Políticas basadas en la ISO 27001:2013 y su influencia en la gestión de seguridad de la información en municipalidades de Perú
DOI:
https://doi.org/10.29019/enfoqueute.743Palabras clave:
gestión, información, organización, políticas, seguridadResumen
La gestión de seguridad de la información dentro de una organización debe ser un proceso bien definido, ya que implica un enorme esfuerzo tanto de usuarios, jefes de área y demás servidores para conocer cómo responder ante eventos sospechosos y cómo gestionar vulnerabilidades identificadas. El objetivo de esta investigación fue mejorar la gestión de seguridad de la información en una municipalidad distrital peruana, mediante la implantación de un modelo de políticas basado en la ISO 27001:2013. Para ello, se hizo una investigación preexperimental con una muestra de 30 trabajadores a quienes se les aplicó un cuestionario para medir el grado de satisfacción con el modelo implantado. En promedio, más del 90 % de los encuestados reconoció mejoras en la municipalidad, lo que marca una gran diferencia entre el pre y postest, de 49 % a 96 %. Se concluye que el modelo de políticas de seguridad basado en tres pilares fundamentales: confidencialidad, integridad y disponibilidad mejoró la gestión de seguridad de la información, garantizando un adecuado resguardo de los datos.
Descargas
Referencias
Aguilar-Antonio, J.-M. (2019). Hechos ciberfísicos: Una propuesta de análisis para ciberamenazas en las estrategias nacionales de ciberseguridad. URVIO. Revista Latinoamericana de Estudios de Seguridad, 4299(25), 24–40. https://doi.org/10.17141/urvio.25.2019.4007
Aguilera, O., Pérez, E., & Rivero, R. (2017). La protección de la información: Una visión desde las entidades educativas cubanas. Ciencias de la Información, 48(3), 41–47. https://www.redalyc.org/pdf/1814/181457243006.pdf
Angulo, N., Zambrano, M., García, G., & Bolaños-Burgos, F. (2018). Propuesta metodológica de seguridad de información para proveedores de servicios de internet en Ecuador. MIKARIMIN. Revista Científica Multidiciplinaria, 4(4), 165–176. http://45.238.216.13/ojs/index.php/mikarimin/article/view/1197
Baca, V. (2016). Diseño de un sistema de gestión de seguridad de información para la unidad de gestión educativa local-Chiclayo. Ingeniería. Ciencia, Tecnología e Innovación, 3(1), 16. http://revistas.uss.edu.pe/index.php/ING/article/view/357/346
Caamaño, E., & Gil, R. (2020). Prevención de riesgos por ciberseguridad desde la auditoría forense: Conjugando el talento humano organizacional. Novum, 1(10), 20. https://revistas.unal.edu.co/index.php/novum/article/view/84210/73652
Castillejos, B., Torres, C., & Lagunes, A. (2016). La seguridad en las competencias digitales de los millennials. Apertura, 8(2), 54–69. http://www.scielo.org.mx/pdf/apertura/v8n2/2007-1094-apertura-8-02-00054.pdf
Cordoví, V., Pardo, M., Rodríguez, N., & López, E. (2019). La gestión de información estadística relacionada con las actividades formativas en la Universidad Virtual de Salud. Medisan, 23(4), 715–727. http://www.medisan.sld.cu/index.php/san/article/view/2214/pdf
Crespo, E. (2017). Ecu@Risk, una metodología para la gestión de riesgo aplicada a las MPYMES. Enfoque UTE, 8(1), 107–121. https://doi.org/10.29019/enfoqueute.v8n1.140
Cueva, M., & Alvarado, D. (2017). Análisis de Certificados SSL/TLS gratuitos y su implementación como mecanismo de seguridad en servidores de aplicación. (Analysis of Free SSL/TLS Certificates and Their Implementation as Security Mechanism in Application Servers). Enfoque UTE, 8(1), 14. I: https://doi.org/10.29019/enfoqueute.v8n1.128
Diéguez, M., & Cares, C. (2019). Comparación de dos enfoques cuantitativos para seleccionar controles de seguridad de la información. RISTI. Revista Ibérica de Sistemas e Tecnologias de Informação, 32, 16. http://www.scielo.mec.pt/pdf/rist/n32/n32a09.pdf
Flores-Ruiz, E., Miranda-Novales, M., & Villasis-Keever, M. (2017). El protocolo de investigación VI: Cómo elegir la prueba estadística adecuada. Estadística inferencial. Rev Alerg Mex, 64(3), 364–370. http://www.scielo.org.mx
Gil, V., & Gil, J. (2017). Seguridad informática organizacional: Un modelo de simulación basado en dinámica de sistemas. Scientia et Technica Año XXII, 22(2). https://www.redalyc.org/pdf/849/84953103011.pdf
Gonzáles, A., Beltrán, D., & Fuentes, E. (2016). Propuesta de protocolos de seguridad para la red inalámbrica local de la Universidad de Cienfuegos. Revista Científica Universidad y Sociedad, 8(4), 8. http://scielo.sld.cu/pdf/rus/v8n4/rus17416.pdf
Hernández, A., & Porven, J. (2016). Procedimiento para la seguridad del proceso de despliegue de aplicaciones web. Revista Cubana de Ciencias Informáticas, 10(2), 15. http://scielo.sld.cu/pdf/rcci/v10n2/rcci04216.pdf
Kaleem, M., Burnap, P., & Rana, O. (2016). Identifying Cyber Risk Hotspots: A Framework for Measuring Temporal Variance in Computer Network Risk. Computers and Security, 57, 16. https://doi.org/10.1016/j.cose.2015.11.003
Lux, L. (2018). Elementos criminológicos para el análisis jurídico-penal de los delitos informáticos. Revista lus et Praxis, 24(1), 159–206. https://scielo.conicyt.cl/pdf/iusetp/v24n1/0718-0012-iusetp-24-01-00159.pdf
Martelo, R., Tovar, L., & Maza, D. (2018). Modelo básico de seguridad lógica . Caso de Estudio: El laboratorio de redes de la Universidad de Cartagena en Colombia. Información Tecnológica, 29(1), 3–10.
