Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Propuesta de seguridad informática en los aspectos

organizativos de un sistema informático, aplicando ISO

27002 y CSF

Proposal for IT security in the organizational aspects of an IT

system, applying ISO 27002 and CSF.

Fecha de recepción 2023-03-22 • Fecha de aceptación: 2023-05-10 • Fecha de publicación: 2023-05-30

Esteban Silva

Universidad Tecnológica Israel, Quito, Ecuador

[email protected]

Resumen

El artículo propone un enfoque integral para abordar la seguridad informática en los aspectos

organizativos de un sistema informático. Para lograr esto, se utiliza un marco combinado de

ISO 27002 (Norma Internacional de Seguridad de la Información) y el CSF (Framework de

Ciberseguridad). La ISO 27002 establece estándares y directrices para la gestión de la

seguridad de la información en una organización. Su implementación implica la

identificación de activos de información, la evaluación de riesgos, la aplicación de controles

de seguridad y la continua mejora del sistema de gestión de la seguridad de la información.

Por otro lado, el CSF proporciona un marco específico para la ciberseguridad, abordando la

prevención, la detección y la respuesta a amenazas cibernéticas. Este marco puede adaptarse

a las necesidades específicas de la organización, permitiendo una mayor flexibilidad en la

implementación de medidas de seguridad. La propuesta de seguridad informática se centra

en la integración de estos dos marcos para abordar tanto los aspectos generales de la

seguridad de la información como las amenazas cibernéticas específicas. Se destaca la

importancia de la colaboración interdepartamental y la sensibilización del personal para

garantizar una implementación efectiva.

Palabras clave

Modelo, ISO, seguridad, información, CSF

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Abstract

The article proposes a comprehensive approach to address computer security in the

organizational aspects of a computer system. To achieve this, a combined framework of ISO

27002 (International Information Security Standard) and the CSF (Cybersecurity

Framework) is used. ISO 27002 establishes standards and guidelines for managing

information security in an organization. Its implementation involves the identification of

information assets, risk assessment, application of security controls and continuous

improvement of the information security management system. On the other hand, the CSF

provides a specific framework for cybersecurity, addressing the prevention, detection and

response to cyber threats. This framework can be tailored to the specific needs of the

organization, allowing for greater flexibility in the implementation of security measures. The

cyber security approach focuses on integrating these two frameworks to address both general

aspects of information security and specific cyber threats. It highlights the importance of

interdepartmental collaboration and staff awareness to ensure effective implementation.

Keywords

Model, ISO, security, information, CSF

Introducción

La seguridad de la información se ha vuelto esencial para las organizaciones debido al

constante avance tecnológico, permitiéndoles gestionar y controlar eficientemente la

información que manejan. En un mundo cada vez más globalizado, los ataques cibernéticos

son más frecuentes y agresivos, buscando obtener información sensible que pueda afectar

tanto a organizaciones como a individuos.

Los sistemas de gestión estratégica son especialmente susceptibles a estos ciberataques, ya

que pueden comprometer la seguridad de la información que manejan [1]. Por esta razón, las

organizaciones reconocen la necesidad de innovar y aplicar guías y normativas

internacionales para la seguridad de la información. Adoptan políticas, métodos y directrices

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

para resguardar la información, con el objetivo de minimizar riesgos y anticipar posibles

ataques [2].

En la actualidad, la informática y la información son componentes fundamentales tanto para

instituciones públicas como privadas y empresas. Sin embargo, enfrentan diversas amenazas

y desafíos que impactan directamente en su correcto funcionamiento. El uso diario de

dispositivos electrónicos para el manejo de información enlazada a Internet, no siempre se

realiza con un sistema de seguridad adecuado. Según [3] se destaca que un sistema

informático puede ser protegido mediante enfoques lógicos, como el desarrollo de software,

o físicos, como el mantenimiento eléctrico, ya que las amenazas pueden surgir tanto de

programas maliciosos como de accesos remotos no autorizados.

