Importancia de la norma iso/eic 27000 en la implementacion de un sistema de gestion de la seguridad de la información

• Autores: Gisela Regina Baena Cstro, Rafael V. Mendoza Méndez, Ernesto Joel Dorantes Coronado
• Localización: Contribuciones a la Economía, ISSN-e 1696-8360, Vol. 17, Nº. 2, 2019 (Ejemplar dedicado a: abril - junio 2019)
• Idioma: español
• Títulos paralelos:
  • Importance of iso/ eic 27000 standard in the implementation of an information security management system
• Enlaces
  • Texto completo (pdf)
• Dialnet Métricas: 1 Cita
• Resumen
  • español

    Las organizaciones dependen cada vez de la tecnología para garantizar el funcionamiento de sus procesos , y la información que se genera de sus actividades ha pasado a convertirse en su activo más valioso, por lo que no tomar medidas de seguridad para proteger ese activo le puede generar consecuencias importantes para la empresa y sus usuarios. Tal como lo menciona Joaquim Serrahima, en su libro titulado La amenaza digital: Conozca los riesgos informáticos que pueden arruinar su negocio.

    Las pérdidas de datos causadas por siniestros o incidentes son más comunes de lo que pueda pensar y en prácticamente todos los casos tienen consecuencias fatales ya que acostumbran a ser perdidas completas y, en muchos casos, incluyen la perdida de las copias de respaldo. (Serrahima, 2009) Una amenaza informática se considera como toda circunstancia o un evento e inclusive una persona que tiene el potencial de efectuar un daño en un sistema, pudiendo ser este por sustracción de datos, destrucción, mostrar información clasificada, modificar sin autorización los datos de los registros de las bases de datos, siendo también cualquier vulnerabilidad o situación de riesgo de nuestro sistema de información que de nacimiento de cualquier vulnerabilidad que pueda ser aprovechada de manera ilícita. “Se denomina riesgo a la posibilidad de que se materialice o no una amenaza aprovechando una vulnerabilidad”. (Aguilera, 2010) La compañía Symantec encargada de proveer producto y servicios de Ciberseguridad define una vulnerabilidad como:

    “Una vulnerabilidad es un estado viciado en un sistema informático (o conjunto de sistemas) que afecta las propiedades de confidencialidad, integridad y disponibilidad (CIA) de los sistemas. Las vulnerabilidades pueden hacer lo siguiente:

    • Permitir que un atacante ejecute comandos como otro usuario.

    • Permitir a un atacante acceso a los datos, lo que se opone a las restricciones específicas de acceso a los datos.

    • Permitir a un atacante hacerse pasar por otra entidad.

    • Permitir a un atacante realizar una negación de servicio” (Symantec, 2017).

    El periódico la expansión, de una nota tomada de la agencia de noticias Notimex menciona que los ataques cibernéticos dejan al año pérdidas de más de 24 millones de dólares en las empresas en México.

    Ante esto se hace patente que la seguridad de los sistemas de información de las empresas ha dejado ser un lujo, para convertirse en una necesidad, esta implementación debe de ir acompañado de una metodología que proporcione una serie de lineamientos de forma metódica y lógica para disminuir y reducir de manera significativa el impacto de estos riegos que la empresa debe de conocer y afrontar de manera ordenada, por lo que estos procedimientos deben de ser adecuados a los que recomiendan los Sistemas de Gestión de la Seguridad basados en la norma ISO/IEC 27000 que proporciona un marco de gestión de los procesos orientados a la Seguridad de la Información dentro de las organizaciones.

  • English

    Organizations depend on technology every time to ensure the functioning of their processes, and the information generated from their activities has become their most valuable asset, so not taking security measures to protect that asset can generate important consequences for the company and its users. As mentioned by Joaquim Serrahima, in his book entitled The digital threat: Know the computer risks that can ruin your business.

    Losses of data caused by accidents or incidents are more common than you may think and in almost all cases have fatal consequences as they tend to be lost completely and, in many cases, include the loss of backup copies. (Serrahima, 2009) A computer threat is considered as any circumstance or event and even a person who has the potential to do a damage in a system, this may be by subtraction of data, destruction, display classified information, modify without authorization the data of the records of the databases, being also any vulnerability or risk situation of our information system that of birth of any vulnerability that can be exploited in an illicit way. "Risk is called the possibility of a threat materializing or not taking advantage of a vulnerability." (Aguilera, 2010) The Symantec company in charge of providing Cybersecurity products and services defines a vulnerability as:

    "A vulnerability is a flawed state in a computer system (or set of systems) that affects the confidentiality, integrity and availability (CIA) properties of the systems. The vulnerabilities can do the following:

    • Allow an attacker to execute commands as another user.

    • Allow an attacker access to data, which is contrary to specific restrictions on access to data.

    • Allow an attacker to impersonate another entity.

    • Allow an attacker to perform a denial of service "(Symantec, 2017).

    The expansion newspaper, from a note taken from the Notimex news agency, mentions that cyber attacks leave more than 24 million dollars in losses per year in companies in Mexico.

    Given this it becomes clear that the security of the information systems of companies has been a luxury, to become a necessity, this implementation must be accompanied by a methodology that provides a series of guidelines in a methodical and logical way to reduce and significantly reduce the impact of these risks that the company must know and deal with in an orderly manner, so these procedures must be appropriate to those recommended by the Safety Management Systems based on ISO / IEC 27000 which provides a management framework for the processes aimed at guaranteeing Information Security within organizations.