Propuesta de implementación de una guía metodológica basado en RISK IT como estrategia para la gestión de riesgos con el fin de mejorar la eficiencia de la Dirección de Informática de la Pontificia Universidad Católica del Ecuador - PUCE

Abstract

El riesgo es la combinación de la probabilidad de que ocurra un evento riesgoso y además el resultado del mismo cuando sucede. Tiene influencia sobre los objetivos que se ha planteado la organización porque puede desviarlos de lo planificado hacia positivo o hacia negativo. El riesgo, pero también las oportunidades conviven y la gestión de ambos es una actividad estratégica clave para el éxito de la organización. Entonces, la gestión de riesgos es el proceso de identificar y aplicar medidas de control para contrarrestar los eventos riesgosos y por consiguiente proteger los activos de la organización mediante actividades aprobadas y coordinadas que lleven a la empresa a cumplir las metas propuestas. La presente tesis propone una guía para la gestión de riesgos basada en la herramienta RISK IT de ISACA, herramienta aplicada a nivel global. Para cumplir con el propósito se decidió, en primera instancia, una ruta de investigación mixta que permitió enfocar la investigación. En segundo lugar, se documentó el desarrollo del componente técnico para la presente tesis; desarrollándose una metodología específica, basada en RISK IT, para el caso de estudio sobre los activos de la Dirección de Informática de la Pontificia Universidad Católica del Ecuador (PUCE). Dentro de la guía metodológica propuesta constan los ámbitos de Gobernar el Riesgo, Evaluar el Riesgo y Responder al Riesgo y nueve procesos que van desde gobernar el riesgo, administrarlo, recopilar datos, analizar riesgos, responder a los riesgos mediante controles y recomendar estrategias para comunicarlos y expresarlos de modo que la gestión de riesgos se convierta en parte de la cultura de riesgos organizacionales.