Policies based on ISO 27001: 2013 and its influence on information security management in municipalities of Peru

Authors

DOI:

https://doi.org/10.29019/enfoqueute.743

Keywords:

information, management, organization policies, security

Abstract

Information security management within an organization must be a well-defined process, as it involves a huge effort from users, area managers and other servers to know how to respond to suspicious events and how to manage identified vulnerabilities. The objective of this research was to improve information security management in a Peruvian district municipality, through the implementation of a policy model under ISO 27001: 2013. For this, a preexperimental investigation was carried out with a sample of 30 workers, to whom a questionnaire was applied to measure the degree of satisfaction with the implanted model. On average, more than 90 % of those surveyed recognized improvements in the municipality, marking a great difference between the pre and postest, from 49 % to 96 %. It is concluded that the security policy model, based on three fundamental pillars: confidentiality, integrity, and availability, improved information security management, guaranteeing adequate data protection.

Downloads

Download data is not yet available.

References

Aguilar-Antonio, J.-M. (2019). Hechos ciberfísicos: Una propuesta de análisis para ciberamenazas en las estrategias nacionales de ciberseguridad. URVIO. Revista Latinoamericana de Estudios de Seguridad, 4299(25), 24–40. https://doi.org/10.17141/urvio.25.2019.4007

Aguilera, O., Pérez, E., & Rivero, R. (2017). La protección de la información: Una visión desde las entidades educativas cubanas. Ciencias de la Información, 48(3), 41–47. https://www.redalyc.org/pdf/1814/181457243006.pdf

Angulo, N., Zambrano, M., García, G., & Bolaños-Burgos, F. (2018). Propuesta metodológica de seguridad de información para proveedores de servicios de internet en Ecuador. MIKARIMIN. Revista Científica Multidiciplinaria, 4(4), 165–176. http://45.238.216.13/ojs/index.php/mikarimin/article/view/1197

Baca, V. (2016). Diseño de un sistema de gestión de seguridad de información para la unidad de gestión educativa local-Chiclayo. Ingeniería. Ciencia, Tecnología e Innovación, 3(1), 16. http://revistas.uss.edu.pe/index.php/ING/article/view/357/346

Caamaño, E., & Gil, R. (2020). Prevención de riesgos por ciberseguridad desde la auditoría forense: Conjugando el talento humano organizacional. Novum, 1(10), 20. https://revistas.unal.edu.co/index.php/novum/article/view/84210/73652

Castillejos, B., Torres, C., & Lagunes, A. (2016). La seguridad en las competencias digitales de los millennials. Apertura, 8(2), 54–69. http://www.scielo.org.mx/pdf/apertura/v8n2/2007-1094-apertura-8-02-00054.pdf

Cordoví, V., Pardo, M., Rodríguez, N., & López, E. (2019). La gestión de información estadística relacionada con las actividades formativas en la Universidad Virtual de Salud. Medisan, 23(4), 715–727. http://www.medisan.sld.cu/index.php/san/article/view/2214/pdf

Crespo, E. (2017). Ecu@Risk, una metodología para la gestión de riesgo aplicada a las MPYMES. Enfoque UTE, 8(1), 107–121. https://doi.org/10.29019/enfoqueute.v8n1.140

Cueva, M., & Alvarado, D. (2017). Análisis de Certificados SSL/TLS gratuitos y su implementación como mecanismo de seguridad en servidores de aplicación. (Analysis of Free SSL/TLS Certificates and Their Implementation as Security Mechanism in Application Servers). Enfoque UTE, 8(1), 14. I: https://doi.org/10.29019/enfoqueute.v8n1.128

Diéguez, M., & Cares, C. (2019). Comparación de dos enfoques cuantitativos para seleccionar controles de seguridad de la información. RISTI. Revista Ibérica de Sistemas e Tecnologias de Informação, 32, 16. http://www.scielo.mec.pt/pdf/rist/n32/n32a09.pdf

Flores-Ruiz, E., Miranda-Novales, M., & Villasis-Keever, M. (2017). El protocolo de investigación VI: Cómo elegir la prueba estadística adecuada. Estadística inferencial. Rev Alerg Mex, 64(3), 364–370. http://www.scielo.org.mx

Gil, V., & Gil, J. (2017). Seguridad informática organizacional: Un modelo de simulación basado en dinámica de sistemas. Scientia et Technica Año XXII, 22(2). https://www.redalyc.org/pdf/849/84953103011.pdf

Gonzáles, A., Beltrán, D., & Fuentes, E. (2016). Propuesta de protocolos de seguridad para la red inalámbrica local de la Universidad de Cienfuegos. Revista Científica Universidad y Sociedad, 8(4), 8. http://scielo.sld.cu/pdf/rus/v8n4/rus17416.pdf

Hernández, A., & Porven, J. (2016). Procedimiento para la seguridad del proceso de despliegue de aplicaciones web. Revista Cubana de Ciencias Informáticas, 10(2), 15. http://scielo.sld.cu/pdf/rcci/v10n2/rcci04216.pdf

