Metodología para la evaluación del desempeño de controles en sistemas de gestión de seguridad de la información sobre la norma ISO/IEC 27001

Abstract

La información es un activo valioso para las organizaciones, y la protección de esta, un objetivo prioritario para la operación del negocio. La información está cada vez más disponible en ambientes interconectados lo que genera un riesgo a posibles vulnerabilidades y amenazas. Estos riesgos hacen indispensable contar con mejores prácticas de seguridad de la información para minimizar los daños y asegurar la continuidad del negocio. El estándar ISO/IEC 27001 se desarrolló con el objetivo de proporcionar requisitos de control para establecer, implementar, mantener y continuamente mejorar los sistemas de gestión de seguridad de la información (SGSI) de una organización. Los SGSI son un enfoque sistemático para el manejo de información confidencial de las organizaciones con el fin de que esta permanezca segura. La mayoría de las metodologías analizadas evalúan los controles de seguridad de la información de manera muy subjetiva lo que conlleva a una inadecuada implementación de los SGSI. Con el fin de abordar este problema, en esta tesis de maestría se propone una metodología que permite evaluar y posteriormente seleccionar controles de seguridad clave con base en la opinión de expertos usando el método Delphi. La metodología propuesta está basada en los requisitos de control del estándar ISO/IEC 27001.

Abstract: Information is a valuable asset for organizations and its protection is one the main objectives for business operation. Information is increasingly available in interconnected environments, which can lead to potential risks such as system vulnerabilities and threats. It is necessary to implement best information security practices for minimizing such risks. ISO/IEC 27001 standard is developed in order to provide control requirements for establishing, implementing, maintaining and continually improving an information security management system (ISMS) of an organization. ISMS is a systematic approach to manage confidential information of organizations in order to keep it secure. Most of the analyzed methodologies subjectively evaluate information security controls, which lead to inadequate implementation of the ISMS. In order to address this problem, in this M.Sc. Thesis We propose a methodology for evaluating and selecting key security controls based on expert’s opinions by using the Delphi method. The proposed methodology is based on the control requirements of the ISO/IEC 27001 international standard.