Propuesta de Controles Organizacionales en Seguridad de la Información y Ciberseguridad Basados en ISO/IEC 27001:2022 y 27002:2022 para Ingenierías y Servicios S.A.S.
DOI:
https://doi.org/10.37511/apuntesci.v4n2a5Palabras clave:
ISO 27001, ISO 27002, Política de Seguridad de la información, Sistema de Gestión de InformaciónResumen
El presente proyecto aborda la necesidad de fortalecer los controles de seguridad de la información y objetivos de control en Ingenierías y Servicios S.A.S., una organización que evidencia brechas como la ausencia de una política formal de seguridad, controles obsoletos, limitaciones en la gestión de accesos y falta de mecanismos de monitoreo y verificación. Estas debilidades incrementan de manera considerable la exposición a riesgos tecnológicos, operativos y regulatorios, lo que hace necesario establecer una propuesta estratégica y alineada con estándares internacionales. En este contexto, el proyecto se orienta a crear un plan de trabajo mediante una propuesta fundamentada en los lineamientos de la ISO/IEC 27001:2022 y los controles de la ISO/IEC 27002:2022, con el fin de definir mecanismos que fortalezcan la gobernanza institucional en materia de controles. Para ello, se desarrolla una metodología cualitativa descriptiva que integra un análisis de brechas (GAP Analysis) y con la metodología Design Thinking, que permite comprender la seguridad desde la perspectiva de las personas y analizar las prácticas reales de los colaboradores frente a la protección de la información.
A partir del diagnóstico inicial, se identifican las brechas existentes y se evalúa el nivel de madurez y cumplimiento frente a los requisitos de ambas normas, lo que permite avanzar hacia la construcción de un plan de trabajo coherente y un esquema de controles organizacionales. Esto permite definir acciones clave para la gestión de identidades, la segregación de funciones y la implementación de procesos de monitoreo y respuesta a incidentes, fortaleciendo la gestión del riesgo. El estudio demuestra que una propuesta estructurada y alineada con las normas ISO permite a Ingenierías y Servicios S.A.S. fortalecer su postura de seguridad, asegurar la continuidad del negocio, proteger los activos de información y consolidar una cultura organizacional frente a amenazas emergentes.
Descargas
Referencias
Acosta Ubaque, N., & León Patiño, T. (2017). Diseño del Sistema de Gestión de Seguridad de la Información (S.G.S.I) para el centro de datos de la personería de Bogotá D.C. bajo las normas NTC-ISO-IEC 27001:2013 y GTC-ISO-IEC 27002:2013. UNAD, Universidad Nacional Abierta y a Distancia.
Center For Internet Security CIS. (2021). CIS Critical Security Controls Version 8. Obtenido de https://www.cisecurity.org/controls/v8
Criollo Tasinchana, S. (2017). Análisis e Implantación de la norma ISO/IEC 27002:2013 para el departamento informático del Gobierno Autónomo Descentralizado Municipal del Cantón Salcedo. UTA, Universidad Técnica de Ambato.
Dias Alencar, G., Perrelli de Moura, H., de Farias Júnior, I. H., & de Almeida Teixeira Filho, J. G. (2018). An Adaptable Maturity Strategy for Information Security. Obtenido de Cornell University: https://arxiv.org/abs/1807.06184
ENISA EUROPEAN UNION AGENCY FOR CYBERSECURITY. (2024). ENISA Threat Landscape 2024. Obtenido de https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
García Rivera, J., & Del Águila Salas, C. (2017). Análisis e implementación de la seguridad de la información del centro de datos de la Universidad Nacional de la Amazonía Peruana bajo la norma ISO 27002. UNAP, Universidad de la Amazonía Peruana.
González Flórez, O. (2013). Estudio del estándar para la seguridad de la información ISO 27002 y su comparación con los estándares ISO 27001, Cobit y Osstmm. UNAB, Universidad Autónoma de Bucaramanga.
Guallpa Zatán, L. (2017). Plan de seguridad informática basada en la norma Iso 27002 para el control de accesos indebidos a la red de Uniandes Puyo. Universidad UNIANDES.
ISACA. (2021). HCL State of Cybersecurity 2021. Obtenido de https://www.isaca.org/resources/news-and-trends/isaca-podcast-library/hcl-state-of-cybersecurity-2021
ISO/IEC 27001:2022. (s.f.). Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Obtenido de https://www.iso.org/standard/27001
ISO/IEC 27002:2022. (s.f.). Information security, cybersecurity and privacy protection — Information security controls. Obtenido de https://www.nist.gov/cyberframework
Kurniawan, E., Riadi, I., & Irmawan, A. (2022). Performance measurement of security academic information system using maturity level. Cornell University.
López Vasco, F. (2019). Implementación de una metodología para gestión de riesgos de información basada en las normas ISO/IEC 27001 y 27002 en el Instituto Tecnológico Superior Sucre. Puce Repositorio Nacional.
Moron Peredo, K. (2023). Diseño e implementación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27002 para mejorar el nivel de seguridad informática en la empresa Rash Perú S.A.C. USS, Universidad Señor de Sipán.
NIST, NationalInstitute Of Standards and Technology. (2022). Framework for Improving Critical Infrastructure Cybersecurity. Obtenido de https://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11-french-translation
RSA. (2024). Archer Integrated Risk Management. Obtenido de https://www.rsa.com/en-us/products/integrated-risk-management
SANS. (s.f.). Security Awareness Training and Privacy. Obtenido de https://www.sans.org/white-papers/394
SERVICENOW. (s.f.). ServiceNow Security Operations. Obtenido de https://www.servicenow.com/standard/resource-center/data-sheet/ds-security-operations.html
Descargas
Publicado
Número
Sección
Cómo citar
