Propuesta de una metodología de gestión de riesgos en ciberseguridad para las PYMES en Colombia
Fecha de publicación
2023-07-17Autor(es)
Ríos Castro, Edwin Yamid
Metadatos
Mostrar el registro completo del ítemResumen
Uno de los errores más comunes es creer que por tener una pequeña o mediana empresa
(pymes) no se puede ser blanco de algún tipo de ataque cibercriminal. Es claro que la tecnología
ha revolucionado nuestras actividades y ha sido clave para el crecimiento y el mantenimiento
empresarial, pero también trajo consigo más riesgos debido a la exposición de información en
las redes privadas y públicas ampliando la exposición a amenazas debido a la cantidad de
vulnerabilidades no controladas. Es importante precisar que las pymes son las más vulnerables,
puesto que un ataque podría suponer una pérdida total, ya que una gran empresa puede perder
millones, pero lo mas seguro es que tenga un músculo financiero para reponerse y continuar su
operación.
Las pymes en Colombia, manejan sus recursos financieros de manera limitada, pues
estos se enfocan en un alto porcentaje en la suplencia de los procesos misionales y de operación
para poderse mantener en el mercado, pero a los temas de tipo operativo y de soporte, no se les
da la importancia que merecen debido a que estas actividades son vistas como un gasto y nunca
como una inversión. En su gran mayoría las pymes no realizan, o lo hacen de manera
inadecuada, una gestión de riesgos para su operación por desconocimiento, por que no cuentan
con personal idóneo para esto, o por que el tema no es sencillo de interpretar y ajustar de manera
particular a la organización, aspectos que generan apatía a abordar este tema tan importante en
las compañías.
Esta investigación es de carácter mixto ya que se propone la revisión de información
extraída a través de entrevistas a personal experto en la materia que permiten identificar el nivel
de apropiación de mecanismos de Gestión de Riesgos en las pymes. Principalmente se propuso
generar una metodología sencilla de interpretar, fácil de implementar y eficiente en su ejecución para la Gestión de Riesgos, realizando una comparación de la información al respecto
contenida en las normas ISO 31000 e ISO 27005.
El objetivo de esta investigación es dotar a las pymes colombianas de una metodología
con el apoyo de un instrumento, que les permita identificar, asociar, tratar y controlar los
riesgos de ciberseguridad presentes y que pueden afectar en menor o mayor medida la
operación normal de sus organizaciones. One of the most common mistakes is to believe that having a small or medium-sized
business (SMEs) means that you cannot be the target of some type of cybercriminal attack. It
is clear that technology has revolutionized our activities and has been key to business growth
and maintenance, but it has also acquired more risks due to the exposure of information on
private and public networks, increasing exposure to threats due to the number of vulnerabilities
not controlled. It is important to point out that SMEs are the most vulnerable, since an attack
could mean a total loss, since a large company can lose millions, but it most likely has the
financial muscle to recover and continue its operation.
SMEs in Colombia manage their financial resources in a limited way, since these are
focused in a high percentage on the substitution of mission and operation processes to be able
to stay in the market, but on operational and support issues, they do not they are given the
importance they deserve because these activities are seen as an expense and never as an
investment. The vast majority of SMEs do not perform, or do so inadequately, risk management
for their operation due to lack of knowledge, because they do not have adequate personnel for this, or because the issue is not easy to interpret and adjust appropriately. particular to the
organization, aspects that generate apathy to address this important issue in companies.
This research is of a quantitative nature since it is proposed to review the information
obtained through surveys of a personal expert in the field that allows identifying the level of
appropriation of Risk Management mechanisms in SMEs. Mainly what is proposed here is to
generate a methodology, simple to interpret, easy to implement and efficient in its execution
for Risk Management, making a comparison of the information contained in the ISO 31000
and ISO 27005 standards.
The objective of this research is to provide Colombian SMEs with a methodology
supported by an instrument that allows them to identify, associate, treat and control the
cybersecurity risks that are present and that may affect to a lesser or greater extent the normal
operation of their operations. organizations.
Materias
RiesgosColecciones
El ítem tiene asociados los siguientes ficheros de licencia: