- Universidad Piloto de Colombia
- Trabajos de grado - Posgrado
- Facultad de Ingenierías
- Especialización en Seguridad Informática
- View Item
Definir un marco de referencia para la generación de un sistema de medición del modelo de seguridad de la información para una empresa corredora de seguros.
View/ Open
Date
2013-05-06Author
Grajales Vaquiro, Lesly
xmlui.dri2xhtml.METS-1.0.item-advisor
Escobar Escobar, Alvaro / Director
Metadata
Show full item recordAbstract
El sistema de medición de la seguridad de la información es la herramienta que permite determinar la eficiencia, la eficacia y el nivel de cumplimiento de los controles implementados, las normas NIST 800-55 Security Metrics Guide for Information Technology Systems y la ISO/IEC 27004 Information technology – Security techniques – Information security management – Measurement, presentan una guía para diseñar, desarrollar e implementar de manera exitosa un sistema de medición de la seguridad de la información que contribuya al desarrollo y la retroalimentación del SGSI y además este alineado con los objetivos estratégicos de negocio.
Para realizar el diseño, la implementación y la evaluación del sistema de métricas de seguridad de la información, se ha considerado conveniente utilizar el modelo PDAC planteado por la familia de normas ISO/IEC 27000, ya que este modelo asegura la mejora continua del sistema a través de monitoreo constante; a continuación se muestra el planteamiento del modelo PDAC para el desarrollo del sistema de medición de seguridad de la información:
PLAN “P”: ESTABLECIMIENTO Y GESTIÓN DEL SISTEMA
• Análisis del SGSI.
• Análisis de los objetivos estratégicos del negocio.
• Definición del alcance y objetivos del sistema.
• Identificación de intereses.
• Identificación de actores y responsabilidades.
• Diseño y Selección de las mediciones.
DO “D”: IMPLEMENTACIÓN DEL SISTEMA
• Proceso de Integración.
• La recolección de datos, análisis e informes.
• Problemas de gestión de datos.
• Comunicación de resultados.
CHECK “C” Y ACT “A”: CONTROL Y EVALUACIÓN DEL SISTEMA
• Evaluación del sistema.
• Toma de acciones correctiva.