Sistema de gestión de seguridad de la información basado en la familia de normas ISO/IEC 27000

Vista sencilla de ítem
dc.contributor.authorValencia Duque, Francisco Javier
dc.date.accessioned2021-09-10T18:33:08Z
dc.date.available2021-09-10T18:33:08Z
dc.date.issued2021
dc.descriptionfiguras, tablasspa
dc.description.abstractLa gestión de la seguridad de la información se ha convertido en un proceso fundamental en las organizaciones modernas, de modo que ha dejado de ser tan solo un tema del área de tecnologías de la información y las comunicaciones (tic) para convertirse en una prioridad de la alta dirección (ibm, 2011), y justificado en el contexto organizacional, como mínimo, desde tres perspectivas: la importancia de la información como recurso vital para el cumplimiento de los objetivos, la respuesta a las diversas amenazas tecnológicas que ocurren en el día a día y el cumplimiento de las diferentes normas de protección de la información impuestas por los gobiernos. En relación con la importancia de la información como recurso, esta se considera un activo crítico de la organización a través del cual no solo se toman decisiones, sino que además es un insumo fundamental para la operación diaria de la empresa y la transformación, incluso, de los modelos de negocio; de allí la necesidad e importancia de su adecuada protección. Desde el punto de vista de las amenazas tecnológicas, en los últimos años se ha incrementado la cantidad y sofisticación de las amenazas a las que están expuestas las organizaciones, de modo que son múltiples los ataques a los sistemas de información y a las diferentes infraestructuras tecnológicas en el que se soporta su funcionamiento, dado que se ha intensificado de manera exponencial en periodos recientes y ha atacado compañías cuyo principal activo es la información. Casos como los ocurridos a Yahoo en 2014, con cerca de 3 000 000 000 de cuentas de usuarios comprometidas, o al gigante de ventas y subastas online, eBay, con el robo de información de cerca de 145 000 000 de usuarios en 2014, o la filtración de información sufrida por Uber en octubre de 2016, cuando se logró filtrar información de cerca de 600 000 conductores.spa
dc.description.editionPrimera ediciónspa
dc.format.extent184 páginasspa
dc.format.mimetypeapplication/pdfspa
dc.identifier.instnameUniversidad Nacional de Colombiaspa
dc.identifier.isbn9789587946017spa
dc.identifier.reponameRepositorio Institucional Universidad Nacional de Colombiaspa
dc.identifier.repourlhttps://repositorio.unal.edu.co/spa
dc.identifier.urihttps://repositorio.unal.edu.co/handle/unal/80158
dc.language.isospaspa
dc.publisherCentro Editorial de la Facultad de Administraciónspa
dc.publisher.departmentSede Manizalesspa
dc.publisher.placeManizales, Colombiaspa
dc.relation.ispartofseriesCiencias de la Gestión;
dc.relation.referencesaenor. (2008). Norma española une 71504. Metodología de análisis y gestión de riesgos para los sistemas de información.spa
dc.relation.referencesAlbanese, D. E., López, M. de los A. y Sánchez, M. A. (2013). Gestión de riesgos para la adopción de la computación en nube en entidades financieras de la República Argentina. Contaduría y Administración, 59(3), 61-88.spa
dc.relation.referencesAloini, D., Dulmin, R. y Mininno, V. (2007). Risk management in erp project introduction: review of the literature. Information and Management, 44(6), 547-567. doi: https://doi. org/10.1016/j.im.2007.05.004spa
dc.relation.referencesAlmanza, A. (2019). xviii Encuesta Nacional de Seguridad Informática. Evolución del perfil del profesional de seguridad digital. Sistemas, 147, 16-42. doi: https://doi.org/DOI: 10.29236/sistemas.n147a4 XVIII Encuesta Nacional de Seguridad Informática. Evolución del perfil del profesional de seguridad digitalspa
