Estudio comparativo de metodologías de análisis de riesgos y su aplicación en un caso real

https://repositorio.puce.edu.ec/handle/123456789/47777
Authors
No Thumbnail Available
Files
Trabajo de Titulación - Maestría / Velasco Pazmiño Angel Vicente.pdf (735.02 KB)
Date
2026
Journal Title
Journal ISSN
Volume Title
Publisher
PUCE - Ambato
Abstract
La gestión efectiva de riesgos informáticos en organizaciones gubernamentales enfrenta desafíos significativos derivados de recursos técnicos y financieros limitados, junto con ausencia de metodologías apropiadas para contextos con restricciones severas. Esta investigación desarrolló un análisis comparativo sistemático de seis metodologías reconocidas internacionalmente para análisis de riesgos en seguridad de información CORAS, OCTAVE, ISRAM, MAGERIT, MEHARI y CRAMM. La evaluación utilizó siete criterios específicos incluyendo facilidad de implementación, disponibilidad de soporte, tipo de enfoque metodológico, accesibilidad económica, adaptabilidad organizacional, integralidad en cobertura de elementos, y disponibilidad idiomática. Los resultados revelaron que OCTAVE y MAGERIT alcanzaron las puntuaciones más altas con quince de veintiún puntos posibles, demostrando perfiles complementarios que justificaron su selección para integración. Basándose en este análisis, se desarrolló un modelo híbrido estructurado en tres fases principales que comprenden cinco procesos específicos, integrando fortalezas metodológicas de OCTAVE-S con rigurosidad analítica de MAGERIT. El modelo logra reducciones significativas de treinta y siete punto cinco por ciento en complejidad operativa, cuarenta y uno punto siete por ciento en tiempo de implementación, y sesenta y tres punto siete por ciento en costos totales, mientras incrementa cobertura de elementos críticos en tres punto uno por ciento respecto a metodologías originales. La evaluación de aplicabilidad demostró viabilidad técnica y económica para gobiernos autónomos descentralizados, aunque limitaciones metodológicas requieren validación empírica mediante implementación en contextos reales para confirmar efectividad práctica y identificar necesidades de adaptación contextual específicas
Description
Keywords
Gestión de riesgos, Seguridad de la información, Administración pública
Citation
Collections
Magister en Ciberseguridad
Full item page