http://dx.doi.org/10.4067/S0718-07642018000100003
Martínez, F. (2020). Ciberseguridad y Estado autonómico. ICADE. Revista de la Facultad de Derecho, 109, 1–19. https://doi.org/https://doi.org/10.14422/icade.i109.y2020.001
Miranda, M., Valdés, O., Pérez, I., Portelles, R., & Sánchez, R. (2016). Metodología para la implementación de la gestión automatizada de controles de seguridad informática. Revista Cubana de Ciencias Informáticas, 10(2), 14–26. http://scielo.sld.cu/pdf/rcci/v10n2/rcci02216.pdf
Moreno, J., Rodriguez, C., & Leguias, I. (2020). Revisión sobre propagación de ransomware en sistemas operativos Windows. I+D Tecnológico, 16(1), 7. https://doi.org/10.33412/idt.v16.1.2438
Paananen, H., Lapke, M., & Siponen, M. (2020). State of the Art in Information Security Policy Development. Computers and Security, 88, 1–14. https://doi.org/10.1016/j.cose.2019.101608
Peña, M., & Anías, C. (2019). Sistema para ejecutar políticas sobre infraestructuras de Tecnologías de la Información: ITpolicies execution system. Ingeniare. Revista Chilena de Ingeniería, 27(3), 479-494. https://scielo.conicyt.cl
Poma, A., & Vargas, R. (2019). Problemática en ciberseguridad como protección de sistemas informáticos y redes sociales en el Perú y en el mundo. Sciéndo, 22(4), 8. https://doi.org/10.17268/sciendo.2019.034
Porras, J., Pastor, S., & Alvarado, R. (2018). Modelo de gestión de riesgos de seguridad de la información para PYMES peruanas. Revista Peruana de Computación y Sistemas, 1(1), 47–56. http://dx.doi.org/10.15381/rpcs.v1i1.14856
Proaño, R., & Gavilanes, A. (2018). Estrategia para responder a incidentes de inseguridad informática ambientado en la legalidad ecuatoriana. Enfoque UTE, 9(1), 90–101. https://doi.org/10.29019/enfoqueute.v9n1.229
Sánchez, N., Pulido, B., & Camacho, J. (2017). La significativa evolución en seguridad de la información para la Policía Nacional de Colombia. Revista Logos, Ciencia & Tecnología, 9(1), 7. http://www.redalyc.org/articulo.oa?id=517752178018
Santana, M., & Aspilcueta, H. (2016). Prioridades de gestión de tecnologías de información en organizaciones peruanas. Revista Venezolana de Gerencia, 20(72), 684–697. https://doi.org/10.31876/revista.v20i72.20926
Szczepaniuk, E., Szczepaniuk, H., Rokicki, T., & Klepacki, B. (2020). Information Security Assessment in Public Administration. Computers and Security, 90, 1–11. https://doi.org/10.1016/j.cose.2019.101709
Tundidor, L., Nogueira, C., & Medina, C. (2018). Exigencias y limitaciones de los sistemas de información para el control de gestión organizacional. Universidad y Sociedad, 10(1), 7. http://scielo.sld.cu/pdf/rus/v10n1/2218-3620-rus-10-01-8.pdf
Valencia-Duque, F., & Orozco-Alzate, M. (2017). Metodología para la implementación de un sistema de gestión de seguridad de información basado en la familia de normas ISO/IEC 27000. RISTI. Revista Iberica de Sistemas e Tecnologias de Informacão, 22, 16. https://doi.org/10.17013/risti.22.73–88
Valencia, F., Marulanda, C., & Trujillo, M. (2016). Gobierno y gestión de riesgos de tecnologías de información y aspectos diferenciadores con el riesgo organizacional. Revista Gerencia Tecnológica Informática, 15(2015), 13. https://biblat.unam.mx
Wiley, A., McCormac, A., & Calic, D. (2020). More Than the Individual: Examining the Relationship Between Culture and Information Security Awareness. Computers and Security, 88, 1–8. https://doi.org/10.1016/j.cose.2019.101640
Publicado
Número
Sección
Licencia
Derechos de autor 2021 Los Autores
Esta obra está bajo una licencia Creative Commons Reconocimiento 3.0 Unported.
Los autores retienen todos sus derechos (© copyright).
- Los autores retienen sus derechos de marca y patente, y también sobre cualquier proceso o procedimiento descrito en el artículo.
- Los autores retienen el derecho de compartir, copiar, distribuir, ejecutar y comunicar públicamente el artículo publicado en Enfoque UTE (por ejemplo, colocarlo en un repositorio institucional o publicarlo en un libro), siempre que se dé el reconocimiento de su publicación inicial en la revista Enfoque UTE.
- Los autores retienen el derecho a hacer una posterior publicación de su trabajo, de utilizar el artículo o cualquier parte de aquel (por ejemplo: una compilación de sus trabajos, notas para conferencias, tesis, o para un libro), siempre que indiquen la fuente de publicación (autores del trabajo, revista, volumen, número y fecha).
