2do Congreso Universal de las Ciencias y la Investigación
← vista completaPublicado el 1 de septiembre de 2023 | http://doi.org/10.5867/medwave.2023.S1.UTA275
Seguridad de la información mediante la Norma ISO/IEC 27001:2013
Information Security through the ISO/IEC 27001:2013 Standard
Resumen
Introducción El uso de las tecnologías permite a las organizaciones un mejor tratamiento de la información, lo que ha hecho que, en la actualidad sea vulnerable a una variedad de amenazas que afectan a su confidencialidad, integridad y disponibilidad. Sin embargo, en la mayor parte de ellas no es prioridad su seguridad, por lo que no se cuenta con políticas adecuadas para su diagnóstico e implementación.
Objetivos El objetivo del trabajo es desarrollar un plan de gestión de seguridad de la información basado en la norma ISO/IEC 27001:2013 para el centro de datos de una empresa pública de administración de agua potable.
Método Para el desarrollo del plan de gestión de seguridad información se utiliza la metodología MARGERIT misma que está alineada a las normas internacionales ISO 27001, 27002, 27005 y 31000; con su aplicación se revisan las vulnerabilidades y amenazas que están presentes en la empresa para con base a ello determinar las fases a aplicarse en el desarrollo.
Principales resultados Mediante la aplicación de la metodología MAGERIT, se determinó, que se cuenta con 32 activos, identificados y categorizados en función de disponibilidad, integridad y confidencialidad, resultando como críticos el 41%, 22% y el 19% respectivamente. Las vulnerabilidades detectadas: inexistencia de políticas para la seguridad de la información, gestión de soportes extraíbles, seguridad de equipos fuera de las instalaciones, protección de información personal, sistemas de autenticación, fueron cubiertas mediante los controles de seguridad de la norma ISO/IEC 27001:2013. El plan resultante determinó la estrategia de implementación de los controles de seguridad requeridos, permitió la generación de políticas de manejo de activos, así como registros del manejo, riesgos e incidentes generados. La validación se realizó mediante criterio de expertos, en cuanto a relación a la claridad, objetividad, actualidad, organización, suficiencia, pertinencia, consistencia, coherencia, metodología y aplicación; obteniéndose una valoración promedio final de 4.2/5, lo que significa que la propuesta es factible.
Conclusiones La aplicación de la Norma ISO/IEC 27001:2013, permitió diagnosticar los controles de seguridad de la información, para implementar los requisitos que se en ella se sugieren; esto llevó a la construcción del plan de seguridad, el cual, con su aplicación, cubre las amenazas detectadas y permite prever seguridades a futuros riesgos.