dc.relation.referencesAltamirano, J. R. y Bayona, S. (2017). Políticas de seguridad de la información: revisión sistemática de las teorías que explican su cumplimiento. Revista Ibérica de Sistemas y Tecnologías de Información, 25, 112-134. Recuperado de https://doi.org/DOI:10.17013/ risti.25.0spa
dc.relation.referencessi. (2013). Moving from iso/iec 27001 : 2005 to iso/iec 27001 : 2013. Recuperado de https://www. bsigroup.com/LocalFiles/en-AE/Risk/ISO%2027001/ISO%20IEC%2027001%20 Transition%20guide%20-%20March%202014.pdfspa
dc.relation.referencesBuecker, A., Borrett, M., Lorenz, C. y Powers, C. (2010). Introducing the ibm security framework and ibm security blueprint to realize business-driven security. Recuperado de http://www.redbooks.ibm.com/redpieces/pdfs/redp4528.pdfspa
dc.relation.referencesCalder, A. (2006). Nueve claves para el éxito. Una visión general de la implementación de la norma ntc-iso/iec 27001. Bogotá: Icontec.spa
dc.relation.referencesCano, J. J. (2011). Información: evolución y retos emergentes. ISACA Journal, 5, 1-5.spa
dc.relation.referencesCano, J. J. (2013). Inseguridad de la información. Bogotá: Alfaomega.spa
dc.relation.referencesCano, J. J. y Saucedo, G. (2016). viii Encuesta Latinoamericana de Seguridad de la Información. Recuperado de http://acis.org.co/archivos/JornadaSeguridad/ENCUESTA LATINOAMERICANA. pdfspa
dc.relation.referencesCano, J. J., Saucedo M., G. M. y Chávez, R. (2014). v Encuesta Latinoamericana de Seguridad de la Información. Recuperado de https://es.scribd.com/document/325201865/V-Encuesta- latinoamericana-de-seguridad-de-la-informacion-Informe-2014spa
dc.relation.referencesCarter, M. y Treu, J. (2017). iso/iec 27002:2013 control cross check. Recuperado de www. iso27001security.com/ISO27k_Controls_cross_check_2013spa
dc.relation.referencesChou, D. C. (2015). Cloud computing risk and audit issues. Computer Standards and Interfaces, 42, 137-142. doi: https://doi.org/10.1016/j.csi.2015.06.005spa
dc.relation.referencescisco. (2017). cisco 2071 annual cibersecurity report. Recuperado de https://www.cisco. com/c/dam/m/digital/1198689/Cisco_2017_ACR_PDF.pdfspa
dc.relation.referencesCloud Security Alliance. (2018). Cloud controls matrix v3.0.1. Recuperado de https:// cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/spa
dc.relation.referencesDíaz, A. (2010). Sistema de gestión de la seguridad de la información. Revista Calidad, iv, 18-20.spa
dc.relation.referencesDirección General de Modernización Administrativa Procedimientos e Impulso de la Administración Electrónica. (2012). Magerit-versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro i-Método. Madrid: Ministerio de Hacienda y Administraciones Públicas.spa
dc.relation.referencesFernández Sánchez, C. M y Piattini, M. (2012). Modelo para el gobierno de las TIC basado en las normas ISO. Madrid: AENOR Ediciones.spa
dc.relation.referencesGeorgiou, D. y Lambrinoudakis, C. (2015). E-democracy. Citizen rights in the world of the new computing paradigms. Springer International Publishing Switzerland. doi: https://doi. org/10.1007/978-3-319-27164-4spa
dc.relation.referencesGesconsultor. (2015). Gestor de proyectos SGSI. Recuperado de http://www.gesconsultor.com/ integracion/gestion-de-proyectos.htmlspa
dc.relation.referencesGómez Fernández, L. y Fernández Rivero, P. P. (2015). Cómo implantar un SGSI según UNE-ISO/ IEC 27001:2014 y su aplicación en el esquema nacional de seguridad. Madrid: AENOR.spa
dc.relation.referencesGrobauer, B., Walloschek, T. y Stöcker, E. (2011). Understanding cloud computing vulnerabilities. IEEE Security and Privacy, 9(2), 50-57. doi: https://doi.org/10.1109/MSP.2010.115spa
dc.relation.referencesIBM. (2011). Gestionar las amenazas en la era digital. Abordad la seguridad, el riesgo y el cumplimiento desde la alta dirección. Somers, NY. Recuperado de https://www-05.ibm.com/ services/es/bcs/pdf/gestionarlas-las-amenazas-en-la-era-digital.pdfspa
dc.relation.referencesIcontec. (2009a). Compendio sistema de gestión de la seguridad de la información (SGSI). Bogotá.spa
