Abstract:
Este trabajo presenta una guía para la gestión de vulnerabilidades en la seguridad de la información en la empresa Energym, el proyecto de baso en el estándar ISO/IEC 27001 como referencia principal. La investigación nace ante la necesidad de optimizar la protección de los datos y minimizar los riesgos informáticos en pequeñas empresas que, como Energym, carecen de estrategias formales de ciberseguridad.
Para desarrollar la guía, se utilizó un enfoque de investigación mixto, combinando análisis cualitativo y cuantitativo. Donde se llevaron a cabo entrevistas y encuestas a los colaboradores de Energym, así como un análisis comparativo con los controles de la norma ISO/IEC 27001. Los resultados evidenciaron que la empresa presenta vulnerabilidades en la gestión de accesos, protección de datos y concienciación en seguridad, lo que la expone a riesgos como ataques de phishing, malware y pérdida de información.
Como resultado, se diseñó una guía estructurada que abarca políticas para la mejora de la seguridad, control en los accesos, cifrado de datos, respuesta ante posibles incidentes y continuidad para el negocio. Además, se establecieron estrategias para la implementación progresiva de estas medidas con el objetivo de robustecer la seguridad de la información en la empresa. La propuesta busca proporcionar a Energym una herramienta práctica y adaptable, que le permita mejorar su postura de seguridad sin necesidad de grandes inversiones, asegurando así la protección de sus datos y la continuidad de sus operaciones.
Description:
This paper presents a guide for managing information security vulnerabilities at Energym, a company whose project is based on the ISO/IEC 27001 standard as its main reference. The research arose from the need to optimize data protection and minimize IT risks in small companies that, like Energym, lack formal cybersecurity strategies.
To develop the guide, a mixed research approach was used, combining qualitative and quantitative analysis. Interviews and surveys were conducted with Energym employees, and a comparative analysis was carried out with the controls of the ISO/IEC 27001 standard. The results showed that the company has vulnerabilities in access management, data protection, and security awareness, exposing it to risks such as phishing attacks, malware, and information loss.
As a result, a structured guide was designed covering policies for improving security, access control, data encryption, response to possible incidents, and business continuity. In addition, strategies were established for the progressive implementation of these measures with the aim of strengthening information security in the company. The proposal aims to provide Energym with a practical and adaptable tool that will enable it to improve its security posture without the need for major investments, thereby ensuring the protection of its data and the continuity of its operations.
