Análisis comparativo de metodologías de gestión de riesgos de tecnologías de la Información en el marco de la NTP - ISO/IEC 27001:2014

Abstract

Mediante Resolución n.o 004-2016-PCM, el Estado Peruano aprobó el uso obligatorio de la Norma Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a. Edición”, en todas las entidades integrantes del sistema nacional de informática, con el objetivo de minimizar los riesgos en caso de sufrir algún tipo de incidente en los recursos informáticos del Estado, pero ésta no especifica la metodología de gestión de riesgos a utilizar; en ese sentido, al no tener en claro que metodología de gestión de riesgos de tecnologías de información se encuentra relacionada con la NTP ISO/IEC 27001:2014, podría generar deficiencias significativas en la gestión de riesgos, y podría estar incidiendo en las entidades y en efecto, no estar invirtiendo correctamente los recursos del estado peruano. El objetivo de la investigación fue determinar una metodología de gestión de riesgos de tecnología de información que mejor se relacione con la Norma Técnica Peruana NTP - ISO/IEC 27001:2014. El tipo de investigación fue de nivel cualitativo, bajo el diseño de teoría fundamentada de tipo emergente. La evidencia fue la documentación oficial de la Norma Técnica Peruana NTP - ISO/IEC 27001:2014, revisión de las metodologías de gestión de riegos de TI y el Método de Estudio de Similitudes entre modelos y Estándares (MSSS). Se adaptó el Método de Estudio de Similitudes entre Modelos y Estándares (MSSS) que incluyó definir criterios de selección, seleccionar metodologías, elegir estándares de referencia, identificar características, establecer nivel de detalle, definir xv plantillas de comparación, identificar similitudes, sistematizar información y determinar el grado de similitud. En ese sentido, se determinó que la metodología Magerit V3, es la metodología de gestión de riesgos de tecnologías de información que más se relaciona con la Norma Técnica Peruana NTP-ISO/IEC 27001:2014, al presentar un 96% de similitud. Asimismo, se estableció que la metodología Magerit V3 se constituye en una metodología de madurez en la Gestión de riesgos de tecnologías de información para instituciones estatales.