Modelo para la evaluación de desempeño de los controles de un SGSI basado en el estándar ISO/IEC 27001

Abstract

El estándar ISO/IEC 27001 se desarrolló con el objetivo de proporcionar los requisitos para los sistemas de gestión de seguridad de la información (SGSI) de una organización. Los SGSI son un enfoque sistemático para el manejo de información confidencial de las organizaciones con el fin de que está permanezca segura. La información es un activo valioso para las organizaciones, y la protección de esta un objetivo prioritario para la operación del negocio. La falta de protección de la información ha provocado la fuga de datos valiosos y esto ha provocado incluso tensiones diplomáticas internacionales. En este artículo, nosotros realizamos una revisión del estándar ISO/IEC 27001 para conocer los controles más aplicables dentro de las organizaciones. Nosotros proponemos un modelo que permite evaluar y posteriormente seleccionar controles de seguridad clave con base en la opinión de expertos usando el método Delphi. Se generó una encuesta que tiene preguntas para evaluar los controles de seguridad, dicha encuesta es sometida a un panel de expertos y bajo un mejoramiento continuo de una base de conocimiento, gestionada a través de una herramienta de software desarrollada para aplicar nuestro modelo