Título: | Enfoque metodológico para la selección de controles de seguridad de la información |
Incorpóralo a tu calendario: |
---|---|---|
Tipo: | Defensa de tesis doctoral | |
Por: | MAURICIO RUBÉN DIÉGUEZ REBOLLEDO | |
Lugar: | https://ua1.webex.com/ua1/j.php?MTID=m00c946ded19e079ae14bb8315de200d3/ | |
Día/hora: | 17:00 18/02/2022 | |
Duración aproximada: | 3:00 horas | |
Más información: | https://edua.ua.es/es/secretaria/tesis-doctoral/tesis-en-proceso-de-tramitacion/mauricio-ruben-dieguez-rebolledo.html | |
Persona de contacto: | Luján Mora, Sergio (slujandlsi.ua.es) | |
Resumen: | A medida que los ataques informáticos crecen en el mundo, las empresas han comenzado a tomar conciencia de cuán importante es estar protegidos frente a acciones maliciosas que buscan vulnerar sus sistemas y acceder a sus activos de información. Frente a este escenario, es primordial que las organizaciones realicen una correcta gestión de la seguridad de la información, para lo que deben adoptar una actitud proactiva e implementar soluciones que les permitan disminuir el riesgo de ser afectados por ataques informáticos. Aunque existen estándares de seguridad de la información, la situación dista de ser sencilla, ya que cada organización presenta condiciones de operación y disponibilidad de recursos distintas. Por tanto, no basta con implementar ciegamente un estándar, sino que hay que determinar cuál es la ruta de avance más adecuada para cada organización individual en función de sus objetivos, sus condiciones particulares y su disponibilidad de recursos. Esta definición de ruta se suele traducir en la selección y planificación de la implementación de controles de seguridad por parte de un experto en seguridad. Actualmente, este proceso de selección e implementación de controles es subjetivo, es decir, no está estandarizado ni es sistemático. Esto hace que no sea replicable y que a veces sea difícil justificar las decisiones que se tomaron durante el mismo. Este trabajo pretende abordar este problema, y para ello propone un proceso sistemático basado en estándares capaz de ajustarse a las condiciones particulares de la organización, de modo que entrega la mejor solución para sus condiciones particulares. Este proceso se presenta como un apoyo útil a al asesor de seguridad. Como contribuciones secundarias, se cuenta con la definición de un marco conceptual de seguridad de la información, que integra diversas visiones de las variables y relaciones que involucra la seguridad de la información. Es este marco conceptual el que apoya el modelado de los problemas de optimización que genera la propuesta. Otro aporte es la identificación y categorización de los diversos tipos de situaciones que una organización podría querer resolver. Además, este trabajo presenta una herramienta informática que soporta el enfoque propuesto y facilita el modelado y el análisis de respuestas por parte del asesor. Por último, el trabajo presenta una evaluación de la propuesta a través de un estudio de adopción de metodologías con estudiantes de pregrado en un curso de auditoría informática. |
[ Tancar ]