Los constantes avances tecnológicos y un aumento en la cantidad de información generada, han contribuido en un incremento de los riesgos informáticos de las empresas, provocando en determinados casos pérdida o alteración de información. Por esta razón, el objetivo del presente trabajo es proponer una metodología de gestión del riesgo informático para las empresas exportadoras de pesca blanca de las ciudades de Manta y Jaramijó. Para ello, se realizó una encuesta para determinar el nivel de conocimiento y aplicación de la gestión de riesgos en las empresas anteriormente mencionadas. Adicionalmente, se seleccionaron normas y metodologías internacionales de gestión de riesgo informáticos en base a trabajos previos y literatura revisada, que se evaluaron comparativamente por criterios de expertos, obteniendo con ello una nueva metodología de gestión de riesgos informáticos basada en las normas ISO 9001, ISO 31000, ISO 27005 e ISO 27002. La población estuvo constituida por 4 empresas exportadoras de pesca blanca de la ciudad de Manta y Jaramijó. Los resultados que existen tres las razones por las que no se adopta un plan de gestión de riesgos, tales como el desconocimiento del proceso, falta de presupuesto y complejidad de las normativas, en la que predomino el desconocimiento del proceso como principal limitante. Entre las conclusiones derivadas, se pudo afirmar que las empresas del sector exportador de pesca blanca de la ciudad de Manta y Jaramijó, no cuentan con una metodología específica de gestión de riesgos para el área informática.

(1) Balseca, A. S. (01 de 2014). Diseño del modelo de gestión de seguridad de la información del sistema ERP de EP PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5. Obtenido de Repositorio Digital ESPE: http://repositorio.espe.edu.ec/bitstream/21000/8152/1/AC-GRT-ESPE-047641.pdf

(2) Barafort, B., Mesquida, A., y Mas, A. (2017). Integrating risk management in IT settings from ISO standards and management systems perspectives. Computer Standards and Interfaces, 176-185.

(3) Bravo, M. E. (2012). ITIL: Gestión de versiones. Cuenca: Universidad Católica de Cuenca.

(4) Briney, A. (2001). 2001 industry survey. Information Security Magazine, 34–46.

(5) Burgos, J., y Campos, P. G. (2008). Modelo para Seguridad de la Información en TIC. Concepción, Chile: Universidad de Bío-Bío.

(6) Carrillo, J. (2012). Guía y análisis de gestión de riesgos en la adquisición e implantación de equipamiento y servicios de tecnologías de información y comunicaciones para proyectos de alcance nacional. Quito: Escuela Politécnica Nacional.

(7) Castillo, C. (2016). Propuesta metodológica para la identificación de riesgos asociados a la gestión documental. Recuperado el 20 de Febrero de 2018, de Trabajo de Investigación del Máster en Gestión Documental, Transparencia y Acceso a la Información de la Escuela Superior de Archivística y Gestión de Documentos de la Universidad Autónoma de Barcelona: https://ddd.uab.cat/pub/trerecpro/2017/hdl_2072_272839/TrabajoClaudiaCastilloCorrecto.pdf

(8) Castro, M. (2011). El nuevo estándar ISO para la gestión de riesgo. Chile: Surlatina Consultores.

(9) Cavusoglu, H., Raghunathan, S., y Yue, W. T. (2008). Decision-theoretic and game-theoretic approaches to IT security investment. Journal of Management Information Systems, 281-304.

(10) Chernysheva, T. Y. (2013). Preliminary risk assessment in it projects. Applied Mechanics and Materials Vol. 379, 220-223.

(11) Coronel, I. K. (08 de 2013). Metodología de evaluación del gobierno, riesgos y cumplimiento de la tecnología de información en instituciones del sistema financiero ecuatoriano. Obtenido de http://repositorio.puce.edu.ec/bitstream/handle/22000/6249/T-PUCE-6429.pdf?sequence=1

(12) Crespo, P. (2016). Metodología de seguridad de la información para la gestión del riesgo informático aplicable a MPYMES. Obtenido de http://dspace.ucuenca.edu.ec/bitstream/123456789/26105/1/Tesis.pdf

(13) Crespo, S. (2017). Comparación Norma ISO 9001:2008-2015 y adaptación. España: Universidad de Valladolid.

(14) Del Carpio, J. (2006). Análisis del riesgo en la administración de proyectos de tecnología de información. Peru: Universidad Nacional Mayor de San Marcos.

(15) Ernst, y Young. (2003). Global information security survey 2003. Ernst & Young LLP, White Paper.

