Pinzón Nuñez, Sonia AlexandraAriza Suaza, Jhon HaroldRincón López, Julián Andrés2025-09-052025-09-052025-07-16http://hdl.handle.net/11349/98834Las pequeñas y medianas empresas (PYMEs) del sector de tecnología de la información (T.I.) enfrentan crecientes desafíos en ciberseguridad debido a la evolución de las amenazas y la falta de estrategias estructuradas para la gestión de riesgos. Este trabajo propone un modelo de gestión de riesgos basado en la norma ISO 27001, con el objetivo de fortalecer la seguridad perimetral y mitigar vulnerabilidades en estas organizaciones. El modelo se desarrolla utilizando el Ciclo Deming (PDCA: Plan, Do, Check, Act), permitiendo una gestión eficiente y continua de los riesgos. En la fase de planificación (Plan), se identifican activos críticos, amenazas y vulnerabilidades. La fase de implementación (Do) define controles de seguridad alineados con ISO 27001. Posteriormente, en la fase de verificación (Check), se establecen métricas de desempeño, y en la fase de mejora (Act), se optimizan los controles en función de nuevas amenazas. La metodología aplicada incluye el análisis de normativas, el diseño teórico del modelo y su evaluación en términos técnicos, operativos y económicos. Los resultados indican que la adopción de un modelo estructurado mejora la capacidad de las PYMEs para prevenir y responder a incidentes de seguridad, garantizando el cumplimiento de estándares internacionales. Como conclusión, el estudio resalta la importancia de implementar modelos de gestión de riesgos en las PYMEs del sector T.I., promoviendo una cultura de ciberseguridad. PALABRAS CLAVE: Gestión de riesgos, ISO 27001, seguridad perimetral, PYMEs, ciberseguridad,PDCA.Small and medium-sized enterprises (SMEs) in the information technology (IT) sector face growing cybersecurity challenges due to the evolution of threats and the lack of structured strategies for risk management. This paper proposes a risk management model based on the ISO 27001 standard, aimed at strengthening perimeter security and mitigating vulnerabilities in these organizations. The model is developed using the Deming Cycle (PDCA: Plan, Do, Check, Act), allowing for efficient and continuous risk management. In the planning phase (Plan), critical assets, threats, and vulnerabilities are identified. The implementation phase (Do) defines security controls aligned with ISO 27001. Subsequently, in the verification phase (Check), performance metrics are established, and in the improvement phase (Act), controls are optimized based on new threats. The applied methodology includes the analysis of regulations, the theoretical design of the model, and its evaluation in technical, operational, and economic terms. The results indicate that the adoption of a structured model enhances the SMEs' ability to prevent and respond to security incidents, ensuring compliance with international standards. In conclusion, the study highlights the importance of implementing risk management models in SMEs within the IT sector, promoting a cybersecurity culture.pdfspaGestión de riesgosISO 27001Seguridad perimetralPYMEsCiberseguridadPDCAbachelorThesisingeniería Telemática -- Tesis y disertaciones académicasOpenAccessRisk managementISO 27001Perimeter securitySMEsCybersecurityPDCAAbierto (Texto Completo)