Análisis de riesgo y vulnerabilidades de la red de datos, en un ISP, utilizando el estándar ISO/IEC 2007:2008. Caso de estudio: Empresa Sistelcel

Abstract

En este trabajo de investigación se refiere a la presentación de un análisis de riesgos y vulnerabilidades de la información, utilizando la norma ISO 27005:2008 en donde nos permite identificar, analizar, evaluar los diferentes tipos de riesgo que se tiene en una organización, permitiendo establecer controles o salvaguardias con la finalidad de mitigar el riesgo. Se efectuó un análisis analítico de la situación actual de la empresa, para determinar el estado real de la seguridad de la información, aplicando la norma ISO 27001, obteniendo como resultados la carencia de procesos y normas para su cumplimiento y ejecución. Para que estos procesos se lleven a cabo se enumeraron todos los activos de la organización que fueron identificados mediante una metodología de buenas prácticas en normas y estándares (Magerit), que serán considerados para la valoración del activo (hardware, software, personas y datos), valoración del impacto e identificación de las vulnerabilidades. Mediante el análisis de los riegos informáticos que se presenta en la organización, se aplicó una matriz de riesgo consiguiendo el Riesgo Inherente el cual dio una radiografía de la situación actual de la organización y posteriormente se propuso controles y se obtuvo el riesgo residual. Los resultados de este trabajo aportan a la alta gerencia en la toma de decisiones, para el tratamiento del riesgo mediante normas, estándares y buenas practicas, sin afectar la información de la empresa y tener continuidad en el negocio y alcanzar los objetivos planteados por la organización.