Trabajo de grado - Pregrado
Propuesta de un sistema de gestión de riesgos con base en la norma 27005:2008 aplicado a algunas empresas de Medellín
Fecha
2009Autor
Arroyave Fernández, Catalina
Institución
Resumen
RESUMEN:
“La información es un activo que, cómo otros activos de negocio importantes, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente”
[ISO/IEC 27002:2005]
Esto describe la información como uno de los activos más importantes para las organizaciones, donde su adecuada manipulación permite lograr un alto nivel competitivo dentro del mercado y obtener mejor capacidad de desarrollo; por lo tanto, requiere ser protegida.
La información es sensible de ser modificada o sustraída por un agente interno o externo a la organización; por esto se requieren controles que eviten este tipo de sucesos. Para esto, existen normas que proporcionan estos controles para la protección de la información. Una de estas normas es la ISO 27005:2008, la cuál es un estándar internacional que describe como gestionar los riesgos de seguridad de información.
Esta norma es aplicable a todo tipo de organización, la cuál pretende gestionar los riesgos que pueden comprometer la seguridad de la información en la organización. Esta administración de riesgos permite identificar que necesita proteger la organización, como debe protegerse y cuánta protección necesita; para enfocar todos sus recursos a este tema.
Este trabajo de grado está orientado a la implementación de las actividades de la norma ISO 27005:2008:
- Establecimiento de contexto
- Análisis y evaluación de riesgos
- Tratamiento de riesgos
- Aceptación de riesgos
- Comunicación de riesgos
- Monitoreo y revisión de riesgos
En conclusión, con el propósito de orientar a las empresas de Medellín en la implementación de la gestión de riesgos, se muestran buenas prácticas para la protección de los activos de información; y basado en la norma ISO 27005:2008 se propuso un procedimiento, una metodología y unos formatos para administrar los riesgos en cualquier tipo de organización. ABSTRACT:
“Information is an asset that, like other important business assets is essential to the business of an organization and consequently needs to be adequately protected”
[ISO/IEC 27002:2005]
This describes the information as one of the most important assets for organizations, where its proper handling to achieve a high level of competition within the market and achieve better development potential and therefore must be protected.
Sensitive information is being altered or stolen by an employee or external to the organization, for its controls are required to prevent such occurrences. For this there are norms that provide checks for the protection of information. One of these standards is ISO 27005:2008, which is an international standard that describes how to manage information security risks.
This norm is applicable to any type of organization, which seeks to manage risks that can compromise the security of information within the organization. This allows management to identify risks that need to protect the organization, must be protected and how much protection you need, to focus all its resources to this issue.
This work is aimed at the level of the implementation of ISO 2700:2008:
- Establishing context
- Analysis and risk assessment
- Treatment risks
- Assumption of risk
- Risk communication
- Monitoring and reviewing risks
In conclusion, in order to guide companies in Medellin in the implementation of risk management, are good practice for the protection of information assets, and base on ISO 27005:2008 is a suggested procedure, a methodology and formats for managing risk in any organization.