Análisis y evaluación del riesgo de la información basado en ISO/IEC 27001:2005

Abstract

La Empresas PYME hoy en día desconocen el grado de vulnerabilidad al cual se encuentran expuestas, y no valoran en su real medida todos los activos de información que poseen. Cada día son más frecuentes los robos de contraseñas, pérdida de datos e información confidencial, las cuales representan sólo algunas de las consecuencias que pude sufrir una empresa, si no le dedica la atención y tiempo necesario a su seguridad informática. Existen varias alternativas que ayudan a las Organizaciones a evaluar el nivel de seguridad de la información que poseen, tales como normativas, metodologías, aplicativos y herramientas en línea. Muchas o casi todas estas alternativas están sólo disponibles en otros idiomas, o bien, están diseñadas para satisfacer las normativas legales del país donde fueron diseñadas, y en ese aspecto no siempre se pueden aplicar en un ciento por ciento. En la presente Tesis se ha elegido para evaluar los riesgos de seguridad de la empresa la normativa ISO 27001, la cual está en español, es genérica en todos sus aspectos, por lo cual se puede amoldar y aplicar a cualquier Organización independiente de la Legislación del país que la rige. Se pretende medir el nivel de seguridad de una Empresa PYME, aplicando para ello la ISO 27001:2005, para demostrar que el grado de vulnerabilidad y posibles ataques a la Empresa es alto, y con ello conseguir que la Gerencia tome conciencia de esta situación, y por ende, asuma un grado de maduración frente al tema que permita a futuro implementar un plan para elevar el nivel de seguridad a unos grados aceptables y de esta manera no poner en riesgo algo tan vital para la Organización como lo es la continuidad del negocio de la misma.