Framework gestión de la seguridad de la información para universidades
El gobierno y gestión de los procesos de TI se ven afectados por muchas variables, y la medida de estas es crucial para identificar las posibles vulnerabilidades en los procesos. El estado colombiano reconoce que la información es un recurso y activo que tiene valor y debe ser debidamente protegida...
- Autores:
-
Herrera Olivares, Maher Stehisy
Rada Martínez, Alison Jaileen
Palacio Salcedo, Isaac Enrique
- Tipo de recurso:
- Fecha de publicación:
- 2020
- Institución:
- Universidad del Norte
- Repositorio:
- Repositorio Uninorte
- Idioma:
- spa
- OAI Identifier:
- oai:manglar.uninorte.edu.co:10584/8868
- Acceso en línea:
- http://hdl.handle.net/10584/8868
- Palabra clave:
- ISO 27000
controles de seguridad
medidas de seguridad
riesgos, amenazas
seguridad de la Información
manejo de incidentes
toma de decisiones
prueba
monitoreo
ISO 27000
Security controls
security assurance
risks
threats
information security
incident management
decision-making
test
monitoring
- Rights
- License
- Universidad del Norte
| Summary: | El gobierno y gestión de los procesos de TI se ven afectados por muchas variables, y la medida de estas es crucial para identificar las posibles vulnerabilidades en los procesos. El estado colombiano reconoce que la información es un recurso y activo que tiene valor y debe ser debidamente protegida (Arevalo, Bayona & Rico, 2015). Para generar valor desde TI se debe medir el desempeño de los procesos de seguridad y sus riesgos. Para hacer esto se necesitan unos estándares de referencia, como los son el ISO 27000. Los requisitos de esta norma aporta un Sistema de Gestión de la Seguridad de la Información (SGSI) consistente en medidas orientadas a proteger la información, independiente de su formato contra cualquier amenaza, de forma que se garantice la continuidad de las actividades de la empresa (Alemán & Rodríguez, 2018). Se propone un framework para la gestión de la seguridad en contextos universitarios basado en las Normas ISO 27000. Para esto se elabora una revisión sistemática de la literatura relacionada con Frameworks de seguridad de la información organizacional, se diseña un prototipo para medir el nivel de madurez de un sistema. Y finalmente se valida el marco de trabajo propuesto en un contexto como la Universidad del Norte. El framework se divide en cuatro fases: primero, se identifica el estado de cumplimiento de los controles en el sistema a evaluar con el uso de la herramienta web diseñada. Segundo, la directiva debe definir un plan de implementación de acuerdo a los riesgos encontrados en la fase anterior. Tercero, se lleva a cabo la ejecución de lo planificado. Y por último, se hace un monitoreo para controlar el desarrollo del funcionamiento de lo implementado, además, en esta fase ha de planificarse la ejecución de las auditorías internas y las revisiones por la dirección. |
|---|