Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

Propuesta de modelo en seguridad informática en el

control de un sistema informático aplicando ISO 27002 y

CSF de NIST

IT security model proposal in the control of an IT system applying

ISO 27002 and NIST CSF.

Fecha de recepción 2023-04-04 • Fecha de aceptación: 2023-05-29 • Fecha de publicación: 2023-06-05

Jorge Vinicio Gavidia Córdova

Universidad Tecnológica Israel, Quito, Ecuador

[email protected]

Resumen

El paper presenta una propuesta de modelo integral de seguridad informática para el control

efectivo de un sistema informático, basado en la aplicación combinada de la norma ISO

27002 y el Marco de Ciberseguridad (CSF) de NIST. Se enfatiza la importancia de adoptar

estándares reconocidos para fortalecer la seguridad y gestionar eficazmente los riesgos

cibernéticos. El modelo propuesto abarca diversos aspectos, incluyendo controles de acceso,

gestión de usuarios, monitoreo constante y medidas de respuesta ante posibles amenazas. Se

destaca la relevancia de la norma ISO 27002 en proporcionar directrices específicas para la

seguridad de la información, mientras que el CSF de NIST complementa y refuerza el

enfoque al brindar un marco adaptativo y flexible. La propuesta busca garantizar la

confidencialidad, integridad y disponibilidad de la información, al tiempo que se adapta a las

particularidades y desafíos específicos del entorno del sistema informático en consideración.

Se espera que esta combinación de normas brinde una base sólida para la implementación de

medidas de seguridad efectivas y la mitigación de riesgos en el ámbito de la ciberseguridad.

Palabras clave

Modelo, seguridad, ISO, amenazas, sistema informático

Abstract

The paper presents a proposal for a comprehensive IT security model for the effective control

of an IT system, based on the combined application of ISO 27002 and the NIST

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

Cybersecurity Framework (CSF). It emphasizes the importance of adopting recognized

standards to strengthen security and effectively manage cyber risks. The proposed model

covers various aspects, including access controls, user management, constant monitoring and

response measures to potential threats. It highlights the relevance of ISO 27002 in providing

specific guidelines for information security, while the NIST CSF complements and reinforces

the approach by providing an adaptive and flexible framework. The proposal seeks to ensure

the confidentiality, integrity and availability of information, while adapting to the specifics

and challenges of the IT system environment under consideration. This combination of

standards is expected to provide a solid foundation for the implementation of effective

security measures and risk mitigation in the field of cybersecurity.

Keywords

Model, Security, ISO, Risk, Computer system

Introducción

Hoy en día, la tecnología ha experimentado un desarrollo considerable, y la automatización

de procesos se ha vuelto esencial para la mayoría de las instituciones que ofrecen servicios,

especialmente en el ámbito educativo. En este contexto, la gestión de la información se

vuelve crucial para las actividades diarias tanto de docentes como de estudiantes en una

institución académica.

En el entorno académico, resulta fundamental contar con procesos automatizados que

faciliten tareas como la introducción de calificaciones, la administración de exámenes, la

generación de registros de asistencia y la realización de evaluaciones periódicas tanto para

docentes como para estudiantes. Dada la naturaleza confidencial e importante de la

información, como los registros de calificaciones y los expedientes académicos, es

imperativo implementar estrategias, métodos y técnicas de control de acceso para proteger la

integridad de los datos manejados [1].

En la actualidad, la información se ha convertido en uno de los activos más valiosos de una

institución. Ante el notable aumento de ataques informáticos en los últimos años, resulta

indispensable establecer controles adecuados para contrarrestar y minimizar el riesgo de

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

accesos no autorizados a los sistemas informáticos. De esta manera, se busca prevenir la

pérdida o sustracción de información sensible [2].

Es importante resaltar que no solo las instituciones financieras, gubernamentales o de salud

están expuestas al riesgo de sufrir ataques; las instituciones educativas también pueden

convertirse en blanco de ciberdelincuentes. Los recientes eventos relacionados con la

pandemia han llevado a un intercambio descontrolado de información, con accesos masivos

a sistemas, sin la implementación de controles adecuados ni la debida capacitación. Esta falta

de medidas adecuadas hace que la información manejada dentro de una institución educativa

sea vulnerable, subrayando la importancia de establecer controles eficientes, como marcos

de trabajo o estándares internacionales [3].

