Diseño y sistematización de un modelo de madurez de seguridad de la información basado en ISM3, adaptable a las micro y pequeñas empresas.
QRCode
Share this
Date
2024Citation
Metadata
Show full item recordPDF Documents
Title
Design and Systematization of an Information Security Maturity Model based on ISM3, adaptable to Micro and Small Enterprises.
Abstract
Dado la creciente evolución de las tecnologías de la información y la aplicación de estas en el sector empresarial como soporte de sus procesos; las amenazas y explotación de vulnerabilidades tecnológicas actúan como una constante intrínseca a este crecimiento o evolución, generando ataques informáticos, acceso y uso no autorizado de activos, entre otros. No obstante, existen diversos marcos, normas y estándares que proponen estrategias para gestionar la seguridad de la información en las empresas, con el fin de mitigar el impacto de estas amenazas y vulnerabilidades presentes. Sin embargo, la incorporación de estándares y modelos de gestión tecnológica no son de común aplicación en las empresas del país, en donde las pequeñas y microempresas constituyen un porcentaje mayor dentro del sector productivo, las cuales por su propia característica y estructura pueden requerir aplicaciones normativas y modelos de gestión de seguridad adaptados a su realidad.
Por tal motivo se pretende diseñar e implementar un modelo de seguridad de la información con base en ISM3 (Information Security Management Maturity Model), apoyado en el desarrollo de una herramienta informática que permita generar el nivel de madurez y recomendaciones de seguridad a las micro y pequeñas empresas MYPE.
Lo anterior, basado en una metodología donde se define y plantea una matriz de riesgo para los activos de información estándares aplicables a las micro y pequeñas empresas, y definiendo métricas ajustadas a este sector. Posteriormente se diseña e implementa el modelo de gestión de seguridad de la información adaptado a los niveles de madurez que propone ISM3. Finalmente, se valida y analiza el mismo a través de un caso de estudio, en donde se analizarán los resultados, generando conclusiones acerca de esta iniciativa.
Abstract
Given the increasing evolution of information technologies and their application in the business sector as support for their processes, threats and the exploitation of technological vulnerabilities act as an inherent constant to this growth or evolution, generating computer attacks, unauthorized access and use of assets, among others. However, there are various frameworks, norms, and standards that propose strategies for managing information security in companies, in order to mitigate the impact of these present threats and vulnerabilities. However, the incorporation of technological management standards and models is not commonly applied in the country's businesses, where small and microenterprises constitute a larger percentage within the productive sector. These enterprises, due to their own characteristics and structure, may require regulatory applications and security management models adapted to their reality. For this reason, the aim is to design and implement an information security model based on ISM3 (Information Security Management Maturity Model), supported by the development of a computer tool that enables the generation of maturity levels and security recommendations for micro and small enterprises. The above is based on a methodology that aims to define and propose a risk matrix for information assets applicable to micro and small enterprises, and define metrics tailored to this sector. Subsequently, the information security management model will be designed and implemented, adapted to the maturity levels proposed by ISM3. Finally, it will be validated through a case study, where the results will be analyzed, generating conclusions about this initiative.