(16) Espinosa, D., y Martínez, J. (2014). Gestión del riesgo en la seguridad de la información con base en la norma ISO/IEC 27005 de 2011. Colombia: Universidad de San Buenaventura.

(17) Gobierno de España Boletín Oficial del Estado. (09 de 2017). Obtenido de http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf

(18) Gobierno de España Portal Administración Electrónica. (2016). Obtenido de http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html?comentarioContenido=0#.V3XLNvnhA2w

(19) Gobierno de España Portal Administración Electrónica. (09 de 2017). Obtenido de https://administracionelectronica.gob.es/ctt/pilar#.WcQkH7LyjIU

(20) Guerrero, M., y Gómez, L. (2011). Revisión de estándares relevantes y literatura de gestión de riesgos y controles en Sistemas de Información. Estudios Gerenciales, 195-215.

(21) Gutiérrez, C. (2013). ISO/IEC 27002:2013 y los cambios en los dominios de control. Colombia: Awareness & Research.

(22) Hernández-Díaz, N., Yelandy-Leyva, M., y Cuza-García, B. (2013). Modelos causales para la Gestión de Riesgos. Recuperado el 20 de Febrero de 2018, de Revista Cubana de Ciencias Informáticas: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S2227-18992013000400005&lng=es&tlng=es

(23) Instituto Ecuatoriano de Normalización. (2014). Guía Práctica Ecuatoriana GPE INEN-ISO 73. En Gestión de Riesgo - Vocabulario. Quito: INEN.

(24) International Organization for Standardization. (2015). ISO 9001:2015 How to use it. Suiza: ISO.org.

(25) ISO/IEC 27005:2008. (s.f.). Information technology - Security tecniques - Information security risk management. Obtenido de http://www.pqm-online.com/assets/files/lib/std/iso_iec_27005-2008.pdf

(26) IT Governance Institute. (2008). Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio. Obtenido de IT Governance Institute / Office of Government Commerce: http://www.isaca.org/Knowledge-Center/Research/Documents/Alineando-COBIT-4-1-ITIL-v3-y-ISO-27002-en-beneficio-de-la-empresa_res_Spa_0108.pdf

(27) Jaramillo, D. (2014). Propuesta de una metodología de gestión de incidentes para empresas de microfinanzas. Quito, Ecuador: Universidad Tecnológica de Israel.

(28) Martínez, D. (2016). Sistemas de información estratégicos, herramienta para la optimización de gestión en las empresas del sector de la salud. Recuperado el 22 de Febrero de 2018, de Universidad Militar Nueva Granada: https://hdl.handle.net/10654/14473

(29) Molina, M. (2015). Propuesta de un plan de gestión de riesgos de tecnología aplicado en la ESPOL. Ecuador: Universidad Politécnica de Madrid.

(30) NIST. (Julio de 2002). NIST. Recuperado el 5 de Septiembre de 2017, de http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

(31) Ramírez, A., y Ortiz, Z. (2011). Gestión de riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería Vol. 16 No. 2, 56-66.

(32) Ross, R. S. (2014). Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach. Special Publication (NIST SP)-800-37 Rev 1.

(33) Sampieri, D. R. (2010). Metodología de la investigación. México: McGraw-Hill.

(34) Solarte, F., y Enriquez, E. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Ecuador: Revista Tecnológica ESPOL.

(35) Stein, T. (23 September, 2003). Security gets top-level attention, Optimize. Information Week.

(36) Tarazona, C. (2007). Amenazas informáticas y seguridad de la información. Derecho Penal y Criminología, 137-146. Obtenido de https://revistas.uexternado.edu.co/index.php/derpen/article/view/965

(37) The United Nations Office for Disaster Risk Reduction. (24 de Junio de 2016). ¿Que es el riesgo? Obtenido de https://www.unisdr.org/2004/campaign/booklet-spa/page9-spa.pdf

(38) Viteri, M., Chiriboga, G., y Páliz, V. (2013). Evaluación técnica de la seguridad informática del Data Center de la Brigada de Fuerzas Especiales No. 9 Patria. Quito: Escuela Politécnica del Ejército.

(39) Yeo, M. L., Rolland, E., Ulmer, J. R., & Patterson, R. A. (2014). Risk mitigation decisions for it security. ACM Transactions on Management Information Systems.

(40) Yue, W. T., Cakanyildirim, M., Ryu, Y. U., y Liu, D. (2007). Network externalities, layered protection and IT security risk management. Decision Support Systems, 1-16.