Modelo de gestión de riesgos de tecnologías de la información como apoyo en la continuidad del negocio en una empresa que brinda software como servicio

Abstract

Organizaciones a nivel mundial llevan a cabo sus operaciones mediante el uso de sistemas Web bajo la modalidad de suscripción. A esto se denomina Software como Servicio (Software As a Service, SaaS) y su uso se ha extendido y diversificado. Internet, el medio utilizado por las empresas que proveen estos servicios, ha evolucionado, facilitando la vida de las personas y organizaciones, pero es también uno de los entornos más expuestos a ataques y eventos de riesgo. La gestión de riesgos es un proceso que permite a las organizaciones planificar la forma en que un evento adverso es afrontado, reduciendo así su impacto. El proceso es vital, por lo que este estudio presenta un Modelo de Gestión de Riesgos de Tecnologías de la Información que esté ajustado a las necesidades de empresas que brindan SaaS. El modelo contempla el análisis del sector y del contexto de la organización, la identificación de los activos, sus amenazas y vulnerabilidades; la valoración de los riesgos y la proposición de planes de tratamiento, así como acciones de seguimiento, control, comunicación y consulta. El modelo formula además un procedimiento para la identificación de las funciones y procesos críticos, sus tiempos de recuperación y sus procedimientos alternos, como apoyo en la continuidad del negocio. Los instrumentos utilizados fueron sometidos a análisis estadístico, comprobando su confiabilidad. El modelo fue evaluado por expertos, lo que ha permitido demostrar su validez y aplicabilidad como herramienta para la gestión efectiva del riesgo asociado al uso de tecnología.