Ferramenta de suporte para verificar a conformidade com as normas e regulamentos na implementação de estraté- gias de segurança da informação

Autores

  • Felipe Reyes López Universidad Icesi, Cali
  • Yaneth Betancurt Domínguez Universidad Icesi, Cali
  • Ingrid Lucia Muñoz Periñán Universidad Icesi, Cali
  • Andrés Felipe Paz Loboguerrero Universidad Icesi, Cali

DOI:

https://doi.org/10.18046/syt.v13i32.2032

Palavras-chave:

Segurança da informação, ISO 27001, ISO 27002, Circular 038, Circular 042, análise de lacunas.

Resumo

As organizações estão preocupando-se cada vez mais, para garantir a segurança de suas informações; os regulamentos governamentais e o mercado estão exigindo-lhes o cumprimento de níveis adequados, para continuar operando. Neste artigo, apresenta-se uma ferramenta de apoio para o processo de análise de lacunas sobre o estado atual da empresa e das disposições das referências mais reconhecidas no âmbito colombiano sobre a segurança da informação. A ferramenta permite avaliar o grau de cumprimento de uma organização com relação às normas ISO 27001, ISO 27002 nas versões 2013 e circulares 038 e 042 da Superintendência Financeira da Colômbia. Na ferramenta é concebido um modelo de dados que recolhe os resultados de uma análise comparativa das normas e circulares mencionadas, capaz de suportar a inclusão de novos padrões e relacioná-los com os já incluídos. Para validar a integralidade e exatidão da operação do protótipo implementado, foram criados vários cenários de avaliação

Biografia do Autor

  • Felipe Reyes López, Universidad Icesi, Cali

    Electronics Engineer (Universidad del Valle, Cali-Colombia) and Master in Information and Telecommunications Management (Universidad Icesi, Cali). He works as Professional Services Engineer at Schneider Electric

  • Yaneth Betancurt Domínguez, Universidad Icesi, Cali
    Systems Engineer (Universidad del Valle, Cali-Colombia) and Master in Information and Telecommunications Management (Universidad Icesi, Cali). She works as a process, functional requirements and SQA analyst at Expert LA Information
  • Ingrid Lucia Muñoz Periñán, Universidad Icesi, Cali
    Electronic Engineer (Universidad del Valle, Cali-Colombia), Specialist in Organizational Informatics Management and Master in Information and Telecommunications Management (Universidad Icesi, Cali-Colombia); Project Management Professional (PMP) and ISO 27001 Lead Auditor, COBIT Foundation Certified. She is the current manager of Domuz Consultoría S.A.S. and a private consultant in Information Security, Project Management and IT Governance. Currently she coordinates the diploma course in Project Management at Universidad Icesi
  • Andrés Felipe Paz Loboguerrero, Universidad Icesi, Cali
    Systems Engineer (Universidad Icesi, Cali-Colombia); Master in Informatics and Telecommunications (Universidad Icesi); professor (Information and Communications Technologies Department) and researcher (Informatics and Telecommunications research group) at Universidad Icesi.

Referências

Álvarez, F.M. & García, P.A. (2007). Implementación de un sistema de gestión de seguridad de la información basado en la
norma ISO 27001, para la intranet de la Corporación Metropolitana de Salud [thesis]. Escuela Politécnica Nacional: Quito,
Ecuador.

Check-up digital (2013). Retrieved from http://www.naa.gov.au/records-management/check-up/

Ernst & Young [EY]. (2012). Internal audit [online]. Retrieved from http://www.ey.com/GL/en/Services/Advisory/EY-internal-audit

Feng, N., & Li, M. (2011). An information systems security risk assessment model under uncertain environment. Applied Soft
Computing, 11(7), 4332–4340. doi:10.1016/j.asoc.2010.06.005

International Organization for Standardization / International Electrotechnical Commission [ISO/IEC]. (2013a). ISO/IEC
27001:2013: Information technology -- Security techniques --
Information security management systems -- Requirements.
Geneva, Switzerland: ISO.

International Organization for Standardization / International Electrotechnical Commission [ISO/IEC]. (2013b). ISO/IEC
27002:2013: Information technology -- Security techniques -- Code of practice for information security controls. Geneva,
Switzerland: ISO.

Robinson, M. (2014). Risk assessment toolkit [online]. Retrieved from http://www.cio.ca.gov/OIS/Government/risk/toolkit.asp
Superintendencia Financiera de Colombia [SFC]. (2009). Circular externa 038 [memo].

Superintendencia Financiera de Colombia [SFC]. (2012). Circular externa 042 [memo].

Wheeler, E. (2011). Security risk management: Building an information security risk management program from the Ground
Up. The Netherlands: Elsevier. doi:10.1016/B978-1-59749-615-5.00022-0

Downloads

Publicado

2015-03-30

Edição

v. 13 n. 32 (2015)

Seção

Original Research

Licença

Esta publicação está licenciada sob os termos da licença CC BY 4.0 (https://creativecommons.org/licenses/by/4.0/deed.pt_BR).