Implementación de una metodología de gestión de riesgos ad hoc basada en estándares internacionales y buenas prácticas para una empresa manufacturera peruana

Abstract

Las tecnologías de la cuarta revolución industrial motivan el crecimiento económico mundial de forma eficiente, sin embargo, este mismo crecimiento, obliga a las organizaciones a evaluar los riesgos que amenazan su estabilidad económica. Estudios relacionados con la seguridad de la información consideran que es importante conocer, analizar, evaluar y tratar eficientemente los riesgos de una organización, evitando un exceso de confianza en la gestión, permitiendo probabilidades relativas de ocurrencia entre los diferentes tipos de incidentes de seguridad incluida la seguridad cibernética. Estándares como la norma ISO/IEC 27005 proporcionan directrices para gestionar estos riesgos que apoyados en metodologías brindan un uso e implementación efectiva en la organización; pero existen estimaciones no alineadas a la realidad, sobre los ataques cibernéticos, afectando el rendimiento de los procesos y la complejidad de los mismos. El trabajo buscó establecer confianza en sus resultados, por ende se desarrolló una metodología de gestión de riesgos de seguridad basado en la metodología TARA y MAGERIT, apoyado en un marco de trabajo como RISK IT, basado en el estándar internacional ISO/IEC 27005, que ayudó a la organización a identificar activos, vulnerabilidades, contramedidas y estrategias de selección de riesgos, con el fin de elaborar un plan de tratamiento de riesgos que apoye la gestión de riesgos empresarial, manifestando un nivel de integración adecuado. Con ello las PYMEs podrán guiarse del producto de este trabajo para dar su primer paso en la seguridad de la información, así el personal no cuente con mucha experiencia en el manejo de los conceptos relacionados, debido a que posee una complejidad media en sus 4 procesos. Estos procesos se integraron en un 50% con el estándar ISO/ IEC 27005 y en un 33% en con MAGERIT, TARA y RISK IT obteniendo un rendimiento de 1.10 días hábiles en su implementación.