Existen varios estándares de seguridad de la información entre los cuales se mencionan los

siguientes:

● Los estándares proporcionados por la serie ISO 27000 constituyen un conjunto de

normas de seguridad de la información. Estas normas ofrecen pautas para la creación

de un sistema de gestión de la información. En la tabla 2 se detallan las normas que

forman parte de esta familia, y a continuación se describen cada una de ellas [4].

● Estándares de la familia NIST: Este estándar proporciona a las empresas una

herramienta para gestionar los riesgos y salvaguardar sus datos mediante el uso de un

lenguaje común relacionado con las prácticas de seguridad de la información[5] .

● Controles de Servicio y Organización 2 (SOC 2): Se refiere a la elaboración de

informes que detallan los controles necesarios que una organización debe

implementar para proteger la información [6].

● SANS: Esta entidad con fines de lucro reúne a profesionales de seguridad informática

y se centra principalmente en la identificación de vulnerabilidades en el desarrollo de

software [7].

En [8], se destaca la necesidad de que una institución educativa de nivel superior fomente la

creación, desarrollo, transmisión y difusión de la ciencia, la técnica, la tecnología y la cultura

mediante el aprovechamiento de diversas herramientas tecnológicas disponibles. En el

contexto ecuatoriano, aún no se ha implementado una estrategia integral de ciberseguridad

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

que incluya directrices esenciales para salvaguardar la información, la infraestructura y,

especialmente, a los usuarios frente a posibles ataques.

Por otro lado, en [9] señala la relevancia de las normas ISO 27001-27002 en la gestión de la

seguridad de la información en instituciones de educación superior. Destaca la importancia

de preservar la confidencialidad, integridad y disponibilidad de la información en estos

entornos. El uso normativo basado en las normas ISO se presenta como fundamental para

fortalecer la seguridad de las bases de datos, asegurando así la confidencialidad, integridad y

disponibilidad de la información en cada uno de los procesos.

Materiales y Métodos

Este trabajo tiene un enfoque de investigación bibliográfica, que puede ser conceptualizada

como un examen exhaustivo de todo el material existente y disponible vinculado al tema de

investigación. Este proceso facilita la identificación y selección de información pertinente en

función de las fuentes empleadas, las cuales pueden incluir libros, revistas, videos, entre

otros. Este paso se reconoce como esencial, ya que involucra la observación, investigación,

interpretación, reflexión y análisis, con el propósito de obtener los fundamentos necesarios

para el avance de la investigación [10].

La metodología de investigación empleada en este trabajo es de naturaleza bibliográfica

exploratoria. Se llevó a cabo una revisión exhaustiva de diversas fuentes, como libros,

artículos y revistas, con el objetivo de obtener una comprensión general del problema

asociado al control de accesos. Esta aproximación se caracteriza por su enfoque cualitativo,

ya que implica la formulación de propuestas para controles de seguridad dentro de una

institución.

Este proceso investigativo busca profundizar en el tema y proporcionar información

significativa sobre un área específica mediante el análisis del comportamiento, las emociones

y otros aspectos de la psicología humana que son susceptibles a la interpretación[11] .

Métodos e instrumentos de investigación.

En la realización de este estudio, se emplea la técnica de entrevista, la cual se utilizará para

recopilar información esencial que complemente la investigación.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

Entrevista: Se define como un diálogo establecido entre un investigador y la persona

seleccionada como sujeto de estudio, con el propósito de obtener respuestas que aborden el

problema planteado y contribuyan a resolver las preguntas formuladas en relación con el

tema de investigación.

Población y muestra

Siguiendo la metodología de investigación de este trabajo, la población objeto de estudio

corresponde a la Unidad de Sistematización Institucional (SI), y la muestra está conformada

por dos profesionales encargados del desarrollo e implementación. Se trata de una muestra

intencionada, seleccionada debido a las responsabilidades específicas que ostentan los

profesionales de la SI.

