Modelo Corporativo de Monitoreo de Seguridad de Información a través de Variables Críticas Obtenidas de Procesos Operativos de Seguridad-Edición Única
Citation
Share
Date
Abstract
Existen varios procesos de seguridad como Análisis de riesgos, Administración de procesos del negocio, Concientización de seguridad de información, Política corporativa de seguridad, Control de accesos, equipo de respuesta a incidentes, etc. que han sido desarrollados para garantizar la seguridad de información, pero no existen métricas desarrolladas para monitorear estos procesos y determinar indicadores de seguridad y el estado de estos. El objetivo de este trabajo fue construir un modelo de monitoreo de seguridad de información a través de variables e indicadores obtenidos de los procesos operativos mencionados anteriormente. Y a través de estas métricas, determinar los niveles de seguridad de información de las empresas que han adoptados estos procesos. La investigación consistió principalmente en buscar documentos con métricas elaboradas por instituciones reconocidas de clase mundial, que han construido ya métricas de primer nivel, es decir, obtenidas de mejores prácticas. Además de investigar métricas elaboradas se realizó una investigación profunda de cada uno de los procesos analizando documentos y metodologías encontrados en diferentes fuentes para poder aportar algunas variables adicionales. Una vez obtenidas estas métricas se trató de determinar la validez de cada una de las variables, Para esto se analizó un caso práctico, que consistió en buscar una empresa para determinar que variables consideraba funcionales y cuales necesitaban modificarse para darles más sentido a las variables. Las variables que no sean fueron funcionales para la empresa fueron eliminadas. Adicionalmente se propuso un conjunto de variables e indicadores para monitorear controles comunes derivados del análisis de riesgos, con el fin de darle una perspectiva más practica al desarrollo de este trabajo. El resultado fue modelo con diferentes métricas de alto nivel enfocadas a monitorear la funcionalidad del proceso y de bajo nivel para determinar los niveles de seguridad de en diferentes aspectos que estos contemplan.