En [4], se afirma que la seguridad informática se encarga de estudiar cómo preservar la

confidencialidad, integridad y disponibilidad de datos y programas en sistemas de cómputo.

Actualmente existen riesgos con respecto, a la seguridad informática, que se maneja en las

distintas áreas y sistemas de información, dado que podrían atentar o vulnerar la seguridad

de la información que se almacena en sus sistemas entre estos; datos personales, estados de

cuenta, servicios. Lo cual podría representar un alto riesgo de inseguridad, que si no se trata

adecuadamente pueden ocasionar fallos económicos, prestigio y fuga de información[5].

Los sistemas de gestión de la información deberían contar con un esquema apropiado, de

políticas y normas internacionales para la seguridad de la información, puesto que en caso

contrario se podría originar una amenaza con alto riesgo en los activos de información que

se maneja originando una probabilidad de pérdidas económicas [6].

En la actualidad y con el crecimiento desmesurado de la información los ataques cibernéticos

son cada vez más comunes en donde los atacantes buscan brechas o posibles vulnerabilidades

para poder obtener información sensible para la organización, es por ello que la

ciberseguridad se ha convertido en uno de los aspectos principales.

Materiales y Métodos

Para la presente investigación se ha recabado información por medio de documentos,

publicaciones y estudios similares a la investigación realizada con el fin de que estos

principios sustenten la justificación del mismo.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Se utiliza la metodología cualitativa que se basa en la recopilación y análisis de datos,

explorando las interpretaciones que las personas realizan sobre la realidad social a través de

significados e intenciones humanas. Comprende enfoques de investigación como la

etnografía, fenomenología e interaccionismo simbólico [7].

En la investigación, se examinarán tanto los aportes teóricos como prácticos relacionados

con la seguridad de la información en instituciones de educación superior y en organizaciones

que implementen la ISO 27002 en sus aspectos organizativos. Este enfoque permitirá la

formulación de un modelo fundamentado en normativas de calidad, definiendo los elementos

clave para garantizar la ciberseguridad de un sistema.

En [8], se contextualiza una investigación al aplicar la versión 2005 de las normas ISO y sus

11 categorías de control. Este enfoque les facilita evaluar el nivel de madurez de los dominios

de seguridad de la información.

Por otro lado, en [9], se afirma que, la utilización del estándar ofrecido por el NIST facilita

la identificación de activos, amenazas y vulnerabilidades de la información. El Instituto

Nacional de Estándares y Tecnología (NIST) dispone de controles específicos para la

infraestructura crítica, los cuales se ocupan de abordar la identificación, evaluación y gestión

del riesgo cibernético mediante acciones flexibles, priorizadas y repetibles. Estas acciones se

basan en criterios de desempeño y rentabilidad, e incluyen la identificación y el

establecimiento de un marco para la gestión del riesgo de seguridad cibernética.

Comparación entre ISO 27001 y CSF de NITS

Para determinar los aspectos organizativos de una entidad, es esencial establecer una

estructura eficaz que fomente la comunicación entre la parte administrativa del sistema,

permitiendo la aprobación de políticas de seguridad de la información, la asignación de

responsabilidades y la coordinación de niveles de implementación de seguridad.

ISO 27002 propone un esquema organizativo jerárquico que enfatiza la necesidad de una

comunicación y colaboración efectivas entre gerentes, clientes, administradores, diseñadores

y personal, asignando responsabilidades específicas relacionadas con la seguridad de la

información [10].

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

En contraste, la CSF de NITS aboga por la utilización de catálogos de control para satisfacer

de manera óptima las necesidades organizativas. Esta normativa se fundamenta en las normas

de control de seguridad de la información, adoptando las mejores prácticas para su aplicación.

El CSF de NIST introduce el concepto de perfiles, que se asemeja al enfoque jerárquico

propuesto por la ISO 27001, gestionando las responsabilidades de manera similar. En la

siguiente tabla se detallan estos aspectos.

