MODELO INTEGRADO DE GESTIÓN DE RIESGOS DE SEGURIDAD EN LOS DEPARTAMENTOS DE TIC.

Thumbnail Image

Files

Artículo UEES Cristhian Yuri Romero Romero.pdf (996.87 KB)

Date

2017-04

Authors

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

In the present work the rules that constitute the basis for the development of a management model were analyzed, selecting the most suitable ones according to their characteristics of adaptability in the Departments of Information and Communication Technologies (ICT), applicable to any public organization or Private. For the review of the information, the most relevant aspects were considered regarding the general processes that correspond to the ITIL, ISO 9001, 31000, 27005, 17799, COBIT standards. Among the analyzed parts obtained from the revision of bibliographic sources are: the scope, the organizational context, the support and the improvement for the organization. Once the advantages provided by the regulations analyzed were established, the most relevant norms and characteristics were chosen for the elaboration of the risk management model and its validation. As a result, the ISO 9001, 27005 and 31000 standards presented adaptable and applicable characteristics to an integrated risk management model, which is in line with the requirements of ICT, as well as the processes and information assets related to them; Additionally, the model was applied to the Attorney General of El Oro with the purpose of validating the same. In the analysis it was determined that the organization has a level of compliance of the proposed model of 59%. The results of the application of this standard depended on the organization in which the company is run. It can be verified that one of the most important parts for the proper management of the security risks is the periodic and documented revisions that contemplate the appropriate means of internal communication

Description

En el presente trabajo se analizaron las normas que constituyen la base para el desarrollo de un modelo de gestión, seleccionando las más idóneas según sus características de adaptabilidad en los departamentos de Tecnologías de la Información y Comunicación (TIC), aplicable a cualquier organización pública o privada. Para la revisión de la información, se consideraron los aspectos más relevantes en cuanto a los procesos generales que competen a las normativas ITIL, ISO 9001, 31000, 27005, 17799, COBIT. Entre las partes analizadas obtenidas de la revisión de fuentes bibliográficas se encuentran: el alcance, el contexto organizacional, el soporte y la mejora para la organización. Una vez establecidas las ventajas que proporcionan las normativas analizadas, se escogieron las normas y características más relevantes para la elaboración del modelo de gestión de riesgos y su validación. Como resultado se obtuvo que las normativas ISO 9001, 27005 y 31000 presentaron características adaptables y aplicables a un modelo integrado de gestión de riesgos, que se ajusta a los requerimientos de las TIC, así como los procesos y activos de la información relacionados con ellas; adicionalmente se aplicó el modelo a la Fiscalía General de El Oro con la finalidad de validar el mismo. En el análisis se determinó que la organización tiene un nivel de cumplimiento del modelo propuesto de un 59%. Los resultados de la aplicación de esta norma dependieron de la organización en la que se ejecuta la empresa. Se puede constatar que una de las partes más importantes para la adecuada gestión de los riesgos de seguridad, la constituyen las revisiones periódicas y documentadas que contemplen los apropiados medios de comunicación interna.

Keywords

ISO, Modelo de Gestión, Seguridad de la Información, Riesgos.

Citation

URI

http://repositorio.uees.edu.ec/123456789/1440

Collections

POSTGRADO EN AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN