Guía y análisis de gestión de riesgos en la adquisición e implantación de equipamiento y servicios de tecnologías de información y comunicaciones para proyectos de alcance nacional

Abstract

Partiendo de la base del control estatal dirigido por la Contraloría General del Estado, la presente investigación se orienta a desarrollar una Guía de Gestión de Riesgos para proyectos de Tecnologías de Información mediante un método propuesto en este documento con el objetivo de cumplir las metas institucionales por medio de los proyectos que corresponden al uso, manejo y gestión de TI. Para desarrollar la Guía se procedió a analizar los procesos de varios modelos aplicables a proyectos de TI y de esta manera obtener una guía de Gestión del Riesgo basada en mejores prácticas y aplicable a diferentes entornos. Los modelos considerados y que son la base para desarrollar la guía son: CMMI, SPICE, PMBOK, PRINCE2, COBIT, RISK IT, OCTAVE, NIST 800-30 y MAGERIT. Los elementos de TI considerados para realizar el análisis y comparación de resultados mediante una escala de valoración para determinar el nivel de correspondencia son: Hardware, Software, Bases de Datos, Redes Telecomunicaciones, Recurso Humano, legal, Financiero y Servicios. Posteriormente se presenta la guía de Gestión del Riesgo en donde se detallan los procesos y las actividades mediante productos de entrada, productos de salida, técnicas, prácticas y participantes responsables. Finalmente se ejecuta la guía a un proyecto de alcance Nacional y como resultado se muestra la información de todo el análisis de riesgos, las vulnerabilidades, amenazas e impactos; así como también los mecanismos de salvaguarda como procedimientos, políticas, planes y soluciones técnicas que pueden ser consideradas para futuros proyectos.