dc.relation.referencesIcontec. (2009b). Norma Técnica Colombiana. NTC-ISO-IEC 27005. Tecnología de información. Técnicas de seguridad. Gestión del riesgo en la seguridad de la información. Bogotá.spa
dc.relation.referencesIcontec. (2012). Guía Técnica Colombiana GTC-ISO/IEC 27035. Tecnología de la información. Técnicas de seguridad. Gestión de incidentes de seguridad de la información. Bogotá.spa
dc.relation.referencesIcontec. (2013). Norma Técnica Colombia NTC-ISO-IEC 27001. Tecnologías de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos. Bogotá.spa
dc.relation.referencesIqbal, J., Farid, S., Qadir, M. y Khan, M. (2017). Significant risks of outsourced IT projects. Technical Journal, 22(II), 90-97.spa
dc.relation.referencesISACA. (2012a). Cobit 5. A business framework for the governance and management of enterprise IT. Rolling Meadows, Illinois.spa
dc.relation.referencesISACA. (2012b). Cobit 5. Procesos catalizadores. Rolling Meadows, Illinois.spa
dc.relation.referencesISACA. (2012c). Cobit 5. Un marco de negocio para el gobierno y la gestión de las ti de la empresa. Rolling Meadows, Illinois.spa
dc.relation.referencesISACA. (2012d). Cobit for Information Security. Preview version. Rolling Meadows, Illinois.spa
dc.relation.referencesISACA. (2012e). Manual de Preparación del examen CISM 2013. Rolling Meadows, Illinois.spa
dc.relation.referencesISACA. (2013). Manual de preparación del examen CISM 2013. Rolling Meadows, Illinois.spa
dc.relation.referencesISO/IEC. (2014a). International standard ISO/IEC 27000. Information technology-Security techniques-Information security management systems-Overview and vocabulary (Vol. 2014).spa
dc.relation.referencesISO/IEC. (2014b). ISO/IEC 17788. Information technology-Cloud computing-Overview and vocabulary.spa
dc.relation.referencesISO/IEC. (2018a). International Standard ISO/IEC Information technology-Security techniques-Information security management systems-Overview and vocabulary (vol. 2018). Recuperado de http://k504.khai.edu/attachments/article/819/ISO_27000_2014.pdfspa
dc.relation.referencesISO/IEC. (2018b). International Standard ISO/IEC Information technology-Security techniques-Information security management systems-Overview and vocabulary (vol. 2018).spa
dc.relation.referencesISO. (2015). ISO/IEC 27002:2013. Information technology-Security techniques-Code of practice for information security controls. Recuperado de http://www.iso.org/iso/catalogue_detail? csnumber=54533spa
dc.relation.referencesISO. (2019). ISO Survey of certifications of ISO/IEC 27001. Recuperado de fhttps://isotc.iso. org/livelink/livelink?slice=17917648&searchbarwidgetmode=fulltext&where1= 27001&ScopeSelection=17917648%7C8853511%7CWithin+Library&lookfor1= allwords&modifier1=relatedto&boolean2=And&lookfor2=complexquery&- typeDropDownId=1&boolean3=And&lookfor3=complexquery&dateDrop- DownId=1&func=search&objType=258&SearchBarSearch=TRUE&location_ id1=8853511&facets=user&fulltextMode=allwordsspa
dc.relation.referencesITSMF International. (2007). IT Service Management Based on ITIL V3. A pocket guide. Van Haren Publishing.spa
dc.relation.referencesITU. (2008). Recomendación UIT-T X.1205. Aspectos generales de la ciberseguridad. Ginebra, Suiza. Recuperado de https://www.itu.int/rec/T-REC-X.1205-200804-Ispa
dc.relation.referencesJoyanes Aguilar, L. (2017). Industria 4.0. La cuarta revolución industrial. Bogotá: Alfaomega.spa
dc.relation.referencesLeung, V. C. M., y Chen, M. (2014). Cloud computing: 4th International Conference, CloudComp 2013. Wuhan, China, October 17–19, 2013 Revised Selected Papers. Lecture notes of the Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering, LNICST, 133, 132-141. doi:_https://doi.org/10.1007/978-3-319-05506-0spa
dc.relation.referencesMartínez Contreras, M. del M. (2016). Estudio de la oferta de certificaciones en seguridad informática. Universidad Politécnica de Madrid.spa
