Desarrollo de un modelo de gestión de riesgos basado en la metodología magerit para minimizar los riesgos de adquisición y uso de ti en una municipalidad de Perú. Caso de estudio: municipalidad distrital de Cuspinique - Cajamarca

Abstract

En Perú, existe la oficina de Secretaría de Gobierno Digital, responsable de establecer directrices estatales sobre innovación tecnológica y transformación digital en la administración pública; las entidades como las municipalidades distritales, reciben a través del Gobierno Regional la orden de cumplimiento obligatorio de estas directrices, como, implementación obligatoria de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la NTP ISO 27001. Sin embargo, en la Municipalidad de Cupisnique Cajamarca, no cuenta con una guía de implementación de gestión de riesgos de seguridad para la adquisición y uso de las TI que opera, considerando que dicha gestión es parte de las exigencias de la NTP ISO 27001. La metodología desarrollada está basada en la metodología MAGERIT, caracterizando los activos, las amenazas y las salvaguardas a través de catálogos de MAGERIT, estimando los riesgos utilizando escalas cualitativas como Muy alto, Alto, Medio, Bajo y Muy bajo, dentro del alcance de adquisición y uso de TI con la norma ISO 26512, finalmente se trataron los riesgos aplicando controles de la norma ISO 27002, comunicando satisfactoriamente su resultados a la alta gerencia según exigencias de ISO 27005. El modelo construido fue evaluado por expertos en seguridad de la información (SI), aplicando la técnica Delphi.