Diseño de un prototipo de software para aplicar análisis GAP a los controles descritos en el anexo a de la norma ISO 27001:2013

Debido a la evolución permanente de las tecnologías de la información y las comunicaciones que demandan un mayor esfuerzo para garantizar la seguridad, a las constantes amenazas que hoy en día atentan contra la seguridad de la información que cada vez son más especializadas, complejas y avanzadas, y...

Full description

Autores:
Betancourt Betancourt, Anderson Danilo
Tipo de recurso:
Fecha de publicación:
2016
Institución:
Universidad Tecnológica de Pereira
Repositorio:
Repositorio Institucional UTP
Idioma:
spa
OAI Identifier:
oai:repositorio.utp.edu.co:11059/7728
Acceso en línea:
https://hdl.handle.net/11059/7728
Palabra clave:
Ingeniería de software
Norma Técnica Colombiana NTC ISO/IEC 27001:2013
Seguridad de la información
Seguridad en computadores
Protección de datos
Cifrado de datos (Informática)
Rights
License
Attribution-NonCommercial-NoDerivatives 4.0 International
Description
Summary:Debido a la evolución permanente de las tecnologías de la información y las comunicaciones que demandan un mayor esfuerzo para garantizar la seguridad, a las constantes amenazas que hoy en día atentan contra la seguridad de la información que cada vez son más especializadas, complejas y avanzadas, y a la normatividad vigente que regula y exige una mayor protección y privacidad de los datos sensibles, personales, comerciales y financieros de las personas, las organizaciones deben contar con un modelo o sistema de gestión de seguridad de la Información basado en estándares de seguridad reconocidos a nivel mundial, con el propósito de poder establecer y mantener un gobierno de seguridad alineado a las necesidades y objetivos estratégicos del negocio, compuesto por una estructura organizacional con roles y responsabilidades y un conjunto coherente de políticas, procesos y procedimientos, que le permitan gestionar de manera adecuada los riesgos que puedan atentar contra la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y no repudio de la seguridad de la información. Para lograr una adecuada gestión de la información es indispensable que las organizaciones establezcan una metodología estructurada, clara y rigurosa para la valoración y tratamiento de los riesgos de seguridad, con el objetivo de (i) conocer el estado real de la seguridad de los activos de información a través de los cuales se gestiona la información del negocio, (ii) identificar y valorar las amenazas que puedan comprometer la seguridad de la información y (iii) determinar los mecanismos y medidas de seguridad a implementar para minimizar el impacto en caso de las posibles pérdidas de confiabilidad, integridad y disponibilidad de la información.