Regresar

Análisis costo/beneficio de la aplicación del estándar ISO/IEC 27001:2005 en una empresa industrial en la provincia de Pichincha

Abstract:

La dinámica del mundo empresarial obliga a las organizaciones a tomar decisiones inmediatas basadas en fuentes oportunas y confiables. Una de ellas, que se va constituyendo en elemento clave de la estrategia organizacional, es la información; y la consecución e interpretación para que ésta sea un componente de soporte al entorno gerencial, requiere de un aliado fundamental, que es la tecnología. Los continuos aparecimientos de vulnerabilidades en los sistemas de información, noticias de accesos no deseados e incluso debilidades manifiestas en software ampliamente extendido y crítico para el funcionamiento de las empresas, hacen de la seguridad de la información un área de especial atención para el correcto desarrollo de los negocios en esta actual era digital. Interesa a todos disponer de un entorno de confianza en el que las empresas puedan desarrollar, mantener y extender sus modelos de negocio. Es el tiempo donde importa la seguridad de los negocios de los clientes. El presente trabajo busca como objetivo principal demostrar el costo beneficio de la aplicación de la normativa ISO/IEC 27001:2005[J] en el entorno de la información de una empresa industrial, partiendo de su situación actual y el efecto en el nivel de riesgo de la empresa luego de la aplicación de la norma. La diferencia a favor o en contra de la organización nos dará información para evaluar su costo beneficio. La evaluación de riesgos requiere de un proceso formal para identificar y asignar prioridades a los riesgos en la organización, para lo cual se ha seleccionado la Guía de Administración de Riesgos de Seguridad de Microsoft[1], metodología que facilita su medición cualitativa y cuantitativa dentro de la organización. Esta guía ayuda a planear, crear y mantener un programa de administración de riesgos de seguridad, mediante un proceso dividido en cuatro fases