Propuesta de un proceso formal de gestión de riesgos de tecnologías de información para la Municipalidad de Turrialba

Abstract

Este Trabajo Final de Graduación propone un proceso formal de gestión de riesgos de tecnologías de información para la Municipalidad de Turrialba. El objetivo general es proponer un proceso formal de gestión de riesgos de tecnologías de información en la Municipalidad de Turrialba para la identificación, evaluación y tratamiento de riesgos tecnológicos y cumplimiento normativo a partir de la Norma Técnica del MICITT y las buenas prácticas de la industria, en el segundo semestre del año 2024. La propuesta se desarrolló tomando en cuenta las limitaciones del personal de TI en la municipalidad y la infraestructura tecnológica existente, con un enfoque práctico que permita al único encargado de TI gestionar eficazmente los riesgos. El análisis incluyó una evaluación detallada del proceso actual de gestión de amenazas de TI, que reveló la falta de formalización y documentación del proceso. En respuesta a estos hallazgos, se diseñó un marco de gestión de riesgos sencillo y efectivo, alineado con estándares como ISO 27005, ISO 3100, COBIT 2019 e ITIL, que engloba políticas y procedimientos detallados para la identificación y tratamiento de los riesgos. Asimismo, se propuso un plan de comunicación y una estrategia de monitoreo continuo para asegurar la conformidad con la norma técnica del MICITT. Finalmente, el proyecto concluye que la propuesta de implementación del proceso formal propuesto mejorará la capacidad de la municipalidad para gestionar sus riesgos tecnológicos, reducir la frecuencia y severidad de incidentes y cumplir con las normativas regulatorias, fortaleciendo así su infraestructura y la confianza ciudadana.

This Final Graduation Project proposes a formal IT risk management process for the Municipalidad de Turrialba. The general objective is to propose a formal process for the identification, evaluation, and treatment of technological risks, ensuring regulatory compliance based on the MICITT Technical Standard and industry best practices during the second semester of 2024. The proposal was developed considering the limitations of the municipality’s IT personnel and its existing technological infrastructure, with a practical approach that allows the sole IT officer to effectively manage risks. The analysis included a detailed evaluation of the current IT threat management process, revealing a lack of formalization and documentation. In response to these findings, a simple and effective risk management framework was designed, aligned with standards such as ISO 27005, ISO 31000, COBIT 2019, and ITIL, including detailed policies and procedures for risk identification and treatment. In addition, a communication plan and a continuous monitoring strategy were proposed to ensure compliance with the MICITT technical standard. The project concludes that implementing the proposed formal process will enhance the municipality's ability to manage technological risks, reduce the frequency and severity of incidents, and ensure regulatory compliance, thereby strengthening its infrastructure and building public trust.