Metodología para seleccionar políticas de seguridad informática en un establecimiento de educación superior
Palabras clave:
políticas de seguridad, NTE INEN-ISO/IEC 27002:2009, método delphi, CCResumen
La selección e implementación de políticas de seguridad informática a momentos resulta dificultoso cuando no se emplea un procedimiento adecuado. A esto se suma un problema más, que en varias ocasiones no se tiene datos históricos como por ejemplo auditorías informáticas para determinar la situación actual y el grado de madurez de la seguridad informática en los establecimientos de educación superior. El presente trabajo busca desarrollar una metodología para obtener datos que nos permitan determinar la situación actual de la seguridad informática en la Dirección de Tecnologías de Información y Comunicación (DTIC) de la Universidad de Cuenca. En este estudio se aplica el método Delphi para hacer consulta a expertos en dónde se utilizaron todos los controles de la Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27002:2009 para elaborar los cuestionarios que nos permitan, en primer lugar, identificar las vulnerabilidades y, en segundo lugar, priorizar los controles de seguridad para seleccionar las políticas de seguridad informáticas específicas que se necesitan implementar en la DTIC. Los resultados obtenidos demuestran que existen pocas políticas de seguridad informática, las cuales están definidas en términos muy generales dentro de la institución. Adicionalmente, se determinó que no se realiza una adecuada revisión y verificación del cumplimiento.
Descargas
Métricas
Citas
Avalos, H., Gómez, E. (2015). Seguridad de la información, generación y mitigación de un ataque de denegación de servicios. Revista Tecnológica ESPOL, 28(5), 54-72. Disponible en http://www.rte.espol.edu.ec/index.php/tecnologica/article/view/425
Baldeón, M., Coronel, C. (2012). Plan maestro de seguridad informatica para la UTIC de la ESPE con lineamientos de la Norma SO/IEC 27002. Maestría Gerencia de Sistemás. ESPE. http://repositorio.espe.edu.ec/handle/21000/6025
Cabero, J., Infante, A. (2014). Empleo del método Delphi y su empleo en la investigación en Comunicación y Educación. EDUTEC, 48, 1-16. Disponible en https://idus.us.es/xmlui/ bitstream/handle/11441/32234/edutec-e_n48_cabero-infante.pdf?sequence=1&isAllowed=y
Chavez, A. (2009). Seguridad informática. Informe, CLACSO, Universidad de Buenos Aires.
Dussan, C. (2006). Políticas de seguridad informática. Entramado, 2(1), 86-92. Disponible en http://www.redalyc.org/pdf/2654/265420388008.pdf
Gómez, A. (2011). Gestión de incidentes de seguridad informática (1ª ed.). 128 p. Madrid, España: Starbook Editorial.
Ishizaka, A., Nemery, P. (2013). Multi-criteria decision analysis: Methods and software. 310 p. Wiley.
Lanche, D. S. (2015). Diseño de un sistema de seguridad de la información para la Compañía Acotecnic Cía. Ltda. basado en la norma NTE INEN ISO/IEC 27002. Tesis de Maestría en Telematica, Universidad de Cuenca, Cuenca, Ecuador, 181 p.
LEXIS S.A. (2004). Ley orgánica de transparencia y acceso a la información publica. Ley 24, Registro Oficial Suplemento 337 de 18-may.-2004. 13 pp. Disponible en https://www.educacionsuperior.gob.ec/wp-content/uploads/downloads/2014/09/LOTAIP.pdf
Medina, J., Ortiz, F., Franco, C., Aranzazú, C. (2010). Matriz de priorización para toma de decisiones. Facultad de Ciencias de la Administración, Universidad de Valle, Cali, Colombia. 23 p. Disponible en http://sigp.sena.edu.co/soporte/Plan/03_Matriz%20de%20priorizacion
Mosquera, L., Andrade, D., Sierra, L. (2013). Guía para apoyar la priorización de riesgos en la gestión de proyectos de tecnologías de la información. Revista Gerencia Tecnológica Informática, 12(33), 15-32. Disponible en http://revistas.uis.edu.co/index.php/revistagti/ article/view/3550/3650
Romo, D., Valarezo, J. (2012). Análisis e implementación de la norma ISO 27002 para el departamento de sistemas de la Universidad Politécnica Salesiana sede Guayaquil. Tesis pregrado, Facultad de Ingeniería, Universidad Politécnica Salesiana, Guayaquil, Ecuador, 183 p. Disponible en https://dspace.ups.edu.ec/bitstream/123456789/3163/1/UPS-GT000319.pdf
Solarte, F., Enriquez, E., Benavides, M. (2015). Metodología de análisis y evaluación de riesgos aplicados a la seguridad informática y de información bajo la norma ISO/IEC 27001. Revista Tecnológica ESPOL, 28(5), 492-507.
Solórzano, L. S., Rezabala, J. (2013). Estudio sobre el estado del arte de la seguridad informática en el Ecuador. Artículos de Tesis de grado, Facultad de Ingeniería en Electricidad y Computación, ESPOL, 8 pp. Disponible en https://www.dspace.espol.edu.ec/handle/123456789/24298
Tirado, N. R., Ramos, D., Alvarez, E., Carreño, S. (2017). Seguridad informática, un mecanismo para salvaguardar la información de las empresas. Revista Publicando, 4(10), 462-473. Disponible en https://www.rmlconsultores.com/revista/index.php/crv/article/viewFile/367/pdf_332
Universidad Luján. (2015). Amenazas a la seguridad de la información. Disponible en http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
Wood, C. C. (2002). Políticas de seguridad informática - Mejores prácticas internacionales (Versión 9). Houston, TX, USA: NetIQ, Inc.
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Copyright © Autors. Creative Commons Attribution 4.0 License para cualquier artículo enviado a partir del 6 de junio de 2017. Para los manuscritos presentados anteriormente, se utilizó la licencia CC BY 3.0.
Usted es libre de:
Compartir — compartir y redistribuir el material publicado en cualquier medio o formato. |
Adaptar — combinar, transformar y construir sobre el material para cualquier propósito, incluso comercialmente. |
Bajo las siguientes condiciones:
Atribución — Debe otorgar el crédito correspondiente, proporcionar un enlace a la licencia e indicar si se realizaron cambios. Puede hacerlo de cualquier manera razonable, pero de ninguna manera que sugiera que el licenciador lo respalda a usted o a su uso. |
Sin restricciones adicionales: no puede aplicar términos legales o medidas tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita la licencia. |
Mayor información sobre este acuerdo de autoría y licencia, transferencia de derechos o solicitudes de reproducción, pueden ser consultados en este enlace.