INNOVA Research Journal 2018, Vol 3, No. 2.1, pp. 84-91
Introducción
Hoy en día, la informática se ha convertido en un factor importante en el cumplimiento de
los objetivos institucionales, los sistemas de información están basados en necesidades que son
gestionadas mediante la automatización de procesos que ayudan a la alta gerencia en la toma de
decisiones, estas se caracterizan por dotar de ventajas en dimensiones cómo la oportunidad,
confiabilidad y efectividad, respecto a la planificación, facilitan los procesos de programación y
administración, con el fin de garantizar su éxito, minimizar el riesgo y reducir costos asociados a
la gestión.
La información que se maneja tanto al interior de una institución como hacia al exterior
de la misma, está expuesta a un gran número de riesgos, los cuales tienen un impacto
considerable, que puede afectar la confidencialidad, integridad y disponibilidad de la
información. También, el principal reto está en gestionar adecuadamente los riesgos específicos
para cada entorno del negocio en particular y también entender mediante una adecuada medición,
el impacto que estos riesgos tienen sobre la organización.
Debido a esta razón, nace en las entidades públicas la necesidad de implementar nuevos
sistemas de seguridad de la información, con el objeto de fortalecer las políticas y
procedimientos de uso, estando supeditadas incluso a políticas a nivel de entes de control,
encargadas de verificar que se administren y gestionen eficientemente.
Se requiere entonces considerar, la normativa existente y que rige a las instituciones
públicas en el estado ecuatoriano, acuerdo ministerial 166 Esquema Gubernamental de Seguridad
de la Información EGSI, la misma que en el artículo 7 manifiesta que “Las entidades realizarán
una evaluación de riesgos y diseñarán e implementarán el plan de manejo de riesgos de su
institución, en base a la norma INEN ISO/IEC 27005 "Gestión del Riesgo en la Seguridad de la
Información. Porque es necesario cumplir con lo dispuesto por el organismo de control.
La aplicación de un plan estratégico, correctamente diseñado, permitió asegurar la
información en el Instituto Nacional de Meteorología e Hidrología, el mismo que se conformó
por procesos, donde se evaluó y analizó los riesgos apoyados en políticas y estándares que
satisficieron las necesidades del INAMHI en materia de seguridad.
La consecución del objetivo de la investigación se basó en el análisis de riesgos con la
norma ISO 27005:2011, misma que contiene las recomendaciones y directrices generales para la
gestión de riesgo y de esta manera facilitó la determinación de los controles y procedimientos
que permitieron mejorar significativamente la gestión del riesgo.
El proceso de gestión del riesgo de la seguridad de la información puede ser iterativo para
las actividades de valoración y tratamiento del riesgo. Un enfoque iterativo para realizar la
valoración del riesgo permite incrementar la profundidad y el detalle de la valoración en cada
iteración. El enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el
esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos altos se
valoren de manera correcta. (ISO 27005:2012)
Revista de la Universidad Internacional del Ecuador. URL: https://www.uide.edu.ec/
85