Herramienta de soporte para verificar el cumplimiento de estándares y regulaciones en implementaciones de estrategias de seguridad de la información

Autores/as

  • Felipe Reyes López Universidad Icesi, Cali
  • Yaneth Betancurt Domínguez Universidad Icesi, Cali
  • Ingrid Lucia Muñoz Periñán Universidad Icesi, Cali
  • Andrés Felipe Paz Loboguerrero Universidad Icesi, Cali

DOI:

https://doi.org/10.18046/syt.v13i32.2032

Palabras clave:

Seguridad de la información, ISO 27001, ISO 27002, Circular 038, Circular 042, análisis de brecha

Resumen

La preocupación de las organizaciones por asegurar su información es creciente; las regulaciones gubernamentales y el mercado les exigen cumplir con niveles apropiados en ello, para seguir operando. En este artículo se presenta una herramienta de soporte al proceso de análisis de brecha respecto del estado de la compañía y de las disposiciones de los referentes más reconocidos en el ámbito colombiano en materia de seguridad de la información. La herramienta permite evaluar el nivel de cumplimiento con respecto a los estándares ISO 27001, ISO 27002 en sus versiones 2013 y las Circulares 038 y 042 de la Superintendencia Financiera de Colombia. En la herramienta se concibe un modelo de datos que recoge los resultados de un análisis comparativo entre los estándares y las circulares mencionadas, capaz de soportar la inclusión de nuevos referentes y relacionarlos con los ya incluidos. Para validar la completitud y correctitud del funcionamiento del prototipo implementado se crearon varios escenarios de evaluación.

Biografía del autor/a

  • Felipe Reyes López, Universidad Icesi, Cali
    Ingeniero Electrónico de la Universidad del Valle (Cali-Colombia) con Maestría en Gerencia Informática y Telecomunicaciones de la Universidad Icesi (Cali). Trabaja como Professional Services Engineer en Schneider Electric
  • Yaneth Betancurt Domínguez, Universidad Icesi, Cali
    Ingeniera de Sistemas de la Universidad del Valle (Cali-Colombia) con Maestría en Gerencia Informática y Telecomunicaciones de la Universidad Icesi (Cali). Trabaja como Analista de procesos, requerimientos funcionales y SQA en Expert LA Information.
  • Ingrid Lucia Muñoz Periñán, Universidad Icesi, Cali
    Ingeniera Electrónica de la Universidad del Valle (Cali-Colombia), Especialista en Gerencia Informática Organizacional de la Universidad Icesi (Cali-Colombia) y Máster en Gerencia Informática y Telecomunicaciones de la Universidad Icesi. Gerente de Domuz Consultoría S.A.S., Consultora en Seguridad de la información, gerencia y gobierno de TI. Coordinadora Académica del Diplomado en Gerencia de Proyectos en la Universidad Icesi; Project Management Professional (PMP); y Auditor Líder ISO 27001, COBIT Foundation Certified.
  • Andrés Felipe Paz Loboguerrero, Universidad Icesi, Cali
    Ingeniero de Sistemas y Máster en Informática y Telecomunicaciones de la Universidad Icesi (Cali-Colombia). Profesor hora cátedra del Departamento de Tecnologías de la Información y las Comunicaciones y miembro del grupo de Investigación en Informática y Telecomunicaciones [i2t] en la Universidad Icesi.

Referencias

Álvarez, F.M. & García, P.A. (2007). Implementación de un sistema de gestión de seguridad de la información basado en la
norma ISO 27001, para la intranet de la Corporación Metropolitana de Salud [thesis]. Escuela Politécnica Nacional: Quito,
Ecuador.

Check-up digital (2013). Retrieved from http://www.naa.gov.au/records-management/check-up/

Ernst & Young [EY]. (2012). Internal audit [online]. Retrieved from http://www.ey.com/GL/en/Services/Advisory/EY-internal-audit

Feng, N., & Li, M. (2011). An information systems security risk assessment model under uncertain environment. Applied Soft
Computing, 11(7), 4332–4340. doi:10.1016/j.asoc.2010.06.005

International Organization for Standardization / International Electrotechnical Commission [ISO/IEC]. (2013a). ISO/IEC
27001:2013: Information technology -- Security techniques --
Information security management systems -- Requirements.
Geneva, Switzerland: ISO.

International Organization for Standardization / International Electrotechnical Commission [ISO/IEC]. (2013b). ISO/IEC
27002:2013: Information technology -- Security techniques -- Code of practice for information security controls. Geneva,
Switzerland: ISO.

Robinson, M. (2014). Risk assessment toolkit [online]. Retrieved from http://www.cio.ca.gov/OIS/Government/risk/toolkit.asp
Superintendencia Financiera de Colombia [SFC]. (2009). Circular externa 038 [memo].

Superintendencia Financiera de Colombia [SFC]. (2012). Circular externa 042 [memo].

Wheeler, E. (2011). Security risk management: Building an information security risk management program from the Ground
Up. The Netherlands: Elsevier. doi:10.1016/B978-1-59749-615-5.00022-0

Descargas

Publicado

2015-03-30

Número

Vol. 13 Núm. 32 (2015)

Sección

Investigación científica y tecnológica

Licencia

Esta publicación está licenciada bajo los términos de la licencia CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.es)