Propuesta de un conjunto de herramientas de evaluación de riesgos cibernéticos, basado en el marco de trabajo NIST – Cybersecurity Framework, para el mejoramiento y estandarización de las evaluaciones tecnológicas del área de auditoría de TI que apoya las auditorías financieras de los clientes de HCR
Abstract
El objetivo de este estudio recae en proponer un conjunto de herramientas de evaluación
de riesgos cibernéticos, basado en el marco de trabajo NIST – Cybersecurity Framework, para
el mejoramiento y estandarización de las evaluaciones tecnológicas del área de auditoría de TI
que apoya las auditorías financieras, mediante el análisis de la documentación actual del área
de auditoría de TI y los componentes del marco NIST- Cybersecurity Framework, para
posteriormente elaborar un conjunto de herramientas que cumplan con las necesidades de HCR
y de sus clientes. Además de determinar el retorno de inversión y beneficios que se derivan de
este estudio.
La propuesta del proyecto surge debido a que por directriz de la empresa en todas las
auditorías se deben evaluar los riesgos cibernéticos, sin embargo, la evaluación realizada por
el área de auditoría de TI no es suficiente ya que, se presenta de forma indagatoria y no cuenta
con un estándar o herramientas establecidas para tomar de referencia, provocando falta de
claridad en la evaluación.
La investigación está basada en una metodología con diseño de investigación-acción,
donde se utiliza un enfoque cualitativo que permite analizar las necesidades de los sujetos de
estudio y brindarles soluciones de acuerdo con las situaciones identificadas.
El resultado del estudio proporcionó los procedimientos que se deben evaluar para
determinar los riesgos cibernéticos en los clientes, así como definir que el componente del
marco NIST- Cybersecurity Framework más adecuado para la evaluación es el Framework
Core. Con base a lo anterior se elaboró un conjunto de herramientas que permitirá al equipo de
auditoría de TI identificar los riesgos cibernéticos de forma clara y puntual. The objective of this study is to propose a set of cyber risk assessment tools, based on
the NIST - Cybersecurity Framework for the improvement and standardization of technological
evaluations of the IT audit area that supports financial audits, by analyzing the current
documentation of the IT audit area and the components of the NIST-Cybersecurity Framework,
to later develop a set of tools that meet the needs of HCR and its clients. In addition to
determining the return on investment and benefits derived from this study.
The project proposal arises because by company guideline in all audits cyber risks must
be evaluated, however, the evaluation carried out by the IT audit area is not enough since it is
presented in an investigative way and not It has a standard or established tools to take as a
reference, causing a lack of clarity in the evaluation.
The research is based on a methodology with an action-research design, where a
qualitative approach is used that allows to analyze the needs of the study subjects and provide
them with solutions according to the identified situations.
The result of the study provided the procedures to be evaluated to determine cyber risks
in clients, as well as to define that the most suitable component of the NIST-Cybersecurity
Framework for the evaluation is the Framework Core. Based on the above, a set of tools was
developed that will allow the IT audit team to identify cyber risks in a clear and timely manner.
Description
Proyecto de Graduación (Licenciatura en Administración de Tecnología de Información) Instituto Tecnológico de Costa Rica, Área Académica de Administración de Tecnologías de Información, 2021
Share
Metrics
Collections
The following license files are associated with this item: