Evaluación de riesgos en activos de tecnologías de información en una MIPYME
No Thumbnail Available
Date
2023
Authors
Journal Title
Journal ISSN
Volume Title
Publisher
Universidad Nacional de Trujillo
Abstract
El objetivo de la tesis es evaluar los riesgos en activos de tecnologías de información en una MIPYME empleando un modelo de evaluación de riesgos basado en buenas prácticas. El tipo de investigación es descriptiva y para validar el modelo se empleó el método de juicio de expertos con el coeficiente de concordancia W de Kendall para las cuatro categorías de evaluación y la prueba Chi-cuadrado. Para lograr dicho objetivo se analizaron las buenas prácticas de gestión de riesgos en tecnologías de información con el propósito de identificar los elementos a emplear; y se obtuvo un modelo de evaluación de riesgos que emplea elementos de las metodologías MAGERIT y OCTAVE-S, así como de los estándares internacionales ISO 27005 e ISO 3100. El modelo fue validado y aplicado exitosamente en una MIPYME de transporte urbano de la provincia de Trujillo, donde se identificaron 248 riesgos vinculados a 19 activos críticos de tecnologías de información, y se elaboraron 02 planes de tratamiento de riesgos para los 06 riesgos considerados como no aceptables.
Description
This research goal is evaluating the risk in the information technology assets in a MIPYME using a risk evaluation model based on good practices. The type of research is descriptive, and the proposed model was validated using the expert judgement method with the Kendall's concordance coefficient W for the four evaluation categories and the Chi-square test. To accomplish this goal, the model components were identified after a detailed analysis of good practices for the information technology risk management; and the model that uses elements of MAGERIT and OCTAVE-S together with ISO 27005 and ISO 31000. The model was validated and successfully applied to a Trujillo’s urban transportation MIPYME where were identified 248 risks associated with 19 information technology critical assets, and 02 risk treatment plans were elaborated for the 06 risks considered not acceptable.
Keywords
Evaluación de riesgos, Activos de tecnologías de información, MIPYME