Information security risk management model for Peruvian PYMES
Descripción del Articulo
Nowadays, companies seek to protect their information because it is a very valuable asset. In order to protect it, it is necessary to manage the risks, which will prevent scenarios that generate a negative impact such as significant financial losses, violation of the confidentiality of sensitive inf...
| Autores: | , , |
|---|---|
| Formato: | artículo |
| Fecha de Publicación: | 2018 |
| Institución: | Universidad Nacional Mayor de San Marcos |
| Repositorio: | Revistas - Universidad Nacional Mayor de San Marcos |
| Lenguaje: | español |
| OAI Identifier: | oai:ojs.csi.unmsm:article/14856 |
| Enlace del recurso: | https://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/14856 |
| Nivel de acceso: | acceso abierto |
| Materia: | Gestión de riesgos Seguridad de la Información Pymes OCTAVE ISO/IEC 27005. Risk Management Security Information SMES |
| id |
REVUNMSM_9f93810c5d62acc2b7b283f7087f2803 |
|---|---|
| oai_identifier_str |
oai:ojs.csi.unmsm:article/14856 |
| network_acronym_str |
REVUNMSM |
| network_name_str |
Revistas - Universidad Nacional Mayor de San Marcos |
| repository_id_str |
|
| dc.title.none.fl_str_mv |
Information security risk management model for Peruvian PYMES Modelo de gestión de riesgos de seguridad de la información para PYMES peruanas |
| title |
Information security risk management model for Peruvian PYMES |
| spellingShingle |
Information security risk management model for Peruvian PYMES García Porras, Johari C. Gestión de riesgos Seguridad de la Información Pymes OCTAVE ISO/IEC 27005. Risk Management Security Information SMES OCTAVE ISO/IEC 27005. |
| title_short |
Information security risk management model for Peruvian PYMES |
| title_full |
Information security risk management model for Peruvian PYMES |
| title_fullStr |
Information security risk management model for Peruvian PYMES |
| title_full_unstemmed |
Information security risk management model for Peruvian PYMES |
| title_sort |
Information security risk management model for Peruvian PYMES |
| dc.creator.none.fl_str_mv |
García Porras, Johari C. Huamani Pastor, Sarita C. Lomparte Alvarado, Rómulo F. |
| author |
García Porras, Johari C. |
| author_facet |
García Porras, Johari C. Huamani Pastor, Sarita C. Lomparte Alvarado, Rómulo F. |
| author_role |
author |
| author2 |
Huamani Pastor, Sarita C. Lomparte Alvarado, Rómulo F. |
| author2_role |
author author |
| dc.subject.none.fl_str_mv |
Gestión de riesgos Seguridad de la Información Pymes OCTAVE ISO/IEC 27005. Risk Management Security Information SMES OCTAVE ISO/IEC 27005. |
| topic |
Gestión de riesgos Seguridad de la Información Pymes OCTAVE ISO/IEC 27005. Risk Management Security Information SMES OCTAVE ISO/IEC 27005. |
| description |
Nowadays, companies seek to protect their information because it is a very valuable asset. In order to protect it, it is necessary to manage the risks, which will prevent scenarios that generate a negative impact such as significant financial losses, violation of the confidentiality of sensitive information, loss of integrity, or the availability of confidential information. Organizations such as SMEs do not implement risk management models because they do not care about allocating a budget for information security. There are different approaches that are used to manage the risks, but, in general, these focus on big companies. However, those that target SMEs have a qualitative approach. This paper presents a suitable risk management model, based on the OCTAVE-S methodology and the standard ISO/IEC 27005, it consists of the 3 phases of OCTAVE to which is added the list of vulnerabilities and scenarios in phase 1, as well as the calculation and treatment of the risk of ISO/IEC 27005 in the last phase. Likewise, the model takes a quantitative approach that allows to calculate the residual risk based on the effectiveness of the controls given, creating a suitable model for the organizations, in order to and, therefore, to facilitate decision making. This model has been applied in a Peruvian clay-ceramic industry SME in its sales process, showing its easy use and managing to identify the necessary controls to reduce the risk, whose implementation could reduce the risk by 53%. |
| publishDate |
2018 |
| dc.date.none.fl_str_mv |
2018-07-10 |
| dc.type.none.fl_str_mv |
info:eu-repo/semantics/article info:eu-repo/semantics/publishedVersion |
| format |
article |
| status_str |
publishedVersion |
| dc.identifier.none.fl_str_mv |
https://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/14856 10.15381/rpcs.v1i1.14856 |
| url |
https://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/14856 |
| identifier_str_mv |
10.15381/rpcs.v1i1.14856 |
| dc.language.none.fl_str_mv |
spa |
| language |
spa |
| dc.relation.none.fl_str_mv |
https://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/14856/13008 |
| dc.rights.none.fl_str_mv |
https://creativecommons.org/licenses/by-nc-sa/4.0 info:eu-repo/semantics/openAccess |
| rights_invalid_str_mv |
https://creativecommons.org/licenses/by-nc-sa/4.0 |
| eu_rights_str_mv |
openAccess |
| dc.format.none.fl_str_mv |
application/pdf |