dc.relation.referencesMatalobos, J. M. (2009). Análisis de riesgos de seguridad de la información. Madrid: Universidad Politécnica de Madrid.spa
dc.relation.referencesMejía Quijano, R. C. (2013). Identificación de riesgos. Medellín: Fondo Editorial Universidad Eafit.spa
dc.relation.referencesMinisterio de Tecnologías de la Información y las Comunicaciones. (2011). Metodología de gestión del riesgo. Modelo de seguridad de la información para la estrategia de gobierno en línea 2.0. Bogotá.spa
dc.relation.referencesMontenegro, L. (2015). Seguridad de la información: más que una actitud, un estilo de vida. Recuperado de http://www.microsoft.com/conosur/technet/articulos/seguridadinfo/spa
dc.relation.referencesMorán Abad, L., Pérez Sánchez, A., Trujillo Gaona, J., Bathiely Fernández, D. y González- Simancas, M. J. (2010). ISO/IEC 20000. Guía completa de aplicación para la gestión de los servicios de tecnologías de la información. AENOR Ediciones.spa
dc.relation.referencesNewton, I. (2019). Gestión del conocimiento e innovación: factores estratégicos para el desarrollo de México en la cuarta transformación. Políticas, 121.spa
dc.relation.referencesNIST. (2004). FIPS PUB 199: Standards for Security Categorization of Federal Information and Information Systems. Recuperado de https://csrc.nist.gov/publications/detail/fips/199/ finalspa
dc.relation.referencesNIST. (2014). Assessing security and privacy controls in federal information systems and organizations. Building effective assessment plans. Sp-800-53Ar4. doi: https://doi.org/10.6028/ NIST.SP.800-53Ar4spa
dc.relation.referencesNIST. (2018). Framework for improving critical infrastructure cybersecurity note to readers on the update. doi: https://doi.org/10.6028/NIST.CSWP.04162018spa
dc.relation.referencesOEA (Organización de los Estados Americanos) y BID (Banco Interamericano de Desarrollo). (2016). Ciberseguridad. ¿Estamos preparados en América Latina y el Caribe? Informe Ciberseguridad 2016. Recuperado de https://publications.iadb.org/es/publications/ english/document/Cybersecurity-Are-We-Ready-in-Latin-America-and-the-Caribbean. pdfspa
dc.relation.referencesOEA (Organización de los Estados Americanos) y Symantec. (2014). Tendencias de seguridad cibernética en América Latina y el Caribe, 100. Recuperado de https://issuu.com/ mirnayonis/docs/oea-symantec_b-cyber-security-trendspa
dc.relation.referencesOficina Nacional de Tecnologías de Información, Subsecretaría de Gestión Pública (Argentina). (2005). Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. Recuperado de http://www.sgp.gov.ar/sitio/PSI_Modelo- v1_200507.pdfspa
dc.relation.referencesOsiatis. (2015). Gestión de la seguridad. Recuperado de http://itil.osiatis.es/Curso_ITIL/Gestion_ Servicios_TI/gestion_de_la_seguridad/introduccion_objetivos_gestion_de_la_ seguridad/introduccion_objetivos_gestion_de_la_seguridad.phpspa
dc.relation.referencesPrislan, K., Lobrikar, B. y Bernik, I. (2017). Information security management practices: expectations and reality. En I. Bernik, B. Markelj y S. Vhorvec (eds.), Advances in cibersecurity 2017 (pp. 5-22). Máribor: University of Maribor Press. doi: https://doi. org/10.18690/978-961-286-114-8.1spa
dc.relation.referencesRosenberg, M., Confessore, N. y Cadwalladr, C. (20 de marzo de 2018). La empresa que explotó millones de datos de usuarios de Facebook-Español. The New York Times. Recuperado de https://www.nytimes.com/es/2018/03/20/cambridge-analytica-facebook/spa
dc.relation.referencesSABSA Institute. (2018). SABSA Institute. The SABSA Institute. Recuperado de http://www.sabsa. org/sabsa-institutespa
dc.relation.referencesSANS. (2018). CIS critical security controls. Recuperado de https://www.sans.org/security-resources/posters/20-critical-security-controls/55/downloadspa
dc.relation.referencesSherwood, J., Clark, A. y Lynas, D. (2009). Enterprise security architecture. Recuperado de http://www.sabsa.org/whitepapersspa
