Examinando por Tema "Norma Técnica Colombiana NTC ISO/IEC 27001:2013"
  • Documento
    Definición de un modelo de evaluación de riesgos en seguridad de la información bajo los lineamientos de la norma ISO 27001, utilizando técnicas de redes neuronales
    (Pereira : Universidad Tecnológica de Pereira, 2019) Arias León, Julián Andrés ; Ruíz Correa, Juan Guillermo ; Ríos Patiño, Jorge Iván
    Proteger la información de una organización es un problema donde no basta con adquirir equipos y tecnología, es un proceso de mejora continua donde no solo intervienen activos de información sino también aquellos expertos encargados de realizar la evaluación del riesgo en el ecosistema de información empresarial. Para definir un sistema de gestión del riesgo en seguridad de la información, es preciso definir reglas para la gestión y evaluación de estos, de tal manera que sean utilizadas por toda la organización en la misma forma. Este suele ser un problema común a muchas organizaciones, pues depende exclusivamente de los expertos en el área. Teniendo en cuenta lo anterior, se hace necesario establecer desde el comienzo el tipo de evaluación, la escala de medición que se ha de utilizar y los niveles aceptables de riesgo, ya que no todos estos, tienen la misma importancia o la misma probabilidad de ocurrencia. Pero también se debe tener claro que algunos de los riesgos que se identifican muestran niveles inaceptables que hay que saber gestionar cuando se materialicen.
  • Documento
    Desarrollar un sistema de diagnóstico web para seguridad de la información, registro nacional de bases de datos y transparencia
    (Pereira : Universidad Tecnológica de Pereira, 2017) Marín García, Steveen ; López Echeverry, Ana María de las Mercedes
    Desde el año 2009 con el cambio del ministerio de comunicaciones al ministerio de las tecnologías de la información (MINTIC) [1] el gobierno ha invertido recursos en el desarrollo del sector de las TIC, impulsando el crecimiento de este sector hasta tener una participación del 3.13 % en el PIB para el tercer trimestre del año 2014[2], haciendo de este sector uno de los de mayor crecimiento en el país. Una parte de este crecimiento obedece a que tanto las empresas públicas como las privadas den el salto de calidad pasando del manejo manual de la información a sistemas automatizados, lo que permite tener más acceso y control respecto a los datos que ellas manejan, pero esto generó un riesgo hacia la protección de los datos sensibles de los usuarios y una dificultad de control del estado respecto al tratamiento de la información, ya que estos se convirtieron en uno de los activos más importantes de las empresas. En el año 2012, la Ley 1581 de 2012 dispuso el régimen general de protección de datos personales, registrados en cualquier base de datos que son manejados por entidades de manera pública o privada y se designó a la Superintendencia de Industria y Comercio como la autoridad de protección de estos datos [3], y se reglamentó en el decreto número 886 de 2014[4]. En año 2014, con la entrada en vigencia de la Ley 1712 del 6 de marzo de 2014, la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional, todas las empresas públicas y privadas, como así también cualquier persona natural y jurídica que manejen información pública, deben permitir un acceso público a la información que estos manejan [5]. Para cumplir con las anteriores leyes, es recomendado implementar en las empresas la norma NTC-ISO/IEC 27001, que define técnicas de gestión de la seguridad de la información dentro de la empresa [6].
  • Documento
    Diseño de un prototipo de software para aplicar análisis GAP a los controles descritos en el anexo a de la norma ISO 27001:2013
    (Pereira : Universidad Tecnológica de Pereira, 2016) Betancourt Betancourt, Anderson Danilo ; Guzmán Granada, Jhonnier
    Debido a la evolución permanente de las tecnologías de la información y las comunicaciones que demandan un mayor esfuerzo para garantizar la seguridad, a las constantes amenazas que hoy en día atentan contra la seguridad de la información que cada vez son más especializadas, complejas y avanzadas, y a la normatividad vigente que regula y exige una mayor protección y privacidad de los datos sensibles, personales, comerciales y financieros de las personas, las organizaciones deben contar con un modelo o sistema de gestión de seguridad de la Información basado en estándares de seguridad reconocidos a nivel mundial, con el propósito de poder establecer y mantener un gobierno de seguridad alineado a las necesidades y objetivos estratégicos del negocio, compuesto por una estructura organizacional con roles y responsabilidades y un conjunto coherente de políticas, procesos y procedimientos, que le permitan gestionar de manera adecuada los riesgos que puedan atentar contra la confidencialidad, integridad, disponibilidad, autenticidad, trazabilidad y no repudio de la seguridad de la información. Para lograr una adecuada gestión de la información es indispensable que las organizaciones establezcan una metodología estructurada, clara y rigurosa para la valoración y tratamiento de los riesgos de seguridad, con el objetivo de (i) conocer el estado real de la seguridad de los activos de información a través de los cuales se gestiona la información del negocio, (ii) identificar y valorar las amenazas que puedan comprometer la seguridad de la información y (iii) determinar los mecanismos y medidas de seguridad a implementar para minimizar el impacto en caso de las posibles pérdidas de confiabilidad, integridad y disponibilidad de la información.
  • Documento
    Modelamiento de los procesos de auditoría en seguridad de la Información asociados a los dominios 6, 8, 13 y 14 del anexo a de la Norma ISO 27001 mediante una herramienta de flujo de trabajo
    (Pereira : Universidad Tecnológica de Pereira, 2015) Velásquez Isaza, Juan Manuel
    Hace algunos años, lo relevante para toda organización eran las estrategias para hacer rentable su Know-How y resguardarlo de la competencia. Con el tiempo, los avances tecnológicos llegaron y consigo mucho de ese conocimiento quedó obsoleto y rezagado frente a ideas innovadoras y de vanguardia. Hoy en día las empresas giran alrededor de su conocimiento y la manera como hacen uso de la información que ésta genera. Sin embargo, es clara la brecha existente entre la tecnología y la forma como se realiza de manera segura las operaciones al interior de la organización para garantizar la confidencialidad, disponibilidad e integridad de esa información que pasa, en la mayoría de los casos, por manos de uno, dos o más empleados sin tomar las medidas adecuadas para su correcto tratamiento. El grado de desconocimiento de las empresas en la seguridad de la información es elevado y esto se evidencia con el constante ataque del que han sido víctima por no contar con los mecanismos de protección adecuados, vulnerando no solo su información sino también su buen nombre y prestigio.