Publicación:

Diseño y sistematización de un modelo de madurez de seguridad de la información basado en ISM3, adaptable a las micro y pequeñas empresas.

Resumen en español

Dado la creciente evolución de las tecnologías de la información y la aplicación de estas en el sector empresarial como soporte de sus procesos; las amenazas y explotación de vulnerabilidades tecnológicas actúan como una constante intrínseca a este crecimiento o evolución, generando ataques informáticos, acceso y uso no autorizado de activos, entre otros. No obstante, existen diversos marcos, normas y estándares que proponen estrategias para gestionar la seguridad de la información en las empresas, con el fin de mitigar el impacto de estas amenazas y vulnerabilidades presentes. Sin embargo, la incorporación de estándares y modelos de gestión tecnológica no son de común aplicación en las empresas del país, en donde las pequeñas y microempresas constituyen un porcentaje mayor dentro del sector productivo, las cuales por su propia característica y estructura pueden requerir aplicaciones normativas y modelos de gestión de seguridad adaptados a su realidad. Por tal motivo se pretende diseñar e implementar un modelo de seguridad de la información con base en ISM3 (Information Security Management Maturity Model), apoyado en el desarrollo de una herramienta informática que permita generar el nivel de madurez y recomendaciones de seguridad a las micro y pequeñas empresas MYPE. Lo anterior, basado en una metodología donde se define y plantea una matriz de riesgo para los activos de información estándares aplicables a las micro y pequeñas empresas, y definiendo métricas ajustadas a este sector. Posteriormente se diseña e implementa el modelo de gestión de seguridad de la información adaptado a los niveles de madurez que propone ISM3. Finalmente, se valida y analiza el mismo a través de un caso de estudio, en donde se analizarán los resultados, generando conclusiones acerca de esta iniciativa.