Resumen de Modelo de evaluación madurez de gestión de seguridad de la información en centros de datos: Information Security Assessment Model for Data Centers
- español
La seguridad de la información (SI) ha pasado de utilizarse netamente para fines de protección de datos clasificados del gobierno en cuestiones militares, a convertirse en un bien de vital importancia para las organizaciones de cualquier sector económico. El objetivo del presente estudio es elaborar una herramienta que permita evaluar la madurez de la seguridad de la información en centros de datos. Para esto, se analizaron los controles de los estándares ISO27002 y NIST 800-53 r5 que aplican al objetivo mencionado, con los controles seleccionados se obtuvo un instrumento que consta de 80 ítems, distribuidos en Aspectos Organizativos de seguridad de la Información (9), Control de Accesos (20), Seguridad Física y Ambiental (28), Seguridad Operativa (14), Seguridad en Telecomunicaciones (9).
Por otra parte, para evaluar el nivel de madurez se tomó como referencia el estudio “Una metodología de múltiples perspectivas para la evaluación de la Madurez de seguridad de centros de datos”, donde se realizan 3 análisis (tradicional, ponderado y contextual) con el objetivo de personalizar el instrumento a las necesidades de la organización considerando la ponderación y relevancia que el auditado le asigna a cada control. Con los resultados obtenidos se analizarán ambas perspectivas y su relación de pertinencia para la empresa donde se aplicará el instrumento, dado que el auditado otorgará la relevancia a los controles y evitar brechas en la seguridad de la información.
- English
Information security (IS) has gone from being used purely for government classified data protection purposes in military matters, to becoming an asset of vital importance for organizations in any economic sector. The objective of this study is to evaluate the maturity of information security in data centers. For this, the controls of the ISO27002 and NIST 800-53 r5 standards that apply to the aforementioned objective were analyzed, with the selected controls an instrument consisting of 80 items was obtained, distributed in Organizational Aspects of Information Security (9), Access Control (20), Physical and Environmental Security (28), Operational Security (14), Telecommunications Security (9).
On the other hand, to evaluate the level of maturity, the study "A methodology of multiple perspectives for the evaluation of the Security Maturity of data centers" was taken as a reference, where 3 analyzes are carried out (traditional, weighted and contextual) with the objective of customizing the instrument to the needs of the organization considering the weighting and relevance that the auditee assigns to each control. With the results obtained, both perspectives and their relevance relationship for the company where the instrument will be applied will be analyzed, given that the auditee will grant relevance to the controls and avoid breaches in information security.
