Definir un marco de referencia para la generación de un sistema de medición del modelo de seguridad de la información para una empresa corredora de seguros.

Abstract

El sistema de medición de la seguridad de la información es la herramienta que permite determinar la eficiencia, la eficacia y el nivel de cumplimiento de los controles implementados, las normas NIST 800-55 Security Metrics Guide for Information Technology Systems y la ISO/IEC 27004 Information technology – Security techniques – Information security management – Measurement, presentan una guía para diseñar, desarrollar e implementar de manera exitosa un sistema de medición de la seguridad de la información que contribuya al desarrollo y la retroalimentación del SGSI y además este alineado con los objetivos estratégicos de negocio.

Para realizar el diseño, la implementación y la evaluación del sistema de métricas de seguridad de la información, se ha considerado conveniente utilizar el modelo PDAC planteado por la familia de normas ISO/IEC 27000, ya que este modelo asegura la mejora continua del sistema a través de monitoreo constante; a continuación se muestra el planteamiento del modelo PDAC para el desarrollo del sistema de medición de seguridad de la información:

PLAN “P”: ESTABLECIMIENTO Y GESTIÓN DEL SISTEMA • Análisis del SGSI. • Análisis de los objetivos estratégicos del negocio. • Definición del alcance y objetivos del sistema. • Identificación de intereses. • Identificación de actores y responsabilidades. • Diseño y Selección de las mediciones.

DO “D”: IMPLEMENTACIÓN DEL SISTEMA • Proceso de Integración. • La recolección de datos, análisis e informes. • Problemas de gestión de datos. • Comunicación de resultados.

CHECK “C” Y ACT “A”: CONTROL Y EVALUACIÓN DEL SISTEMA

• Evaluación del sistema. • Toma de acciones correctiva.