Para determinar la vulnerabilidad existente se realiza una comparativa entre la ISO

27002:2013 y CSF de NIST versus lo aplicado en el Sistema informático de análisis.

A través de la comparación efectuada, es posible identificar el porcentaje de controles que

están actualmente implementados y determinar cuáles son necesarios para su incorporación.

Tras realizar la comparación entre los dos estándares internacionales, se pueden identificar

las vulnerabilidades existentes actualmente. Para este propósito, se lleva a cabo una entrevista

con el director del área de Sistematización y el jefe de programadores, cuya experiencia

proporciona información valiosa para evaluar el estado actual del sistema.

En el proceso de esta investigación, se logró recopilar información sustancial que respalda el

objeto de estudio. Las fuentes de origen de la información recabada son confiables y aseguran

una sólida base para abordar el tema planteado.

Resultados

En este estudio, se han empleado el estándar ISO 27002:2013 y el Marco de Ciberseguridad

(CSF) de NIST. Esto se debe a que el primero proporciona directrices esenciales para

mantener, implementar o mejorar la seguridad de la información. Por otro lado, el CSF de

NIST se presenta como un conjunto ampliado de la norma ISO 27002:2013, como se ilustra

en la Figura 1. En otras palabras, el CSF de NIST desempeña un papel crucial al reforzar la

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

seguridad en situaciones en las que la norma ISO 27002:2013 podría no abarcar

completamente todas las áreas necesarias.

Fig. 1. Estructura de controles dentro de CSF

El Marco de Seguridad Cibernética (CSF) del Instituto Nacional de Estándares y Tecnología

(NIST) es una estructura diseñada para elevar los niveles de seguridad de la información. Fue

creado en los Estados Unidos en el año 2013 y, en la actualidad, se encuentra en su versión

1.1, la cual fue publicada en 2018, ver la Fig 2.

Fig. 2. Funciones CSF

El propósito fundamental de la norma ISO 27002 consiste en establecer un control en el

acceso mediante el empleo de un conjunto de normas, restricciones y procedimientos que

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

aseguren la asignación adecuada de derechos de acceso en cada uno de los sistemas de

información [12].

Se opta por la versión ISO 27002:2013 debido a su historial de implementación; es decir, ha

sido más ampliamente probada en comparación con la ISO 27002:2022 [13]. Aunque la

versión 2022 aborda aspectos más contemporáneos, como la ciberseguridad y asuntos

relacionados con la protección de datos y privacidad, es un marco más recientemente

publicado, lo que implica que ha sido probado en menor medida.

Este estudio se fundamenta en el ámbito de control de accesos, donde se busca gestionar

cualquier acceso no autorizado y reducir al mínimo la probabilidad de que ocurra. Es esencial

identificar de manera apropiada el rol asignado a cada usuario para establecer un control

efectivo sobre el acceso a la información. A continuación, se describen los controles

específicos referentes a este dominio, según lo establecido en la norma ISO 27002:2013:

● Requisitos de negocio para el control de accesos: Este control se centra en gestionar el

acceso solo para personal autorizado y se subdivide en los siguientes aspectos:

o Política de control de acceso: Implica un conjunto de reglas que regulan el acceso

a la información, siendo los propietarios quienes determinan las normas

aplicables.

o Control de acceso a las redes y servicios asociados: Se refiere a la autorización de

usuarios para acceder a redes y servicios de red.

La administración del acceso de usuario implica la implementación de procesos que regulen

la asignación de usuarios y sus respectivos permisos, desde el momento en que se registran

en el sistema hasta su eventual desactivación, de manera que se abarque todo el ciclo de vida

de acceso de acuerdo con las directrices de la norma ISO 27002. Asegurar el acceso

exclusivamente a usuarios autorizados mediante procesos establecidos es crucial para evitar

el ingreso de usuarios no autorizados. Dentro de la gestión de acceso de usuarios, se destacan

los siguientes controles:

● Gestión de altas y bajas en el registro de usuarios: El departamento de seguridad se

encargará de asignar y dar de baja a los usuarios para acceder al sistema, considerando

aspectos clave como nombres de usuario únicos y la asignación de roles pertinentes a la

respectiva área de actividad.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

● Gestión de los derechos de acceso asignados a usuarios: Estas herramientas posibilitan la

asignación y restricción de permisos en los sistemas de información.

