El equipo formado por los investigadores Santos-Olmo, A., Sánchez, L.E., Fernández Medina, E., Piattini, E. y con la colaboración de la división de ciberseguridad MARISMA del grupo Sicaman, ha participado con un artículo denominado Desarrollando una metodología de análisis de riesgos para que el sector asegurador pueda tasar los riesgos en las PYMES dentro del XIII Reunión Española sobre Criptología y Seguridad de la Información (RECSI14) Alicante, (España), 2-5 Septiembre 2014, Pp. 227-232. ISBN: 978-84-9717-323-0.
Este documento forma parte de los avances e investigaciones en el campo de la Ciberseguridad desarrolladas por el Grupo GSyA y la división de seguridad MARISMA del Grupo Sicaman.
ABSTRACT
Desarrollando una metodología de análisis de riesgos para que el sector asegurador pueda tasar los riesgos en las PYMES Resumen—En una sociedad gobernada por la información , las empresas y en particular las PYMES, dependen cada vez más de la capacidad de poder asegurar la información , no solo internamente, sino con terceros que estén dispuestos a establecer pólizas de seguros sobre la información . Pero cuando estamos hablando de activos intangibles, las aseguradoras se enfrentan a la problemática de que no existen metodologías de Análisis de Riesgos adecuadas que permitan tasar y garantizar la información de forma objetiva. En este artículo , presentamos la base de una nueva metodología que tiene como objetivo dar solución a las problemáticas presentadas por las empresas y las aseguradoras, permitiendo realizar un análisis de riesgo con menor grado de incertidumbre que los existentes en la actualidad. Palabras clave—PYMES; Analisis de riesgos; Tasación de activos; Aseguradoras I. INTRODUCCI ON Para las empresas, es muy importante implantar controles de seguridad que les permitan conocer y controlar los riesgos a los que pueden estar sometidas [1], [2]. Pero la implantación de estos controles no es suficiente, siendo necesarios sistemas que gestionen la seguridad a lo largo del tiempo, de modo que les permitan reaccionar agilmente ante nuevos riesgos, vulnerabilidades, amenazas, etc. [3]. Sin embargo, la mayor parte de las empresas tienen sistemas de seguridad caóticos creados sin unas guías adecuadas, sin documentación y con recursos insuficientes [4]. Los controles clásicos se muestran por sí solos insuficientes para dar unas mínimas garantías de seguridad. Por lo tanto, a pesar de que la realidad ha demostrado que para que las empresas puedan utilizar las tec- nologías de la información y las comunicaciones con garantías es necesario disponer de guías , métricas y herramientas que les permitan conocer en cada momento su nivel de seguridad y las vulnerabilidades que aún no han sido cubiertas [5], el nivel de implantación con exito de estos sistemas realmente es muy bajo. Este problema se acentúa especialmente en el caso de las PYMES, que cuentan con la limitación adicional de no tener recursos humanos y económicos suficientes para realizar una adecuada gestión [4]. Algunos autores [6], [7] sugieren la realización de un análisis de riesgos como parte fundamental en la PYME. Otros autores [8] proponen la necesidad de desarrollar un nuevo modelo de análisis de riesgos orientándolo directamente a las PYMES, considerando que el uso de técnicas de análisis y gestión de riesgos, así como el papel de terceros (Ej: aseguradoras), es necesario para poder garantizar la seguridad del sistema de información de las PYMES Como tal, toma especial relevancia la necesidad de obtener nuevas metodologías y modelos de análisis y gestión del riesgo, que permitan adaptarse a las PYMES, con el objetivo de eliminar (o al menos reducir) los inconvenientes y ayudar a estas sociedades a evaluar los riesgos a los que sus activos están expuestos y a establecer los controles de seguridad adecuados, permitiendo a su vez que esa evaluación de riesgos sea lo suficientemente objetiva, como para ser aceptada por terceros. De esta manera, el objetivo principal de este artículo es mostrar el framework que se está desarrollando con el objetivo de poder obtener una metodología de análisis de riesgos que dé solución a los problemas detectados en las investigaciones previas [9]. El artículo continúa en la sección II, describiendo brevemente el objetivo de la metodología y la problemática que pretende solucionar. En la sección III se presentan brevemente las propuestas de framework de la metodología . Finalmente, en la sección IV concluimos indicando cuál será el trabajo que desarrollaremos en el futuro
Más información:
URL Noticia 1: https://www.researchgate.net
URL Presentación: https://web.ua.es/programa