| dc.publisher.none.fl_str_mv |
Universidad Nacional Mayor de San Marcos, Facultad de Ingeniería de Sistemas e Informática |
| publisher.none.fl_str_mv |
Universidad Nacional Mayor de San Marcos, Facultad de Ingeniería de Sistemas e Informática |
| dc.source.none.fl_str_mv |
Revista Peruana de Computación y Sistemas; Vol. 1 No. 1 (2018); 47 - 56 Revista peruana de computación y sistemas; Vol. 1 Núm. 1 (2018); 47 - 56 2617-2003 reponame:Revistas - Universidad Nacional Mayor de San Marcos instname:Universidad Nacional Mayor de San Marcos instacron:UNMSM |
| instname_str |
Universidad Nacional Mayor de San Marcos |
| instacron_str |
UNMSM |
| institution |
UNMSM |
| reponame_str |
Revistas - Universidad Nacional Mayor de San Marcos |
| collection |
Revistas - Universidad Nacional Mayor de San Marcos |
| repository.name.fl_str_mv |
|
| repository.mail.fl_str_mv |
|
| _version_ |
1795238282032840704 |
| spelling |
Information security risk management model for Peruvian PYMESModelo de gestión de riesgos de seguridad de la información para PYMES peruanasGarcía Porras, Johari C.Huamani Pastor, Sarita C.Lomparte Alvarado, Rómulo F.Gestión de riesgosSeguridad de la InformaciónPymesOCTAVEISO/IEC 27005.Risk ManagementSecurity InformationSMESOCTAVEISO/IEC 27005.Nowadays, companies seek to protect their information because it is a very valuable asset. In order to protect it, it is necessary to manage the risks, which will prevent scenarios that generate a negative impact such as significant financial losses, violation of the confidentiality of sensitive information, loss of integrity, or the availability of confidential information. Organizations such as SMEs do not implement risk management models because they do not care about allocating a budget for information security. There are different approaches that are used to manage the risks, but, in general, these focus on big companies. However, those that target SMEs have a qualitative approach. This paper presents a suitable risk management model, based on the OCTAVE-S methodology and the standard ISO/IEC 27005, it consists of the 3 phases of OCTAVE to which is added the list of vulnerabilities and scenarios in phase 1, as well as the calculation and treatment of the risk of ISO/IEC 27005 in the last phase. Likewise, the model takes a quantitative approach that allows to calculate the residual risk based on the effectiveness of the controls given, creating a suitable model for the organizations, in order to and, therefore, to facilitate decision making. This model has been applied in a Peruvian clay-ceramic industry SME in its sales process, showing its easy use and managing to identify the necessary controls to reduce the risk, whose implementation could reduce the risk by 53%.Hoy en día, las empresas tratan de proteger su activo muy valioso, la información, para lo que recurren a la gestión de sus riesgos, tratando de evitar situaciones negativas tales como pérdidas financieras significativas, violación de la confidencialidad de información sensible, pérdida de integridad o disponibilidad de datos confidenciales. En organizaciones como las PYMES no se implementan modelos de gestión de riesgos debido a que estas organizaciones no consideran relevante la seguridad de la información, ya que no se encuentra dentro de lo presupuestado. Existen diferentes enfoques de riesgos, pero, generalmente dirigidos a grandes empresas; para las PYMES es más adecuado emplear un enfoque cualitativo. Este trabajo presenta un modelo de gestión de riesgos basado en la metodología OCTAVE-S y la norma ISO/IEC 27005, consta de las 3 fases de OCTAVE al que se le añade la lista de vulnerabilidades y escenarios en la fase 1, además el cálculo y tratamiento del riesgo de la ISO/IEC 27005 en la última fase. Asimismo, el modelo adopta un enfoque cuantitativo que permite calcular el riesgo residual con base en la efectividad de los controles otorgados, de este modo se logra brindar un modelo adecuado para las organizaciones. El modelo propuesto fue implementado en el proceso de ventas de una PYME peruana del sector cerámicos, demostrando un fácil uso, y logrando identificar los controles necesarios para reducir el riesgo, cuya implementación podría reducir el riesgo en un 53%.Universidad Nacional Mayor de San Marcos, Facultad de Ingeniería de Sistemas e Informática2018-07-10info:eu-repo/semantics/articleinfo:eu-repo/semantics/publishedVersionapplication/pdfhttps://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/1485610.15381/rpcs.v1i1.14856Revista Peruana de Computación y Sistemas; Vol. 1 No. 1 (2018); 47 - 56Revista peruana de computación y sistemas; Vol. 1 Núm. 1 (2018); 47 - 562617-2003reponame:Revistas - Universidad Nacional Mayor de San Marcosinstname:Universidad Nacional Mayor de San Marcosinstacron:UNMSMspahttps://revistasinvestigacion.unmsm.edu.pe/index.php/rpcsis/article/view/14856/13008Derechos de autor 2018 Johari C. García Porras, Sarita C. Huamani Pastor, Rómulo F. Lomparte Alvaradohttps://creativecommons.org/licenses/by-nc-sa/4.0info:eu-repo/semantics/openAccessoai:ojs.csi.unmsm:article/148562018-07-18T15:25:53Z |
| score |
13.905282 |
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