● Gestión de los derechos de acceso con privilegios especiales: Implica la identificación

por escrito de usuarios que requieren permisos especiales para el acceso.

● Gestión de información confidencial de autenticación de usuarios: Consiste en asignar

contraseñas a los usuarios previa autorización del jefe del departamento.

● Revisión de los derechos de acceso de los usuarios: Se refiere a llevar a cabo monitoreos

o revisiones periódicas de los permisos asignados a los usuarios.

● Obligaciones del usuario.

● El propósito de este mecanismo es identificar las obligaciones específicas de cada

usuario, quienes deben asumir la responsabilidad correspondiente al rol asignado y

mantener una conciencia adecuada sobre la información que gestionan.

● Utilización de información confidencial para la autenticación.

● Es esencial que el usuario tenga conocimiento de buenas prácticas, tales como el uso de

contraseñas sólidas y la no divulgación de sus credenciales a terceros.

● Gestión del acceso a sistemas y aplicaciones: Es fundamental establecer políticas de

acceso que salvaguarden la información, ya sea en forma de documentos u otros medios

informáticos, con el fin de prevenir accesos no autorizados.

● Limitación del acceso a la información: Se deben establecer políticas de control que

definan restricciones para acceder a los sistemas de información.

● Procedimientos seguros de inicio de sesión: Se trata de controles para asegurar inicios de

sesión seguros, capaces de verificar la identidad del usuario.

● Administración de contraseñas de usuario: Se refiere a sistemas que generan contraseñas

seguras, lo que incluye la renovación regular de estas contraseñas en intervalos

determinados.

● Utilización de herramientas de administración de sistemas: Cualquier sistema con

privilegios de acceso debe emplear una autenticación independiente para evitar

interferencias en el sistema principal.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

● Control de acceso al código fuente de los programas: Es crucial aplicar restricciones al

código fuente de la aplicación mediante el uso de bibliotecas, y el código debe gestionarse

en un entorno separado de la red principal.

Conclusiones

La norma ISO 27002:2013, aunque efectivamente hace referencia o propone ciento catorce

controles, se ve complementada por aspectos presentes en el Marco de Ciberseguridad (CSF)

de NIST, como se pudo constatar durante la revisión de la base teórica.

Después de llevar a cabo el mapeo entre ISO 27002:2013 y CSF de NIST, se identificaron

23 controles relacionados con el control de accesos. Una vez validado el Sistema Integrado

de Gestión Estratégica, cumple con un 40.5% según ISO 27002:2013 y un 32.53% según

NIST.

Dentro del marco propuesto y basado en los estándares seleccionados, se establece un

conjunto de controles que deben aplicarse según principios fundamentales y como requisitos

mínimos para salvaguardar la seguridad de la información.

En este esquema, se debe tener en cuenta la existencia de riesgos no asociados que suelen

manifestarse como acciones no autorizadas, fallos técnicos, falta de compromiso de los

involucrados (usuarios del sistema), daños físicos (infraestructura) y falta de control, entre

otros.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

Referencias

[1] F. Morales, Y. Simbaña, R. Coral, and R. M. Toasa, Technique for Information

Security Based on Controls Established by the SysAdmin Audit, Networking and

Security Institute, vol. 1273 AISC. 2021. doi: 10.1007/978-3-030-59194-6_34.

[2] M. Malik and T. Patel, “DATABASE SECURITY-ATTACKS AND CONTROL

METHODS,” International Journal of Information Sciences and Techniques (IJIST),

vol. 6, no. 1, 2016, doi: 10.5121/ijist.2016.6218.

