Modelo de gestión de riesgos de seguridad de la información para PYMES peruanas

Autores/as

  • Johari C. García Porras Facultad de Ingeniería de Sistemas de Información, Universidad Peruana de Ciencias Aplicadas
  • Sarita C. Huamani Pastor Facultad de Ingeniería de Sistemas de Información, Universidad Peruana de Ciencias Aplicadas
  • Rómulo F. Lomparte Alvarado Facultad de Ingeniería de Sistemas de Información, Universidad Peruana de Ciencias Aplicadas.

DOI:

https://doi.org/10.15381/rpcs.v1i1.14856

Palabras clave:

Gestión de riesgos, Seguridad de la Información, Pymes, OCTAVE, ISO/IEC 27005.

Resumen

Hoy en día, las empresas tratan de proteger su activo muy valioso, la información, para lo que recurren a la gestión de sus riesgos, tratando de evitar situaciones negativas tales como pérdidas financieras significativas, violación de la confidencialidad de información sensible, pérdida de integridad o disponibilidad de datos confidenciales. En organizaciones como las PYMES no se implementan modelos de gestión de riesgos debido a que estas organizaciones no consideran relevante la seguridad de la información, ya que no se encuentra dentro de lo presupuestado. Existen diferentes enfoques de riesgos, pero, generalmente dirigidos a grandes empresas; para las PYMES es más adecuado emplear un enfoque cualitativo. Este trabajo presenta un modelo de gestión de riesgos basado en la metodología OCTAVE-S y la norma ISO/IEC 27005, consta de las 3 fases de OCTAVE al que se le añade la lista de vulnerabilidades y escenarios en la fase 1, además el cálculo y tratamiento del riesgo de la ISO/IEC 27005 en la última fase. Asimismo, el modelo adopta un enfoque cuantitativo que permite calcular el riesgo residual con base en la efectividad de los controles otorgados, de este modo se logra brindar un modelo adecuado para las organizaciones. El modelo propuesto fue implementado en el proceso de ventas de una PYME peruana del sector cerámicos, demostrando un fácil uso, y logrando identificar los controles necesarios para reducir el riesgo, cuya implementación podría reducir el riesgo en un 53%.

Descargas

Publicado

2018-07-10

Número

Sección

Artículo de contribución

Cómo citar

Modelo de gestión de riesgos de seguridad de la información para PYMES peruanas. (2018). Revista Peruana De computación Y Sistemas, 1(1), 47-56. https://doi.org/10.15381/rpcs.v1i1.14856