Metodología para la gestión de la seguridad de la información como contribución a la continuidad del negocio

Abstract

La presente investigación tiene como objetivo desarrollar una metodología para la gestión de la seguridad de la información que contribuya a la continuidad del negocio, aplicando técnicas de seguridad alineadas con el estándar NC ISO/IEC 27001:2016. Se basa en una orientación a riesgos para garantizar la confidencialidad, integridad y disponibilidad de la información, así como en el análisis de los procesos claves de la organización para determinar planes y estrategias que garanticen la continuidad de la seguridad de la información. La metodología consta de cuatro etapas y doce pasos, brindando solución al problema científico identificado. Durante su desarrollo se emplearon diferentes métodos teóricos de la investigación científica como: histórico-lógico, análisis y síntesis, inducción-deducción; además de métodos empíricos para caracterizar el problema y estadísticos para el análisis y procesamiento de los datos. Se presentan los resultados de la aplicación de la metodología en la Oficina Territorial de Normalización de Holguín, la misma permitió la consolidación de una política de seguridad de la información, elevar la cultura de todo el personal referente a la seguridad de la información y determinar el nivel de madurez del sistema de gestión de seguridad de la información. Se desarrolla una herramienta informática. Con su aplicación se conocen los tipos de activos de información por procesos, se optimiza la identificación de las amenazas asociadas, evaluando los niveles inaceptables del riesgo de cada una de ellas, para así seleccionar e implementar medidas para modificarlos y sean tratadas a tiempo o anticipadamente

The objective of this research is to develop a methodology for information security management that contributes to business continuity, applying security techniques aligned with the NC ISO / IEC 27001: 2016 standard. It is based on a risk orientation to guarantee the confidentiality, integrity and availability of the information, as well as on the analysis of the key processes of the organization to determine plans and strategies that guarantee the continuity of the information security. The methodology consists of four stages and twelve steps, providing a solution to the identified scientific problem. During its development, different theoretical methods of scientific research were used, such as: historical-logical, analysis and synthesis, induction-deduction; in addition to empirical methods to characterize the problem and statistics for data analysis and processing. The results of the application of the methodology in the Territorial Office of Standardization of Holguín are presented, it allowed the consolidation of an information security policy, raising the culture of all personnel regarding information security and determining the maturity level of the information security management system. A computer tool is developed. With its application, the types of information assets are known by processes, the identification of the associated threats is optimized, evaluating the unacceptable levels of risk of each one of them, in order to select and implement measures to modify them and be treated on time or in advance