Procedimiento de gestión de riesgos del área informática de la EPM-GIDSA mediante la aplicación de normas internacionales
No Thumbnail Available
Date
2022-10-20
Journal Title
Journal ISSN
Volume Title
Publisher
Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información.
Abstract
The technological era has allowed companies to automate repetitive processes and
streamline the services provided to its users, at the same time the Information and
Communication Technologies are becoming easy targets against multiple threats,
allowing the materialization of risks and/or partial or total loss of very important assets
for any company (Castro-Maldonado & Villar-Vega, 2021).
Therefore, the purpose of this work is to develop a risk management procedure for the
IT area of the Municipal Public Company for the Integral Management of Solid Waste
of the Ambato canton, applying international standards, for which the current
theoretical basis of risk management of the IT area of the Municipal Public Company
for the Integral Management of Solid Waste of the Ambato canton will be reviewed,
the adequate risk management methodology will be identified, once the good practices
of international standards have been analyzed, and finally the procedure for risk
management of the IT area of the Municipal Public Company for the Integral
Management of Solid Waste of the Ambato canton will be elaborated.
Through the field observation of the risk management of the IT area of the Municipal
Public Company for the Integral Management of Solid Waste of the Ambato canton
and after the application of the international standard ISO 31000 and MAGERIT
methodology, a decrease in the value of the risk of Intentional Attacks from 285 to
255, the Failures and unintentional errors from 452.70 to 351.30 and the risks of
Industrial Origin from 203.55 to 146.55 was evidenced.
Thus confirming the research hypothesis that the application of the international
standard ISO 31000 and the MAGERIT V3 methodology reduced the total risk values
from 960.75 to 772.35; also considering that the main asset in any company is the
Human due to the direct activity with the information, this research emphasized the
application of controls towards the risks of type Failures and unintentional errors
resulting from the direct actions towards the company's information.
Description
La era tecnológica ha permitido a las empresas automatizar los procesos repetitivos y
agilitar los servicios brindados a sus usuarios, al mismo tiempo las Tecnologías de
Información y Comunicación están siendo blancos fáciles contra amenazas múltiples,
permitiendo la materialización de riesgos y/o perdidas parciales o totales de activos
importantísimos para cualquier empresa (Castro-Maldonado & Villar-Vega, 2021)
Por lo que el propósito de este trabajo es desarrollar un procedimiento para la gestión
de riesgos del área informática de la Empresa Pública Municipal para la Gestión
Integral de los Desechos Sólidos del cantón Ambato aplicando normas internacionales
para lo cual se revisara el fundamento teórico actual de la gestión de riesgos del área
informática de la Empresa Pública Municipal para la Gestión Integral de los Desechos
Sólidos del cantón Ambato, se identificara la metodología adecuada de gestión de
riesgos, una vez analizada las buenas prácticas de las normas internacionales y
finalmente se elaborara el procedimiento para la gestión de riesgos del área informática de la Empresa Pública Municipal para la Gestión Integral de los Desechos Sólidos del
cantón Ambato.
Mediante la observación de campo a la gestión de riesgos del área informática de la
Empresa Pública Municipal para la Gestión Integral de los Desechos Sólidos del
cantón Ambato y tras la aplicación de la norma internacional ISO 31000 y metodología
MAGERIT, se evidencio una disminución del valor del riesgo de Ataques
Intencionados de 285 a 255, los Fallos y errores no intencionados de 452.70 a 351.30
y los riesgos de Origen Industrial de 203,55 a 146,55.
Confirmando de esta manera la hipótesis de investigación de que la aplicación de la
normativa internacional ISO 31000 y la metodología MAGERIT V3 redujo los valores
de riesgo total de 960,75 a 772,35; además considerando que el activo principal en
toda empresa es el Humano debido a la actividad directa con la información, esta
investigación enfatizo la aplicación de controles hacia los riesgos de tipo Fallos y
errores no intencionados producto de las acciones directas hacia la información de la
empresa.
Keywords
ACTIVOS, SEGURIDAD, ISO 31000, MAGERIT