Sistema de gestión de la seguridad de la información en las pequeñas y medianas empresas

Abstract

Se realizó una investigación exhaustiva de distintas fuentes bibliográficas sobre un Sistema de Gestión de Seguridad de la Información (SGSI). Para la ejecución de estos, existen distintas normativas y metodologías que facilitan su implementación y mantenimiento del mismo. La carencia de los SGSI se da principalmente en la pequeñas y medianas empresas (PYMES) en virtud de diversas razones, entre las más importantes están los altos costos que conlleva la implementación y mantenimiento de un SGSI y a la gran complejidad que los caracteriza. Por tal motivo se investigó una metodología, MARISMA-AGR, que se pueda implementar en las PYMES, pero también se puede efectuar en grandes empresas, teniendo en cuenta los dos problemas que inhiben el uso de este tipo de herramientas: costos y complejidad. Luego se procedió a explicar los elementos más importantes de la metodología, y se realizó un análisis crítico donde se expusieron sus principales debilidades (no tiene software de apoyo, metodología con poca madurez, muy nueva para el año en que se realizó la consulta (2020)). Existe la referencia de que hoy día, el 81% de los funcionarios de empresas grandes y pequeñas tienen acceso a internet y sin embargo, según un reciente estudio, el presupuesto perfilado para la seguridad digital que permite amortiguar los ataques informáticos y aumentar la protección de sus activos es del menos del 1% de las ventas o inversiones. (Rosario, 2019) Metodologías como Octave, Magerit o Mehari, suelen ser complejas y costosas, en especial para las PYMES, se procedió a la realización de otra investigación para hallar metodologías para un SGSI que no solo se enfoquen en este tipo de empresas, sino que con el tiempo se extiendan a cualquier entidad o institución, más allá de su tamaño. Por último, se propuso la creación de un SGSI basado en la metodología MARISMA que ayude a realizar el análisis de riesgo.