799_es.pdf
Cruz-Hinojosa, N.; Gutiérrez-de-Mesa, J. 2016. Literature review of the situation research faces in the appli-cation of ITIL in Small and Medium Enterprises. Computer Standards & Interfaces. 48:124-138.
Escobar-Pérez, J.; Cuervo-Martínez, Á. 2008. Validez De Contenido Y Juicio De Expertos: Una. Avances en Medición. 6:27-36.
Espinosa, D.; Martínez, J.; Amador, S. 2014. Gestión del riesgo en la seguridad de la información con base en la Norma ISO/IEC 27005 de 2011, proponiendo una adaptación de la Metodología OCTAVE-S. Ca-so de estudio: proceso de inscripciones y admisiones en la división de admisión registro y control AC. Re-vista de Ingenierías USBmed. 5(2):33.
Gobierno de España. 2012a. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I- Método. Ministerio de Hacienda y Administraciones Públicas. 127pp.
Gobierno de España. 2012b. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro II - Catálogo de Elementos. 75pp.
Gobierno de España. 2012c. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro III- Guía de Técnicas. 42 pp.
Heidenreich, M. 2017. How to design a method for measuring IT security in micro enterprises for IT security level measuring? A literature analysis. 2017 Communication and Information Technologies (KIT). 1-9.
ISO. 2018. ISO/IEC 27005:2018 - Information technology -- Security techniques -- Information security risk management. 56 pp.
Lagazio, M.; Sherif, N.; Cushman, M. 2014. A multi-level approach to understanding the impact of cyber crime on the financial sector. Computers & Security. 45:58-74.
Mesquida, A.; Mas, A. 2015. Integrating IT service management requirements into the organizational man-agement system. Computer Standards & Interfaces.37:80-91.
Ministerio de Producción. 2018. MiPyme en cifras. Disponible en: http://ogeiee.produce.gob.pe/images/oee/Mipyme-en-cifras-2016.pdf
Moscoso, L.; Peña, E.; Soto, M. 2018. Modelo de gestión de riesgos de TI que contribuye a la operación de los procesos de gestión comercial de las empresas del sector de saneamiento del norte del Perú. Tesis para optar al grado de Maestro. Universidad Católica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/bitstream/20.500.12423/1409/1/TM_SotoCastrillonMariadelCarmen_PenaNuñezEdgard_MoscosoAnayaLissette.pdf
Ponce, F.; Zevallos, E. 2017. La innovación en la micro y la pequeña empresa (MYPE): no solo factible, sino accesible. Revista de Ciencias de la Gestión. 2(2):48-68.
Sánchez, L.; Ruiz, C.; Fernández Medina, E.; Piattini, M. 2010. Managing the Asset Risk of SMEs. 2010 International Conference on Availability, Reliability and Security. 422-429.
Suroso, J.; Fakhrozi, M. 2018. Assessment of Information System Risk Management with Octave Allegro at Education Institution. Procedia Computer Science. 135:202-213.
Tøndel, I.; Line, M.; Jaatun, M. 2014. Information security incident management: Current practice as re-ported in the literature. Computers & Security. 45:42-57.
Vásquez, F.; Alva, J. 2018. Modelo de gestión de riesgos de TI para contribuir en la continuidad del negocio de las microfinancieras de la región Lambayeque Tesis para optar al grado de Maestro. Universidad Ca-tólica Santo Toribio de Mogrovejo. Disponible en: http://tesis.usat.edu.pe/handle/usat/1373
Wickboldt, J.; Bianchin, L.; Lunardi, R.; Granville, L.; Gaspary, L.; Bartolini, C. 2011. A framework for risk assessment based on analysis of historical information of workflow execution in IT systems. Computer Networks. 55(13):2954-2975.
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Los autores/as que publiquen en esta revista aceptan las siguientes condiciones:
- Los autores/as conservan los derechos de autor y ceden a la revista el derecho de la primera publicación, con el trabajo registrado con la licencia de atribución de Creative Commons, que permite a terceros utilizar lo publicado siempre que mencionen la autoría del trabajo y a la primera publicación en esta revista.
- Los autores/as pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
- Se permite y recomienda a los autores/as a publicar su trabajo en Internet (por ejemplo en páginas institucionales o personales) antes y durante el proceso de revisión y publicación, ya que puede conducir a intercambios productivos y a una mayor y más rápida difusión del trabajo publicado