Metodología para la implementación, cumplimiento y medición de un SGSI a la medida de la PYME salvadoreña

Abstract

En los últimos años han emergido nuevas formas de ataque que van desde virus informáticos, “phising”, robo de información confidencial hasta “ciberterrorismo”; las cuales ponen en riesgo la actividad económica empresarial. Ante este escenario, es importante que las empresas tomen consciencia de la importancia y la urgente necesidad de tomar acción para promover medidas que permitan reducir estos riesgos. La implementación de medidas o controles debe realizarse de forma ordenada, a través de un proceso sistematizado que permita documentar, normar, medir y mejorar la gestión de la seguridad de la información. Actualmente existen varias metodologías a través de las cuales las empresas pueden alcanzar un grado de madurez aceptable en la Seguridad de la Información. Un sistema de Gestión de la Seguridad de la Información (SGSI), basado en la norma NTS ISO / IEC 27001:2013, es una herramienta o metodología sencilla y de bajo costo que cualquier Pequeña y Mediana Empresa (PYME) puede utilizar. La norma le permite establecer políticas, procedimientos y controles de seguridad con el objeto de conocer y disminuir los riesgos de su empresa.