dc.relation.referencesShojaie, B., Federrath, H. y Saberi, I. (2014). Evaluating the effectiveness of iso 27001: 2013 based on Annex a. En Proceedings. 9th International Conference on Availability, Reliability and Security, ares 2014, 259-264. doi: https://doi.org/10.1109/ARES.2014.41spa
dc.relation.referencesSonchan, P. y Ramingwong, S. (2014). Top twenty risks in software projects: a content analysis and Delphi study. En 2014 11th International Conference on Electrical Engineering/ Electronics, Computer, Telecommunications and Information Technology, ECTI-CON 2014. https://doi.org/10.1109/ECTICon.2014.6839820spa
dc.relation.referencesSookhak, M., Gani, A. y Buyya, R. (2016). A survey on vehicular cloud computing. Journal of Network and Computer Applications, 75, 200-222. doi: https://doi.org/10.1016/j. jnca.2013.08.004spa
dc.relation.referencesThe Open Group. (2017). Open Information Security Management Maturity Model (O-ISM3), Version 2.0. Reading, RU: The Open Group.spa
dc.relation.referencesValencia Duque, F. J. (2018). Aseguramiento y auditoría de tecnologías de información orientados a riesgos. Un enfoque basado en estándares internacionales. Bogotá: Editorial Universidad Nacional de Colombia.spa
dc.relation.referencesValencia Duque, F. J., Marulanda, C. E. y López Trujillo, M. (2015). Gobierno y gestión de riesgos de tecnologías de información y aspectos diferenciadores con el riesgo organizacional. Gerencia Tecnológica Informática, 15(41), 65-77.spa
dc.relation.referencesValencia Duque, F. J. y Orozco Alzate, M. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. Revista Ibérica de Sistemas y Tecnologías de Información, 22, 73-88. doi: http://dx.doi.org/10.17013/risti.22.73-88spa
dc.relation.referencesVanegas, A. y Pardo, C. J. (2014). Hacia un modelo para la gestión de riesgos de TI en mipymes : Mogrit. Revista S&T, 12(30), 35-48.spa
dc.relation.referencesVargas, M. A. y Parra, I. C. (2002). Lenguaje para seguridad informática. Sistemas, 82, 43- 50.spa
dc.relation.referencesVillanueva, J. (2015). Mapa de riesgos y otras herramientas prácticas. Recuperado de http:// nahunfrett.blogspot.com/2013/04/mapa-de-riesgos-y-otras-herramientas.htmlspa
dc.rights.accessrightsinfo:eu-repo/semantics/openAccessspa
dc.rights.licenseAtribución-NoComercial-SinDerivadas 4.0 Internacionalspa
dc.rights.urihttp://creativecommons.org/licenses/by-nc-nd/4.0/spa
dc.subject.ddc650 - Gerencia y servicios auxiliares::658 - Gerencia generalspa
dc.subject.lembAdministración de recursos de información -- Medidas de seguridad
dc.subject.lembSeguridad informática
dc.subject.lembSistemas de información en administración
dc.subject.lembSistemas de gestión de bases de datos -- Normas
dc.subject.lembProtección de datos -- Normas
dc.subject.otherNormas ISO/IEC serie 27000
dc.subject.otherPolítica de información -- Normas
dc.titleSistema de gestión de seguridad de la información basado en la familia de normas ISO/IEC 27000spa
dc.typeLibrospa
dc.type.coarhttp://purl.org/coar/resource_type/c_2f33spa
dc.type.coarversionhttp://purl.org/coar/version/c_970fb48d4fbd8a85spa
dc.type.contentImagespa
dc.type.contentTextspa
dc.type.driverinfo:eu-repo/semantics/bookspa
dc.type.versioninfo:eu-repo/semantics/publishedVersionspa
dcterms.audience.professionaldevelopmentAdministradoresspa
dcterms.audience.professionaldevelopmentEstudiantesspa
dcterms.audience.professionaldevelopmentInvestigadoresspa
dcterms.audience.professionaldevelopmentMaestrosspa
oaire.accessrightshttp://purl.org/coar/access_right/c_abf2spa

Archivos

Bloque original

Mostrando 1 - 1 de 1
Miniatura
Nombre:
9789587946017.pdf
Tamaño:
4.22 MB
Formato:
Adobe Portable Document Format
Descripción:
Descargar

Bloque de licencias

Mostrando 1 - 1 de 1
No hay miniatura disponible
Nombre:
license.txt
Tamaño:
3.87 KB
Formato:
Item-specific license agreed upon to submission
Descripción:
Descargar

Colecciones

Sede Manizales