Evaluación de riesgo de seguridad de información según ISO 27005, OGITT – Instituto Nacional de Salud

Abstract

El proceso de realizar una evaluación de riesgos de seguridad de la información tiene como objetivo mitigar los niveles de riesgos ante una materialización de amenazas que pueden afectar a los activos de información relevantes y por ende a los procesos de una organización. No obstante, no todo control de seguridad tiene cien por ciento seguro, encontramos vulnerabilidades abiertas que pueden ser explotadas malintencionadamente cuando no se tiene claro cuales son esas debilidades. Es importante que el objetivo de este trabajo de investigación describa claramente los tres componentes importantes para gestionar los riesgos, entender bien el procedimiento de evaluación de riesgos que conlleva a una identificación de riesgos, análisis de riesgos y valoración de riesgos. Los componentes están asociados a una metodología que me va a permitir saber cuáles son las fases. Esta metodología está basada en activos, amenazas, vulnerabilidades, riesgos bajo la norma técnica NTP-ISO/IEC 27005 versión 2018. El tipo de investigación es básica de nivel descriptivo, es decir, me va a permitir describir las fases de la realización descriptiva aplicadas en las áreas de la Oficina General de Investigación y Transferencia Tecnológica – OGITT. Los resultados mas importantes obtenidos en el trabajo de investigación fueron la identificación de los niveles de riesgos de la información de cada área de la OGITT, saber la cantidad de riesgos de nivel Muy Crítico y Crítico están expuestos y que grado de impacto económico, legal, jurídico, financiero o de imagen podría ocurrir sino aplico una metodología de gestión de riesgos de seguridad de la información. Concluyo con una determinación muy importante y es saber cuáles son los riesgos prioritarios y debe saber el representante legal de la institución para la toma de decisiones futuras aplicando estrategias de seguridad e implementación de controles necesarios.