Desarrollo de una metodología AD HOC de gestión de riesgos informáticos basada en ISO 27005 para un hospital regional. Caso de estudio: hospital regional Lambayeque

Abstract

La investigación tuvo como propósito desarrollar una metodología basada en el estándar internacional ISO 27005 para la gestión de riesgos informáticos en el Hospital Regional de Lambayeque, siendo de tipo mixta, aplicada y técnica, con un diseño cuasi – experimental. Ante ello, se propuso una metodología de gestión de riesgos de seguridad de la información para un hospital regional peruano, con el objetivo de investigar las causas que afecta la vulnerabilidad de los principios de la información además de fortalecer el desarrollo del recurso humano impulsando la capacidad investigadora como parte de la metodología de gestión de riesgos. El método propuesto se planteó: i) Seleccionar estándares relacionados con la gestión de riesgos informáticos, ii) Caracterizar la gestión de riesgos informáticos en el caso práctico, iii) Diseñar la metodología Ad Hoc, iv) Validar con expertos el diseño, y finalmente v) Implementar la propuesta a través de un caso práctico. Como muestra de los resultados obtenidos, un 13% de la cantidad de procesos seleccionados de los estándares y/o métodos para el desarrollo de la metodología propuesta, se encuentran alineados a los procesos determinados por ISO/ IEC 27005, NIST SP 800-30 y OCTAVE-S, y con la implementación de la metodología Ad Hoc en el caso práctico; se logró identificar un total de 40 escenarios de riesgo donde se vulnera la confidencialidad de la información; de los cuales 32 escenarios de riesgo tienen relación con perfiles de amenaza de actores humanos que utilizan el acceso físico y el acceso a la red mientras que 8 escenarios de riesgo se relacionan con perfiles de amenaza relacionados con los problemas del sistema utilizado u otros problemas derivados del proceso crítico identificado en el caso de estudio.