Modelo de gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología Magerit para mejorar la gestión de seguridad de la información en la Universidad Nacional Toribio Rodríguez de Mendoza – Chachapoyas Perú.

Abstract

Uno de los aspectos más críticos de la administración de una organización es la gestión de sus activos que generan valor a los procesos del negocio. La información, puede considerarse como uno de los activos más críticos que hay que proteger, porque su disponibilidad e integridad, no solo se utiliza como insumo para la toma de decisiones, si no también asegura la continuidad de los procesos. La gestión de la información no solo implica incorporar tecnologías que le den soporte a su captura, almacenamiento, procesamiento y comunicación; si no también se debe implementar procesos y sistemas que gestionen este recurso para lograr su seguridad. La implementación de sistemas de gestión de la seguridad de la información (SGSI) permite que ésta logre niveles aceptables de confidencialidad, integridad y disponibilidad. Un proceso de implementación de un SGSI, metodológicamente hablando, implica una serie de actividades y tareas, que van desde la planificación de su alcance hasta la planificación de los planes de mejora continua. Sin embargo, el aspecto más crítico que debe considerarse en la implementación de un SGSI es la gestión de los riesgos. La gestión de los riesgos es una estrategia preventiva que permite identificar y evaluar los diferentes escenarios de riesgo a los que está expuesta la información, en sus diferentes formas de expresión, y las tecnologías que le dan soporte a lo largo de su ciclo de vida. Con esta información, se podrá implantar los controles y salvaguardas necesarias para la mitigación de aquellos niveles de exposición al riesgo que la organización considere no aceptables. El propósito de este trabajo de investigación se centró en el desarrollo de un Modelo de gestión de riesgos de TI basados en la norma ISO/IEC 27005 y metodología Magerit para mejorar la gestión de seguridad de la información en la Universidad Nacional Toribio Rodríguez de Mendoza (UNTRM) – Chachapoyas Perú. Esta propuesta permitió el aumento significativo de la satisfacción de los usuarios de TI en relación a la gestión de los servicios de TI en la UNTRM, que garantiza que los riesgos de TI sean conocidos, asumidos, gestionados y minimizados de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptable ante los cambios que se produzcan en los riesgos, el entorno y las tecnologías.