Tabla 1. Comparativa

Resultados

Los Evaluadores de Calidad (QA) en el departamento de Sistematización desempeñan la

función de llevar a cabo las pruebas correspondientes de funcionamiento, estrés y control del

sistema SIGE, asegurando su adecuado rendimiento y calidad. Sin embargo, no tienen

políticas establecidas para aprobar cuestiones de seguridad ni cuentan con métricas que

definan un criterio de control.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Una vez analizadas las premisas de las normativas, se plantea como objetivo prioritario la

gestión de la seguridad de la información en los aspectos organizativos, considerándola como

una parte esencial de los objetivos y actividades de la institución. Esto incluye la

identificación, control y mejora de las áreas que presentan mayor vulnerabilidad en cuanto a

la exposición de la seguridad de la información.

Por consiguiente, se proponen los siguientes puntos como un posible modelo de políticas,

basándose en los aspectos organizativos destacados en la comparativa entre la ISO 27002 y

el CSF, se detalla en la siguiente tabla:

Tabla 2. Políticas propuestas

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

El análisis comparativo entre la ISO 27002 y el marco regulatorio de la CSF, que sirven como

fundamentos para las mejores políticas en seguridad de la información, concluye que es

esencial aplicar un esquema adaptado a las necesidades específicas de dicho ámbito. Esto se

debe a que la información manejada posee un nivel de interés para ciberdelincuentes que

buscan aprovechar brechas o vulnerabilidades para acceder y apropiarse de la información.

El esquema propuesto se presenta como un conjunto de políticas que deben implementarse

en base a principios fundamentales y requisitos mínimos para salvaguardar la seguridad de

la información. En este marco, se deben considerar riesgos no asociados, como acciones no

autorizadas, fallos técnicos, falta de compromiso de los involucrados, daños físicos a la

infraestructura, falta de control, entre otros, que pueden no ser definidos en el momento.

Por ende, es crucial establecer una estructura que sirva como guía para la implementación de

políticas de ciberseguridad de la información, basada en un análisis comparativo que aplique

las principales prácticas y estándares de organizaciones y normativas a nivel mundial. No

obstante, esta estructura puede no ser completamente aceptada por la organización, por lo

que se presenta como un esquema susceptible a cambios o ajustes según las necesidades de

la institución.

Los puntos delineados en este esquema indican que la implementación es viable para

cualquier organización, independientemente de su tamaño, nivel de riesgo o complejidad en

ciberseguridad. Este enfoque ofrece diversas aplicaciones que, al vincularse, benefician la

seguridad de la información, evitando la pérdida de datos y protegiendo las prioridades

cruciales. Además, establece políticas que definen un marco regulador para la gestión de la

seguridad de la información, reduciendo el riesgo de robo, pérdida de integridad o

información sensible, y generando confianza en las personas que manejan o tienen acceso a

dicha información, así como en los servicios ofrecidos. En última instancia, este enfoque

fortalece la seguridad a través de una gestión integral y evita depender de sistemas de

terceros.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Conclusiones

Se identifica la necesidad de crear un modelo fundamentado en los aspectos organizativos de

la seguridad de la información, utilizando las principales políticas y prácticas como base para

su aplicación. Se reconoce que la aceptación completa de este modelo por parte de la

institución puede no ser garantizada, por lo que se presenta como un modelo sujeto a cambios

o adaptable según las necesidades de la institución.

La implementación de este modelo es viable para cualquier organización, sin importar su

tamaño, nivel de riesgo o complejidad en ciberseguridad. Este enfoque ofrece diversas

aplicaciones que, al combinarse, contribuyen al beneficio de la seguridad de la información,

evitando la pérdida de datos y protegiendo las prioridades fundamentales. Además, se busca

establecer políticas que definan un marco regulatorio para la gestión de la seguridad de la

información, reduciendo el riesgo de robo, pérdida de integridad o divulgación de

información sensible o confidencial para la institución.

