Metodología para seleccionar políticas de seguridad informática en un establecimiento de educación superior
- Authors
- Muñoz, Juan; Ponce, Diego
- Format
- Article
- Status
- publishedVersion
- Description
The selection and implementation of computer security policies is sometimes difficult when an adequate procedure is not in place nor used. An additional problem to this situation is that rarely we possess historical data, such as computer audits, as to determine the current situation and the maturity degree of computer security at higher education institutions. The present study attempted to develop a methodology to collect data that permit the determination of the current situation of computer security in the Department of Information and Communication Technologies (DTIC) of the University of Cuenca. The Delphi method was applied to consult experts if all the controls of the NTE INEN-ISO/IEC 27002:2009 Ecuadorian Technical Standard were used as basis for the elaboration of questionnaires. The questionnaires allowed to identify the vulnerabilities and prioritize security controls and permitted to select the specific IT security policies needed to be implemented in the DTIC. The obtained results demonstrate that there are few computer security policies in place, and in addition they are defined in very general terms within the institution. Further, the study revealed that an adequate review and verification of compliance is not performed.
La selección e implementación de políticas de seguridad informática a momentos resulta dificultoso cuando no se emplea un procedimiento adecuado. A esto se suma un problema más, que en varias ocasiones no se tiene datos históricos como por ejemplo auditorías informáticas para determinar la situación actual y el grado de madurez de la seguridad informática en los establecimientos de educación superior. El presente trabajo busca desarrollar una metodología para obtener datos que nos permitan determinar la situación actual de la seguridad informática en la Dirección de Tecnologías de Información y Comunicación (DTIC) de la Universidad de Cuenca. En este estudio se aplica el método Delphi para hacer consulta a expertos en dónde se utilizaron todos los controles de la Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27002:2009 para elaborar los cuestionarios que nos permitan, en primer lugar, identificar las vulnerabilidades y, en segundo lugar, priorizar los controles de seguridad para seleccionar las políticas de seguridad informáticas específicas que se necesitan implementar en la DTIC. Los resultados obtenidos demuestran que existen pocas políticas de seguridad informática, las cuales están definidas en términos muy generales dentro de la institución. Adicionalmente, se determinó que no se realiza una adecuada revisión y verificación del cumplimiento.
- Publication Year
- 2017
- Language
- spa
- Topic
- Repository
- REVISTAUC
- Rights
- openAccess
- License