Metodología para análisis de riesgo de información apoyado en ISO 27005

Autores/as

José Teodoro Mejía Viteri
Universidad Técnica de Babahoyo
María Isabel Gonzales Valero
Universidad Técnica de Babahoyo
Ángel Rafael España León
Universidad Técnica de Babahoyo

Sinopsis

Hoy en día la informática es la columna vertebral de las empresas públicas y privadas, es tan crítico tener un departamento de Tecnologías de la Información y comunicación, que provea servicios, tales como páginas web, control en los accesos a la información, y software que funcionan a nivel LAN y WAN, esto lleva a que se deba asegurar la disponibilidad y la seguridad de la misma, tanto así que el bien más cotizado por las empresas es la información, hoy en día se escucha mucho que los  hackers se apropian de la información de los clientes de las empresas, solicitando cuantiosas cantidades de dinero por esta, y se hace necesario poseer una infraestructura que cumpla con los más altos estándares en cuanto a seguridad, integridad y confidencialidad.

El aprovechamiento ilícito de las vulnerabilidades en la seguridad de los sistemas y ataques informáticos incluyendo fraude, extorsión, robo de información, venganza o simplemente el desafío de conocimientos en informática, han dado lugar a la generación de conductas ilícitas susceptibles de ser sancionadas por el derecho penal a aquellas personas que hacen el uso indebido de cualquier medio informático, los delitos informáticos pueden alterar, afectar, destruir, dañar o perjudicar a los, sistemas, procesos, infraestructura tecnológica e información en general, afectada por métodos que comprometen la confidencialidad, integridad y disponibilidad de la información de las personas, empresas y/u organizaciones.

La importancia que se deben plantear las empresas al momento de implementar medidas de seguridad sobre accesos y hurto de información debe enfocarse a través de normativas que apoyen la implementación de controles .Hoy en día el activo más valioso de una empresa es la información, por lo tanto en el texto hace mucho énfasis a la implementación de las normas ISO 27001 para que las empresas tengan cierto grado de confidencialidad y controles de acceso.

Las políticas de seguridad informática fijan los mecanismos y procedimientos que debe adoptar el departamento de Tecnologías de toda Institución para salvaguardar sus sistemas y la información que estos contienen. Éstas políticas deben diseñarse "a medida" para así recoger las características propias de cada departamento. No son una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, son más bien una descripción de lo que se debe proteger y el porqué de ello, por lo que pueden tomarse como una forma de comunicación entre los operadores y los directores. De acuerdo con lo anterior, el aplicar una auditoria de seguridad informática requiere un alto compromiso de los principales directivos de la empresa, explotar las destrezas, habilidades y experiencia técnica de los usuarios; detectar fallas, debilidades, y revisiones periódicas que permitan actualizar dichas políticas en función del dinámico ambiente que rodea las organizaciones modernas.

En el artículo científico del magister Carlos Manuel Fernández Sánchez docente de la Universidad Alcalá de Henares Madrid titulado La norma ISO 27001 del sistema de Gestión de la Garantía de Confidencialidad y garantía de la seguridad de la Información  indica que la norma ISO 27001 tiene relación con otras normas que conforman el modelo de gobierno y gestión de las Tecnologías de la Información y Comunicación (TIC) desarrollado por AENOR, basado en estándares aceptados mundialmente.” Se puede decir que, gracias a este modelo, el Centro de Proceso de Datos y el resto de la organización comienzan hablar el mismo lenguaje y a interconectarse de manera más natural y eficiente”, (Fernández Carlos, 2013).

Es por todos los peligros y razones detallados es que la contraloría general del estado para los organismo del sector público acopla a un marco de trabajo de procesos de tecnología que aseguren la transparencia y el control; crea las Normas de Control Interno donde existe una sección dedicada a las Tecnologías de la Información, que contiene controles a los accesos indebidos, procesos, proyectos y planes que se deben ejecutar para dar cumplimiento a la norma sin embargo en la sección de Mantenimiento y Control de Infraestructura Tecnológica hace referencia y establece la importancia del análisis de riesgo, para no comprometer la integridad, confidencialidad y disponibilidad en producción de los servicios proporcionados por tecnologías, sin embargo no existe una metodología o estructura para su realización.

Por lo tanto el libro desarrolla una metodología basada en ISO 27005 que ayude al cálculo de este riesgo en la infraestructura tecnológica que se vuelve imperante, y de esta manera contribuir a la gestión de la seguridad de la información y de los servicios, además de ayudar a la correcta aplicación de Controles que ayuden al cumplimiento de las Normas de control interno.

Citas

• AMUTIO, A. (2013). MAGERIT versión 3.0 Metodología de Análisis y gestión de Riesgo de los Sistemas de Información: España. Ministerio de Hacienda y administración Pública.

• BERNARD, P. (2011): Foundations of ITIL®. Ed. Van Haren Publishing.

• CHIAVENATO I. (2004). Introducción a la Teoría General de la Administración, Interamericana: McGraw-Hill.

• DÍAZ, G., ALZÓRRIZ, I., & Castro, M. (2014).Procesos y Herramientas para la seguridad de redes. España: Publicaciones UNED.

• DÍAZ, G., ALZÓRRIZ, I., & Castro, M. (2014).Procesos y Herramientas para la seguridad de redes. España: Publicaciones UNED.

• ESCRIVÁ,G.,ROMERO,D.,&Ramada,D.(2011).SeguridadInformática.España:MacMillan Iberia S.A.

• FERNÁNDEZ, C., &PIATTINI, M. (2012).Modelo para el Gobierno de las TIC basado en las normas ISO. España: AENOR.

• GÓMEZ, L., & ÁLVAREZ A.(2012).guía de aplicación de la norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes: España: AENOR.

• HELAT, A. (2003): Remembrance of Data Passed: A Study of Disk Sanization Practices: IEEE Security & Privacy: IEEE Computer Society.

• Information Systems Audit and Control Association. (2013).COBIT el Gobierno y la Gestión de las TI de la Empresa. Argentina.

• Instituto argentino de Normalización. (2010).Que es una norma. Recuperada de http://www.iram.org.ar/index.php?IDM=7.

• Organización para la Cooperación y el Desarrollo Económicos.2002.Lineamientos para la Seguridad de Sistemas de Información y Redes: “hacia una Cultura de Seguridad. Francia.

• ROA, J. (2013).Seguridad Informática. España: McGraw-Hill.

• ROJAS, S., E.(2009).Trabajo de auditoria normas ,E libro.

• Sitio Oficial de ipyme (2009).Plan de Empresa recuperado de http://planempresa.ipyme.org/

• Sitio Oficial de ITIL. (2012). El estándar ITIL. Recuperado http://www.itil-officialsite.com/.

• Sitio Oficial de la Contraloría general del estado de Ecuador. (2009).Normas de Control Interno recuperado http://www.contraloria.gob.ec/normatividad.asp.

• Sitio Oficial de Planificación del Ecuador. (2013).Esquema Gubernamental de la seguridad de la información. Recuperado de http://www.planificacion.gob.ec/wp-content/uploads/downloads/2013/12/Esquema-Gubernamental-de-Seguridades-de-la-Informaci%C3%B3n.pdf.

Cubierta para Metodología para análisis de riesgo de información apoyado en ISO 27005
Publicado
agosto 13, 2019
Creative Commons License
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-NoComercial 4.0.