Propuesta de una metodología de gestión de riesgos en ciberseguridad para las PYMES en Colombia

Abstract

Uno de los errores más comunes es creer que por tener una pequeña o mediana empresa (pymes) no se puede ser blanco de algún tipo de ataque cibercriminal. Es claro que la tecnología ha revolucionado nuestras actividades y ha sido clave para el crecimiento y el mantenimiento empresarial, pero también trajo consigo más riesgos debido a la exposición de información en las redes privadas y públicas ampliando la exposición a amenazas debido a la cantidad de vulnerabilidades no controladas. Es importante precisar que las pymes son las más vulnerables, puesto que un ataque podría suponer una pérdida total, ya que una gran empresa puede perder millones, pero lo mas seguro es que tenga un músculo financiero para reponerse y continuar su operación. Las pymes en Colombia, manejan sus recursos financieros de manera limitada, pues estos se enfocan en un alto porcentaje en la suplencia de los procesos misionales y de operación para poderse mantener en el mercado, pero a los temas de tipo operativo y de soporte, no se les da la importancia que merecen debido a que estas actividades son vistas como un gasto y nunca como una inversión. En su gran mayoría las pymes no realizan, o lo hacen de manera inadecuada, una gestión de riesgos para su operación por desconocimiento, por que no cuentan con personal idóneo para esto, o por que el tema no es sencillo de interpretar y ajustar de manera particular a la organización, aspectos que generan apatía a abordar este tema tan importante en las compañías. Esta investigación es de carácter mixto ya que se propone la revisión de información extraída a través de entrevistas a personal experto en la materia que permiten identificar el nivel de apropiación de mecanismos de Gestión de Riesgos en las pymes. Principalmente se propuso generar una metodología sencilla de interpretar, fácil de implementar y eficiente en su ejecución para la Gestión de Riesgos, realizando una comparación de la información al respecto contenida en las normas ISO 31000 e ISO 27005. El objetivo de esta investigación es dotar a las pymes colombianas de una metodología con el apoyo de un instrumento, que les permita identificar, asociar, tratar y controlar los riesgos de ciberseguridad presentes y que pueden afectar en menor o mayor medida la operación normal de sus organizaciones.

One of the most common mistakes is to believe that having a small or medium-sized business (SMEs) means that you cannot be the target of some type of cybercriminal attack. It is clear that technology has revolutionized our activities and has been key to business growth and maintenance, but it has also acquired more risks due to the exposure of information on private and public networks, increasing exposure to threats due to the number of vulnerabilities not controlled. It is important to point out that SMEs are the most vulnerable, since an attack could mean a total loss, since a large company can lose millions, but it most likely has the financial muscle to recover and continue its operation. SMEs in Colombia manage their financial resources in a limited way, since these are focused in a high percentage on the substitution of mission and operation processes to be able to stay in the market, but on operational and support issues, they do not they are given the importance they deserve because these activities are seen as an expense and never as an investment. The vast majority of SMEs do not perform, or do so inadequately, risk management for their operation due to lack of knowledge, because they do not have adequate personnel for this, or because the issue is not easy to interpret and adjust appropriately. particular to the organization, aspects that generate apathy to address this important issue in companies. This research is of a quantitative nature since it is proposed to review the information obtained through surveys of a personal expert in the field that allows identifying the level of appropriation of Risk Management mechanisms in SMEs. Mainly what is proposed here is to generate a methodology, simple to interpret, easy to implement and efficient in its execution for Risk Management, making a comparison of the information contained in the ISO 31000 and ISO 27005 standards. The objective of this research is to provide Colombian SMEs with a methodology supported by an instrument that allows them to identify, associate, treat and control the cybersecurity risks that are present and that may affect to a lesser or greater extent the normal operation of their operations. organizations.