Marco de gestión de riesgos de tecnologías de información y comunicación en un entorno multi empresarial, basado en análisis de datos de seguridad (logs) para la empresa CasaLuker S.A

Abstract

Las organizaciones corporativas como CasaLuker, objeto del actual estudio, establecen diferentes estrategias de funcionamiento como lo es la aplicación parcial de la misma tecnología para sus operaciones diarias en función del macroproceso, lo cual es la razón de ser de una empresa. Por consiguiente, se requiere de la protección de la información como activo primordial que, por lo regular, es supervisada desde el área “Tecnología de la Información”, quien provee y parametriza herramientas tecnológicas que proporcionan registros (Logs) sobre las amenazas que afectan la seguridad de la información. Por tanto, la gestión del riesgo se convierte en un proceso de vital importancia para mitigar el posible impacto negativo generado por la materialización de un evento que ocasione un daño en los activos de la empresa, con ello se garantiza la continuidad de las operaciones de la empresa. El presente estudio abarca una revisión de la literatura acerca de los marcos metodológicos sobre la gestión del riesgo de Tecnologías de Información y Comunicación. Se elige OWASP Risk Rating por ser un modelo flexible y ligero para establecer y validar una propuesta basada en eventos de amenazas de seguridad de la información mediante los 212.690 registros (Logs) obtenidos de las herramientas tecnológicas existentes del entorno multi empresarial. De esta forma, se presentaron aportes tangibles sobre el estado actual de las amenazas detectadas como parte de los insumos en la toma de decisiones respecto al mejoramiento de la barrera de seguridad de la información (Texto tomado de la fuente)

Corporate organizations such as CasaLuker, object of the current study, stablish different operating strategies such as the partial application of the same technology for their daily operations based on their macro process, which is the reason for being of a company. Therefore, the protection of information is required as a primary asset, usually supervised from the "Information Technology" area, which provides and parameterizes technological tools that provide records (Logs) on the threats affecting information security. Therefore, risk management becomes a process of vital importance to mitigate the possible negative impact generated by the materialization of an event that causes damage to the company's assets, thereby guaranteeing the continuity of the operations of the company. This study includes a review of the literature on the methodological frameworks on the Risk management of Information and Communication Technologies. OWASP Risk Rating was chosen for being a flexible and lightweight model to establish and validate a proposal based on information security threat events through the 212,690 records (Logs) obtained from the existing technological tools of the multi-business environment. In this way, tangible information is provided on the current status of the threats detected as part of the inputs in decision-making regarding the improvement of the information security barrier