El objetivo principal de este modelo es generar confianza en las personas que gestionan o

tienen acceso a la información, así como en los servicios ofrecidos. De esta manera, se

fortalece la seguridad a través de una gestión integral y se evita depender de sistemas de

terceros.

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Referencias

[1] F. Morales, S. Toapanta, and R. M. Toasa, “Implementación de un sistema de seguridad perimetral

como estrategia de seguridad de la información,” Revista Ibérica de Sistemas e Tecnologias de

Informação, vol. E, no. 27, pp. 553–565, 2020.

[2] P. F. Baldeon Egas, M. A. Gaibor Saltos, and R. Toasa, “Integrated Strategic Management System,”

2019 14th Iberian Conference on Information Systems and Technologies (CISTI), pp. 1–6, Jun. 2019,

doi: 10.23919/CISTI.2019.8760801.

[3] C. A. T. Almeida and L. R. Herrera, “La ciberseguridad en el ecuador, una propuesta de organización,”

Revista de Ciencias de Seguridad y Defensa, vol. IV, no. 7, pp. 156–169, 2019.

[4] M. Cristiá, U. Nacional, and R. Rosario -Argentina, “Apunte de clase Seguridad Informática”.

[5] R. Vargas Borbúa, R. P. Reyes Chicango, and L. Recalde Herrera, “Ciberdefensa y ciberseguridad,

más allá del mundo virtual: modelo ecuatoriano de gobernanza en ciberdefensa/ Cyber-defense and

cybersecurity, beyond the virtual world: Ecuadorian model of cyber-defense governance,” URVIO -

Revista Latinoamericana de Estudios de Seguridad, no. 20, p. 31, Jun. 2017, doi:

10.17141/urvio.20.2017.2571.

[6] J. A. Senn, E. G. U. Medal, and O. A. P. Velasco, Análisis y diseño de sistemas de información, vol.

2. McGraw-Hill, 1992.

[7] R. Barrantes Echavarría, Investigación: un camino al conocimiento Un enfoque cualitativo,

cuantitativo y mixto, 2nd ed. Costa Rica: UNED, 2013. Accessed: Mar. 01, 2021. [Online]. Available:

https://editorial.uned.ac.cr/book/U08167

[8] M. Baldeón and J. Guanopatin, “Políticas de seguridad de la información para la Universidad Central

del Ecuador bajo los estándares ISO/TEC 27000 y Cobit 5,” 2015, Accessed: Dec. 02, 2023. [Online].

Available: http://repositorio.espe.edu.ec/jspui/handle/21000/12551

[9] A. Molina Oviedo, “Modelo de gobierno y gestión de riesgos TI para las universidades públicas de

Colombia: caso de estudio Universidad Popular del Cesar,” 2020, Accessed: Dec. 02, 2023. [Online].

Available: https://manglar.uninorte.edu.co/handle/10584/10394

[10] “¿Qué es ISO 27000 - Seguridad de la Información? | GSS.” Accessed: Dec. 02, 2023. [Online].

Available: https://www.globalsuitesolutions.com/es/la-familia-de-normas-iso-27000/

Período enero-junio 2023

Vol. 2 No. 1 riif@editorialscientificfuture.com

ISSN-L: 3028-869X DOI: https://doi.org/10.62465/riif.v2n1.2023.9

INGENIERÍA E INNOVACIÓN DEL FUTURO

Este texto está protegido bajo una licencia internacional Creative Commons 4.0.

Usted es libre para Compartir—copiar y redistribuir el material en cualquier medio o

formato — y Adaptar el documento — remezclar, transformar y crear a partir del

material—para cualquier propósito, incluso para fines comerciales, siempre que cumpla las

condiciones de Atribución. Usted debe dar crédito a la obra original de manera adecuada,

proporcionar un enlace a la licencia, e indicar si se han realizado cambios. Puede hacerlo en

cualquier forma razonable, pero no de forma tal que sugiera que tiene el apoyo del

licenciante o lo recibe por el uso que hace de la obra.

Resumen de licencia – Texto completo de la licencia