Propuesta metodológica de gestión de riesgos de Tecnología de Información y Comunicación (TIC) para entidades públicas conforme normativa NTE INEN ISO/IEC 27005

Abstract

En el Ecuador, la Secretaría Nacional de Administración Pública determinó la implementación de la norma ISO/IEC 27001:2005, en respuesta a los continuos ataques y delitos informáticos presentados. Sin embargo, la normativa solo establece directrices para la gestión de riesgo en la seguridad de la información, mas no una guía paso a paso de cómo llevar a cabo un análisis y evaluación de riesgo. Debido a lo anterior, se establece en el presente trabajo elaborar una guía metodológica práctica para la gestión de riesgo de TIC en entidades del sector público conforme normativa NTE INEN ISO/IEC 27005 para mejorar la administración de la seguridad de la información. Para lograr el objetivo fue necesario conocer la normativa ISO/IEC 27005 y determinar el nivel con el cual se administran los riesgos tecnológicos en entidades públicas, por lo cual se realizó un estudio cuali-cuantitativo de alcance descriptivo y se consideró un muestreo no probabilístico. Se aplicó la técnica encuesta, a través de un cuestionario a 18 jefes de área de tecnología de las entidades públicas ubicadas en la ciudad de Esmeraldas. Obteniendo principalmente que, a pesar de la incorporación de la normativa internacional es todavía complejo el proceso debido a que los estándares fueron creados para empresas desarrolladas en otro contexto. En respuesta, se propone la guía detallada en la cual se desarrolla cada etapa con su conjunto de actividades, y su aplicación en una entidad del sector público con la finalidad de validar cada una de las etapas previamente definidas.