Examinando por Autor "Arroyave Fernández, Catalina"

Mostrando 1 - 1 de 1
  • Miniatura
    PublicaciónAcceso abierto
    Propuesta de un sistema de gestión de riesgos con base en la norma 27005:2008 aplicado a algunas empresas de Medellín
    (Universidad EIA, 2009) Arroyave Fernández, Catalina; Zuluaga, Diego Andrés
    RESUMEN: “La información es un activo que, cómo otros activos de negocio importantes, es esencial para el negocio de una organización y consecuentemente necesita estar protegido adecuadamente” [ISO/IEC 27002:2005] Esto describe la información como uno de los activos más importantes para las organizaciones, donde su adecuada manipulación permite lograr un alto nivel competitivo dentro del mercado y obtener mejor capacidad de desarrollo; por lo tanto, requiere ser protegida. La información es sensible de ser modificada o sustraída por un agente interno o externo a la organización; por esto se requieren controles que eviten este tipo de sucesos. Para esto, existen normas que proporcionan estos controles para la protección de la información. Una de estas normas es la ISO 27005:2008, la cuál es un estándar internacional que describe como gestionar los riesgos de seguridad de información. Esta norma es aplicable a todo tipo de organización, la cuál pretende gestionar los riesgos que pueden comprometer la seguridad de la información en la organización. Esta administración de riesgos permite identificar que necesita proteger la organización, como debe protegerse y cuánta protección necesita; para enfocar todos sus recursos a este tema. Este trabajo de grado está orientado a la implementación de las actividades de la norma ISO 27005:2008: - Establecimiento de contexto - Análisis y evaluación de riesgos - Tratamiento de riesgos - Aceptación de riesgos - Comunicación de riesgos - Monitoreo y revisión de riesgos En conclusión, con el propósito de orientar a las empresas de Medellín en la implementación de la gestión de riesgos, se muestran buenas prácticas para la protección de los activos de información; y basado en la norma ISO 27005:2008 se propuso un procedimiento, una metodología y unos formatos para administrar los riesgos en cualquier tipo de organización.