MODELO INTEGRADO DE GESTIÓN DE RIESGOS DE SEGURIDAD EN LOS DEPARTAMENTOS DE TIC.
Loading...
Date
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Abstract
In the present work the rules that constitute the basis for the development of a management model were analyzed,
selecting the most suitable ones according to their characteristics of adaptability in the Departments of Information
and Communication Technologies (ICT), applicable to any public organization or Private. For the review of the
information, the most relevant aspects were considered regarding the general processes that correspond to the ITIL,
ISO 9001, 31000, 27005, 17799, COBIT standards. Among the analyzed parts obtained from the revision of
bibliographic sources are: the scope, the organizational context, the support and the improvement for the
organization. Once the advantages provided by the regulations analyzed were established, the most relevant norms
and characteristics were chosen for the elaboration of the risk management model and its validation. As a result,
the ISO 9001, 27005 and 31000 standards presented adaptable and applicable characteristics to an integrated risk
management model, which is in line with the requirements of ICT, as well as the processes and information assets
related to them; Additionally, the model was applied to the Attorney General of El Oro with the purpose of
validating the same. In the analysis it was determined that the organization has a level of compliance of the
proposed model of 59%. The results of the application of this standard depended on the organization in which the
company is run. It can be verified that one of the most important parts for the proper management of the security
risks is the periodic and documented revisions that contemplate the appropriate means of internal communication
Description
En el presente trabajo se analizaron las normas que constituyen la base para el desarrollo de un modelo de gestión,
seleccionando las más idóneas según sus características de adaptabilidad en los departamentos de Tecnologías de la
Información y Comunicación (TIC), aplicable a cualquier organización pública o privada. Para la revisión de la
información, se consideraron los aspectos más relevantes en cuanto a los procesos generales que competen a las
normativas ITIL, ISO 9001, 31000, 27005, 17799, COBIT. Entre las partes analizadas obtenidas de la revisión de fuentes
bibliográficas se encuentran: el alcance, el contexto organizacional, el soporte y la mejora para la organización. Una vez
establecidas las ventajas que proporcionan las normativas analizadas, se escogieron las normas y características más
relevantes para la elaboración del modelo de gestión de riesgos y su validación. Como resultado se obtuvo que las
normativas ISO 9001, 27005 y 31000 presentaron características adaptables y aplicables a un modelo integrado de gestión
de riesgos, que se ajusta a los requerimientos de las TIC, así como los procesos y activos de la información relacionados
con ellas; adicionalmente se aplicó el modelo a la Fiscalía General de El Oro con la finalidad de validar el mismo. En el
análisis se determinó que la organización tiene un nivel de cumplimiento del modelo propuesto de un 59%. Los resultados
de la aplicación de esta norma dependieron de la organización en la que se ejecuta la empresa. Se puede constatar que una
de las partes más importantes para la adecuada gestión de los riesgos de seguridad, la constituyen las revisiones periódicas
y documentadas que contemplen los apropiados medios de comunicación interna.