[3] A. Rasin, J. Wagner, K. Heart, and J. Grier, “Establishing Independent Audit

Mechanisms for Database Management Systems,” in 2018 IEEE International

Symposium on Technologies for Homeland Security (HST), IEEE, Oct. 2018, pp. 1–

7. doi: 10.1109/THS.2018.8574150.

[4] D. N. L. Armendáriz, “Modelo de gestión de los servicios de tecnología de

información basado en COBIT, ITIL e ISO/IEC 27000,” Revista Tecnológica

ESPOL, vol. 30, no. 1, 2017, Accessed: Jul. 03, 2021. [Online]. Available:

http://200.10.150.204/index.php/tecnologica/article/view/581

[5] S. Almuhammadi and M. Alsaleh, “INFORMATION SECURITY MATURITY

MODEL FOR NIST CYBER SECURITY FRAMEWORK,” pp. 51–62, 2017, doi:

10.5121/csit.2017.70305.

[6] “¿Qué es la auditoría SOC 2?” Accessed: Dec. 03, 2023. [Online]. Available:

https://www.auditool.org/blog/auditoria-externa/que-es-la-auditoria-soc-2

[7] D. Harp and B. Gregory-Brown, “A SANS Survey SANS 2016 State of ICS Security

Survey,” 2016.

[8] P. I. Morales-Paredes and R. P. Medina Chicaiza, “Ciberseguridad en plataformas

educativas institucionales de educación superior de la provincia de Tungurahua -

Ecuador,” 3 c TIC: cuadernos de desarrollo aplicados a las TIC, ISSN-e 2254-6529,

Vol. 10, N

. 2, 2021, págs. 49-75, vol. 10, no. 2, pp. 49–75, 2021, doi:

10.17993/3ctic.2021.102.49-75.

[9] N. Camacho, J. Mesias, R. Lucas, and J. Jose, “Auditoría informática dirigida al

Centro de Cómputo de la Carrera de Ingeniería en Sistemas Computacionales de la

Universidad de Guayaquil con base en las Normas ISO 27001 y 27002.” Universidad

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

de Guayaquil. Facultad de Ciencias Matemáticas y Físicas. Carrera de Ingeniería en

Sistemas Computacionales., 2020. Accessed: Dec. 03, 2023. [Online]. Available:

http://repositorio.ug.edu.ec/handle/redug/48923

[10] J. Daniel, C. Flores, and B. Leticia González Becerra, “Objetos de aprendizaje: Una

Investigación Bibliográfica y Compilación,” Revista de Educación a Distancia

(RED), no. 34, 2012, Accessed: Dec. 03, 2023. [Online]. Available:

https://revistas.um.es/red/article/view/233351

[11] I. Gallego-Galán and others, “La investigación cualitativa,” Investigación de

Mercados I, 2020.

[12] L. M. C. M. da Fonseca and L. M. C. M. da Fonseca, “ISO 14001:2015: An improved

tool for sustainability,” Journal of Industrial Engineering and Management, vol. 8,

no. 1, pp. 37–50, Feb. 2015, doi: 10.3926/jiem.1298.

[13] M. Baldeón and J. Guanopatin, “Políticas de seguridad de la información para la

Universidad Central del Ecuador bajo los estándares ISO/TEC 27000 y Cobit 5,”

2015, Accessed: Dec. 02, 2023. [Online]. Available:

http://repositorio.espe.edu.ec/jspui/handle/21000/12551

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.10

INGENIERÍA E INNOVACIÓN DEL FUTURO

Este texto está protegido bajo una licencia internacional Creative Commons 4.0.

Usted es libre para Compartir—copiar y redistribuir el material en cualquier medio o

formato — y Adaptar el documento — remezclar, transformar y crear a partir del

material—para cualquier propósito, incluso para fines comerciales, siempre que cumpla las

condiciones de Atribución. Usted debe dar crédito a la obra original de manera adecuada,

proporcionar un enlace a la licencia, e indicar si se han realizado cambios. Puede hacerlo en

cualquier forma razonable, pero no de forma tal que sugiera que tiene el apoyo del

licenciante o lo recibe por el uso que hace de la obra.

Resumen de licencia – Texto completo de la licencia