Metodología para seleccionar políticas de seguridad informática en un establecimiento de educación superior
Keywords:
IT security policies, NTE INEN-ISO/IEC 27002:2009, delphi method, CCAbstract
The selection and implementation of computer security policies is sometimes difficult when an adequate procedure is not in place nor used. An additional problem to this situation is that rarely we possess historical data, such as computer audits, as to determine the current situation and the maturity degree of computer security at higher education institutions. The present study attempted to develop a methodology to collect data that permit the determination of the current situation of computer security in the Department of Information and Communication Technologies (DTIC) of the University of Cuenca. The Delphi method was applied to consult experts if all the controls of the NTE INEN-ISO/IEC 27002:2009 Ecuadorian Technical Standard were used as basis for the elaboration of questionnaires. The questionnaires allowed to identify the vulnerabilities and prioritize security controls and permitted to select the specific IT security policies needed to be implemented in the DTIC. The obtained results demonstrate that there are few computer security policies in place, and in addition they are defined in very general terms within the institution. Further, the study revealed that an adequate review and verification of compliance is not performed.
Downloads
Metrics
References
Avalos, H., Gómez, E. (2015). Seguridad de la información, generación y mitigación de un ataque de denegación de servicios. Revista Tecnológica ESPOL, 28(5), 54-72. Disponible en http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/425
Baldeón, M., Coronel, C. (2012). Plan maestro de seguridad informatica para la UTIC de la ESPE con lineamientos de la Norma SO/IEC 27002. Maestría Gerencia de Sistemás. ESPE. http://repositorio.espe.edu.ec/handle/21000/6025
Cabero, J., Infante, A. (2014). Empleo del método Delphi y su empleo en la investigación en Comunicación y Educación. EDUTEC, 48, 1-16. Disponible en https://idus.us.es/xmlui/ bitstream/handle/11441/32234/edutec-e_n48_cabero-infante.pdf?sequence=1&isAllowed=y
Chavez, A. (2009). Seguridad informática. Informe, CLACSO, Universidad de Buenos Aires.
Dussan, C. (2006). Políticas de seguridad informática. Entramado, 2(1), 86-92. Disponible en http://www.redalyc.org/pdf/2654/265420388008.pdf
Gómez, A. (2011). Gestión de incidentes de seguridad informática (1ª ed.). 128 p. Madrid, España: Starbook Editorial.
Ishizaka, A., Nemery, P. (2013). Multi-criteria decision analysis: Methods and software. 310 p. Wiley.
Lanche, D. S. (2015). Diseño de un sistema de seguridad de la información para la Compañía Acotecnic Cía. Ltda. basado en la norma NTE INEN ISO/IEC 27002. Tesis de Maestría en Telematica, Universidad de Cuenca, Cuenca, Ecuador, 181 p.
LEXIS S.A. (2004). Ley orgánica de transparencia y acceso a la información publica. Ley 24, Registro Oficial Suplemento 337 de 18-may.-2004. 13 pp. Disponible en https://www.educacionsuperior.gob.ec/wp-content/uploads/downloads/2014/09/LOTAIP.pdf
Medina, J., Ortiz, F., Franco, C., Aranzazú, C. (2010). Matriz de priorización para toma de decisiones. Facultad de Ciencias de la Administración, Universidad de Valle, Cali, Colombia. 23 p. Disponible en http://sigp.sena.edu.co/soporte/Plan/03_Matriz%20de%20priorizacion
Mosquera, L., Andrade, D., Sierra, L. (2013). Guía para apoyar la priorización de riesgos en la gestión de proyectos de tecnologías de la información. Revista Gerencia Tecnológica Informática, 12(33), 15-32. Disponible en http://revistas.uis.edu.co/index.php/revistagti/ article/view/3550/3650
Romo, D., Valarezo, J. (2012). Análisis e implementación de la norma ISO 27002 para el departamento de sistemas de la Universidad Politécnica Salesiana sede Guayaquil. Tesis pregrado, Facultad de Ingeniería, Universidad Politécnica Salesiana, Guayaquil, Ecuador, 183 p. Disponible en https://dspace.ups.edu.ec/bitstream/123456789/3163/1/UPS-GT000319.pdf
Solarte, F., Enriquez, E., Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica ESPOL, 28(5), 492-507.
Solórzano, L. S., Rezabala, J. (2013). Estudio sobre el estado del arte de la seguridad informática en el Ecuador. Artículos de Tesis de grado, Facultad de Ingeniería en Electricidad y Computación, ESPOL, 8 pp. Disponible en https://www.dspace.espol.edu.ec/handle/123456789/24298
Tirado, N. R., Ramos, D., Alvarez, E., Carreño, S. (2017). Seguridad informática, un mecanismo para salvaguardar la información de las empresas. Revista Publicando, 4(10), 462-473. Disponible en https://www.rmlconsultores.com/revista/index.php/crv/article/viewFile/367/pdf_332
Universidad Luján. (2015). Amenazas a la seguridad de la información. Disponible en http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
Wood, C. C. (2002). Políticas de seguridad informática - Mejores prácticas internacionales (Versión 9). Houston, TX, USA: NetIQ, Inc.
Downloads
Published
How to Cite
Issue
Section
License
Copyright © Autors. Creative Commons Attribution 4.0 License. for any article submitted from 6 June 2017 onwards. For manuscripts submitted before, the CC BY 3.0 License was used.
You are free to:
 |
Share — copy and redistribute the material in any medium or format |
 |
Adapt — remix, transform, and build upon the material for any purpose, even commercially. |
Under the following conditions:
 |
Attribution — You must give appropriate credit, provide a link to the licence, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licenser endorses you or your use. |
| No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the licence permits. |
