LAS MÉTRICAS, ELEMENTO FUNDAMENTAL EN LA CONSTRUCCIÓN DE MODELOS DE MADUREZ DE LA SEGURIDAD INFORMÁTICA
Resumen
En las organizaciones se requiere gestionar la seguridad informática para asegurar un entorno informático institucional, mediante la administración del recurso humano y tecnológico, para ello es necesario emplear dispositivos reguladores de las funciones y actividades desarrolladas por el personal de la institución. El propósito de este trabajo fue construir métricas de seguridad que permitan cuantificar, tomar decisiones y mejorar el desempeño de los sistemas de seguridad informática en las universidades de la Región Capital. Para esta investigación, en primer lugar, se realizó una revisión bibliográfica que sustenta los referenciales conceptuales acerca de métricas de seguridad, sus tipos e indicadores, y en segundo, se establecen los niveles de seguridad informática. A partir de estos niveles se elaboró y validó un cuestionario que fue aplicado a los administradores o encargados de la seguridad de las universidades seleccionadas en la Región Capital. Posteriormente, se analizaron los datos y se identificó un conjunto de indicadores que permitieron la construcción de métricas para cada nivel. Las métricas resultantes permiten medir el desempeño institucional frente a los retos que plantea la preservación y el resguardo informático, así como identificar el origen de los desempeños no satisfactorios y las áreas informáticas que requieren ser mejoradas. Asimismo, éstas facilitan el establecimiento de renovadas políticas de seguridad informática, donde se lleva a cabo una redefinición de metas y objetivos que vayan a la par de los cambios tecnológicos para enfrentar amenazas y vulnerabilidades que pudieran surgir en el futuro.
Descargas
Citas
Anabalón, J. (2008). Desarrollo de métricas de seguridad SOX. ISSA. Documento en línea. Disponible en: http://anabalon.clan.su/papers/metricas_de_seguridad.pdf Consulta: 15/12/2009.
Cano, J. (2007). Métricas en seguridad informática: una revisión académica. VII Jornada de Seguridad Informática ACIS. Documento en línea. Disponible en: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/07-MetricasSeguridadInformaticaUnaRevisionAcademica.pdf. Consulta: 27/02/2011.
Chalico, C. y Saucedo, E. (2008). Indicadores de gestión aplicados a los procesos de administración de riesgos y seguridad. Documento en línea. Disponible en: http://ebookbrowse.com/6-chalico-saucedo-ppt-d59398282. Consulta: 13/02/2009.
Chapin, D. y Akridg, S. (2005). ¿Cómo Puede Medirse la Seguridad? Information Systems Control Journal. Volumen 2. Documento en línea. Disponible en: http://www.iso27000.es/download/HowCanSecurityBeMeasured-SP.pdf. Consulta: 15/10/2007.
Chew, E.; Swanson, M.; Stine, K.; Bartol, N.; Brown, A. & Robinson, W. (2008). Performance Measurement Guide for Information Security. Computer Security. NIST National Institute of Standars and Technology. Technology Administration U.S Department of Commerce. Documento en línea. Disponible en: http://csrc.nist.gov/publications/nistpubs/800-55-Rev1/SP800-55-rev1.pdf Consulta: 09/01/2009.
Corletti, A. y De Alba, C. (2008). Métricas de Seguridad, Indicadores y Cuadro de Mando. Normas y Estándares. Las métricas permiten a los responsables de seguridad demostrar la eficiencia del programa de seguridad y el valor que aporta a la compañía. Documento en línea. Disponible en: http://www.criptored.upm.es/guiateoria/gt_m292p.htm. Consulta: 22/02/2009.
Congreso de la República de Venezuela (1970). Ley de Universidades. Gaceta Oficial No. 1429, Extraordinario, del 8 de septiembre de 1970. Venezuela.
Gómez, D. y Quintero, M. (2008). Seguridad Informática. Servicio Nacional de Aprendizaje (SENA). Técnico Profesional en Administración del Talento Humano Recurso Humano. Documento en línea. Disponible en: http://www.scribd.com/doc/6317119/Seguridad-a-Doc-Word1. Consulta: 26/02/2009.
Molist, M. (1999). Aumentan los Ataques a Universidades y bajan en las Empresas, según las Estadísticas del CERT. Documento en línea. Disponible en: http://ww2.grn.es/merce/1999/estadistiques.html. Consulta: 15/03/2008.
Passarello, E. (2006). Convergencia de prácticas. Reflexiones y Tendencias. Consejo Profesional de Ingeniería en Electrónica, Telecomunicaciones y Computación (COPITEC). Documento en línea. Disponible en: http://www.scribd.com/doc/3796594/PASSARELLO-ESPEITO-Convergencia-de-Practicas. Consulta: 30/03/2009.
Schneier, B. (2002). Secrets and Lies. Digital Security in a Networked World. EE.UU. John Wiley & Sons.
Universidad de Oriente (UNIVO) (2006). Manual de Normas y Políticas de Seguridad Informática. Documento en línea. Disponible en: http://www.scribd.com/doc/2023909/manual-de-politicas-y-normas-de-seguridad-informatica#document_metadata. Consulta: 30/03/2009.
Vásquez, J. (2003). ¿Qué son las Organizaciones? Teoría y pensamiento administrativo. Documento en línea. Disponible en: http://www.gestiopolis.com/canales/gerencial/articulos/56/orgsqueson.htm. Consulta: 30/04/2008.
Villegas, M. (2008). Modelo de Madurez para la Gestión y Administración de la Seguridad Informática en las Universidades. Tesis de Maestría no publicada. Universidad Simón Bolívar, Venezuela.
