Propuesta de metodología de gestión de seguridad de las TIC’s para el sector universitario venezolano

Proposed methodology for management of the security for the information technology and communications ITC’s sector venezuelan university

Vidalina De Freitas

5. Conclusiones

La seguridad de la información es un aspecto importante que debe ser revisada y evaluada continuamente. La metodología para la gestión de riesgo orientada al sector universitario público, permite ser adaptada a otros sectores, como por ejemplo instituciones de servicios públicos, dado que se fundamenta en conceptos generales que competen a cualquier tipo de organización. Esta metodología permite establecer el grado de capacitación del personal responsable de la gestión de riesgos. El análisis de riesgo requiere de una evaluación que permitirá adoptar medidas para enfrentar las posibles amenazas de los activos de información de la organización y en particular de las universidades. Los cálculos necesarios para obtener las Matrices de Riesgo son fácilmente automatizables con la utilización de plantillas electrónicas. Con esta metodología los responsables de la seguridad de la información, sus dueños y quienes utilizan el activo, toman mayor conciencia de los activos más riesgosos, sus vulnerabilidades y las amenazas a los que están expuestos, por lo que podrán tomar medidas proactivas más efectivas y eficientes antes de que se pueda producir un incidente. Esta metodología disminuye el grado de subjetividad que rigen las acciones en seguridad, ya que aporta precisión y confianza al valorar cuantitativamente de las amenazas y vulnerabilidades.

Referencias bibliográficas

• Aceituno, V. (2006); Information Security Management Maturity Model. ISM3. ISECOM.
• Aguila, A. R, Padilla, A., Serarols, C. y Veciana, J. M. (2001); “La economía digital y su impacto en la empresa: bases teóricas y situación en España”. Boletín Económico de Información Comercial Española, n.º 2705, pp. 7-24.
• Alexander, A. (2007); Diseño de un Sistema de Gestión de Seguridad de Información. Óptica ISO 27001:2005, Alfaomega Colombiana S.A., Bogotá.
• Areiza, K., Barrientos, A., Rincón, R. y Lalinde, J. (2005); “Hacia un modelo de madurez para la seguridad de la información”, Memorias del Congreso Iberoamericano de Seguridad Informática, Valparaíso. Argenina.
• Espiñeira, Sheldon y Asociados. Prácticas de Seguridad de Información de las Empresas en Venezuela. Encuesta Nacional 2006-2007. Mayo 2008. Disponible en la World Wide Web: www.pwc.com.
• Hoffman, T. (1998); “Risk management still a wild frontier”, Computerworld, 32(7), p. 10.
• ISO/EIC 27001:2005. Sistemas de gestión de Seguridad de Información.
• Kontio, J. (1997); Empirical Evaluation of a risk management Method, SEI conference on risk management, USA.
• O’hehir, M. (2002); What is Business Continuity Planning Strategy?, en Business Continuity Management, Wiley, Londres.
• Peltier, T. (2001); Information Security Risk Analysis, Auerbach, London.
• Pradas, J. (1999); “El sector digital como facilitador del cambio económico y de la naturaleza de la empresa”, Economía Industrial, n.º 325, pp. 83-102.
• Sheffi, Y. (2005); The Resilient Enterprise, MIT Press, Boston.
• Stoneburner, G., Goguen, A. y Feringa, A. (2002); Recommendations of the National Institute of Standards and Technology, University of the Aegean, Karlovasi Greece. July.
• Velásquez, N. y Estayno, M. (2007); “Desarrollo y Mantenimiento Seguro de Software para Pymes: MoProSoft alineado a ISO/IEC 17799:2005”, IV Congreso Iberoamericano de Seguridad Informática, Mar de Plata. Argentina. Pp. 101-110.