En este trabajo de investigación se refiere a la presentación de un análisis de riesgos y vulnerabilidades de la información, utilizando la norma ISO 27005:2008 en donde nos permite identificar, analizar, evaluar los diferentes tipos de riesgo que se tiene en una organización, permitiendo establecer controles o salvaguardias con la finalidad de mitigar el riesgo.

 Se efectuó un análisis analítico de la situación actual de la empresa, para determinar el estado real de la seguridad de la información, aplicando la norma ISO 27001, obteniendo como resultados la carencia de procesos y normas para su cumplimiento y ejecución.

Para que estos procesos se lleven a cabo se enumeraron todos los activos de la organización que fueron identificados mediante una metodología de buenas prácticas en normas y estándares (Magerit), que serán considerados para la valoración del activo (hardware, software, personas y datos), valoración del impacto e identificación de las vulnerabilidades.

Mediante el análisis de los riegos informáticos que se presenta en la organización, se aplicó una matriz de riesgo consiguiendo el Riesgo Inherente el cual dio una radiografía de la situación actual de la organización y posteriormente se propuso controles y se obtuvo el riesgo residual.

Los resultados de este trabajo aportan a la alta gerencia en la toma de decisiones, para el tratamiento del riesgo mediante normas, estándares y buenas practicas, sin afectar la información de la empresa y tener continuidad en el negocio y alcanzar los objetivos planteados por la organización.

“Las tendencias en los riesgos relacionados a TI |.” [Online]. Available: http://www.itahora.com/actualidad/seguridad/las-tendencias-en-los-riesgos- relacionados-a-ti/. [Accessed: 08-Dec-2017].

I. R. Narváez Barreiros, “Aplicación de la norma Iso 27001 para la implementación de un SGSI en la fiscalía general del estado,” Pontif. Univ. Católica del Ecuador, 2013.

H. Alemán Novoa and C. Rodríguez Barrera, “Metodologías para el análisis de riesgos en los sgsi,” Publicaciones e Investig., vol. 9, no. 0, p. 73, Oct. 2015.

J. Muñoz and Jorge, “Diseño de un plan estratégico para la seguridad de la información de CIAS & Profesionales S.A.S,” 2018.

ISO 25012.” [Online]. Available: http://iso25000.com/index.php/normas-iso-25000/iso-25012?limit=5&limitstart=0. [Accessed: 08-Dec-2017].

N. Yaraghi and R. G. Langhe, “Critical success factors for risk management systems,” J. Risk Res., vol. 14, no. 5, pp. 551–581, May 2011.

S. A. Torabi, R. Giahi, and N. Sahebjamnia, “An enhanced risk assessment framework for business continuity management systems,” Saf. Sci., vol. 89, pp.201–218, Nov. 2016.

M. S. Saleh and A. Alfantookh, “A new comprehensive framework for enterprise information security risk management,” Appl. Comput. Informatics, vol. 9, no. 2, pp. 107–118, 2011.

S. Morimoto, S. Shigematsu, Y. Goto, and J. Cheng, “Formal verification of security specifications with common criteria,” in Proceedings of the 2007 ACM symposium on Applied computing - SAC ’07, 2007, p. 1506.

W. G. Carrera Villamarín and S. J. Garcia Venegas, “Diseño de un modelo de gestión de riesgos de seguridad de la información basado en el acoplamiento de la norma ISO/IEC 27005:2008 y el Método Octave,” 2013.