Desarrollo de un modelo de gestión de riesgos basado en la metodología MAGERIT para minimizar los riesgos de la implantación y uso de TI en una Municipalidad del Perú

Abstract

El presente trabajo tiene como objetivo, desarrollar un modelo de gestión de riesgos basado en la metodología MAGERIT para minimizar los riesgos de la implantación y uso de TI en una Municipalidad del Perú. Metodológicamente se desarrolló como una investigación de tipo cuantitativa y descriptiva, enmarcada en un diseño no experimental de corte transversal, utilizando una muestra de 201 activos que están integrados a la seguridad informática de la institución. El método propuesto se basa en la metodología MAGERIT, que se adhiere a dos (02) fases esenciales: (1) análisis y evaluación de riesgos y (2) gestión del riesgo. Como resultado del trabajo se obtuvo que los activos que están en un nivel mayor de exposición son los del tipo “persona”, correspondiente al personal de la Unidad de Tecnologías de la Información (UTI), por ser el trabajador clave en el proceso de seguridad informática; los del tipo “instalaciones”, específicamente el área inherente a la UTI, donde se acogen los equipos de transmisión de datos de la institución; y los activos inherentes del tipo “servicios”, donde soporte técnico e internet resultaron ser los de mayor impacto y riesgo. Se concluye que, a partir del proceso de diagnóstico llevado a cabo, se pudo determinar que actualmente la Municipalidad carece de medidas de control para garantizar las de la seguridad informática, aun cuando posee 204 activos por proteger, y en función de ello, no se ha concretado una cultura organizacional al respecto, mucho menos, procesos y procedimientos documentados para protección de la información.