Kaleem, M., Burnap, P., & Rana, O. (2016). Identifying Cyber Risk Hotspots: A Framework for Measuring Temporal Variance in Computer Network Risk. Computers and Security, 57, 16. https://doi.org/10.1016/j.cose.2015.11.003

Lux, L. (2018). Elementos criminológicos para el análisis jurídico-penal de los delitos informáticos. Revista lus et Praxis, 24(1), 159–206. https://scielo.conicyt.cl/pdf/iusetp/v24n1/0718-0012-iusetp-24-01-00159.pdf

Martelo, R., Tovar, L., & Maza, D. (2018). Modelo básico de seguridad lógica . Caso de Estudio: El laboratorio de redes de la Universidad de Cartagena en Colombia. Información Tecnológica, 29(1), 3–10.

http://dx.doi.org/10.4067/S0718-07642018000100003

Martínez, F. (2020). Ciberseguridad y Estado autonómico. ICADE. Revista de la Facultad de Derecho, 109, 1–19. https://doi.org/https://doi.org/10.14422/icade.i109.y2020.001

Miranda, M., Valdés, O., Pérez, I., Portelles, R., & Sánchez, R. (2016). Metodología para la implementación de la gestión automatizada de controles de seguridad informática. Revista Cubana de Ciencias Informáticas, 10(2), 14–26. http://scielo.sld.cu/pdf/rcci/v10n2/rcci02216.pdf

Moreno, J., Rodriguez, C., & Leguias, I. (2020). Revisión sobre propagación de ransomware en sistemas operativos Windows. I+D Tecnológico, 16(1), 7. https://doi.org/10.33412/idt.v16.1.2438

Paananen, H., Lapke, M., & Siponen, M. (2020). State of the Art in Information Security Policy Development. Computers and Security, 88, 1–14. https://doi.org/10.1016/j.cose.2019.101608

Peña, M., & Anías, C. (2019). Sistema para ejecutar políticas sobre infraestructuras de Tecnologías de la Información: ITpolicies execution system. Ingeniare. Revista Chilena de Ingeniería, 27(3), 479-494. https://scielo.conicyt.cl

Poma, A., & Vargas, R. (2019). Problemática en ciberseguridad como protección de sistemas informáticos y redes sociales en el Perú y en el mundo. Sciéndo, 22(4), 8. https://doi.org/10.17268/sciendo.2019.034

Porras, J., Pastor, S., & Alvarado, R. (2018). Modelo de gestión de riesgos de seguridad de la información para PYMES peruanas. Revista Peruana de Computación y Sistemas, 1(1), 47–56. http://dx.doi.org/10.15381/rpcs.v1i1.14856

Proaño, R., & Gavilanes, A. (2018). Estrategia para responder a incidentes de inseguridad informática ambientado en la legalidad ecuatoriana. Enfoque UTE, 9(1), 90–101. https://doi.org/10.29019/enfoqueute.v9n1.229

Sánchez, N., Pulido, B., & Camacho, J. (2017). La significativa evolución en seguridad de la información para la Policía Nacional de Colombia. Revista Logos, Ciencia & Tecnología, 9(1), 7. http://www.redalyc.org/articulo.oa?id=517752178018

Santana, M., & Aspilcueta, H. (2016). Prioridades de gestión de tecnologías de información en organizaciones peruanas. Revista Venezolana de Gerencia, 20(72), 684–697. https://doi.org/10.31876/revista.v20i72.20926

Szczepaniuk, E., Szczepaniuk, H., Rokicki, T., & Klepacki, B. (2020). Information Security Assessment in Public Administration. Computers and Security, 90, 1–11. https://doi.org/10.1016/j.cose.2019.101709

Tundidor, L., Nogueira, C., & Medina, C. (2018). Exigencias y limitaciones de los sistemas de información para el control de gestión organizacional. Universidad y Sociedad, 10(1), 7. http://scielo.sld.cu/pdf/rus/v10n1/2218-3620-rus-10-01-8.pdf

Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la implementación de un sistema de gestión de seguridad de información basado en la familia de normas ISO/IEC 27000. RISTI. Revista Iberica de Sistemas e Tecnologias de Informacão, 22, 16. https://doi.org/10.17013/risti.22.73–88

Valencia, F., Marulanda, C., & Trujillo, M. (2016). Gobierno y gestión de riesgos de tecnologías de información y aspectos diferenciadores con el riesgo organizacional. Revista Gerencia Tecnológica Informática, 15(2015), 13. https://biblat.unam.mx

Wiley, A., McCormac, A., & Calic, D. (2020). More Than the Individual: Examining the Relationship Between Culture and Information Security Awareness. Computers and Security, 88, 1–8. https://doi.org/10.1016/j.cose.2019.101640

Published

2021-04-05

How to Cite

Bustamante García, S., Valles Coral, M. Ángel, Cuellar Rodríguez , I. E., & Lévano Rodríguez , D. (2021). Policies based on ISO 27001: 2013 and its influence on information security management in municipalities of Peru. Enfoque UTE, 12(2), pp. 69 – 79. https://doi.org/10.29019/enfoqueute.743

Issue

Section

Miscellaneous