Modelo de gestión de riesgos de TI de acuerdo con las exigencias de las SBS, basados en las ISO/IEC 27001, ISO/IEC 17799, Magerit para la Caja de Ahorro y Créditos Sipán SA

Abstract

La gestión de los riesgos de TI, conjuntamente con la gestión de la continuidad de los procesos del negocio, se constituye en “herramientas” estratégicas para asegurar la efectividad y la eficacia de los sistemas de gestión de la seguridad de la información en una organización; así como en mecanismo esencial para obtener la información necesaria en la toma de decisiones relacionada con la inversión oportuna y adecuada en la implementación de los controles de TI. La falta de una metodología y de un software adecuado que de soporte a la gestión de riesgos de TI en entidades financieras de nuestro medio, no solo a través de “buenas prácticas”, si no también que se ajusten a las exigencias de la Superintendencia de Banca y Seguro en sus normativas Resolución S.B.S N° 2116 -2009 - Reglamento para la Gestión del Riesgo Operacional y Circular Nº G-105-2002 - Riesgos de tecnología de información, constituye la justificación del presente trabajo de tesis. Con esta investigación se demostró que con un modelo de gestión de riesgos implementado, tomando como referencia a los estándares ISO/IEC 27001, ISO 17799 y la metodología MagerIT, se puede lograr mayor efectividad en el cálculo de los niveles de riesgos de los diferentes activos de TI en la etapa de evaluación de los riesgos; así como también en el tratamiento de éstos, a través de la implantación y seguimiento de los controles, siempre en concordancia y en cumplimiento con los requerimientos mínimos de la SBS para estos fines. Para ello se tomó como caso experimental, la CRAC Sipán SAC.