Evaluación de riesgos en activos de tecnologías de información en una MIPYME

Abstract

El objetivo de la tesis es evaluar los riesgos en activos de tecnologías de información en una MIPYME empleando un modelo de evaluación de riesgos basado en buenas prácticas. El tipo de investigación es descriptiva y para validar el modelo se empleó el método de juicio de expertos con el coeficiente de concordancia W de Kendall para las cuatro categorías de evaluación y la prueba Chi-cuadrado. Para lograr dicho objetivo se analizaron las buenas prácticas de gestión de riesgos en tecnologías de información con el propósito de identificar los elementos a emplear; y se obtuvo un modelo de evaluación de riesgos que emplea elementos de las metodologías MAGERIT y OCTAVE-S, así como de los estándares internacionales ISO 27005 e ISO 3100. El modelo fue validado y aplicado exitosamente en una MIPYME de transporte urbano de la provincia de Trujillo, donde se identificaron 248 riesgos vinculados a 19 activos críticos de tecnologías de información, y se elaboraron 02 planes de tratamiento de riesgos para los 06 riesgos considerados como no aceptables.