Modelo Balanced Scorecard para los controles críticos de seguridad informática según el Center for Internet Security (CIS)
Resumen
En diversos sectores de las actividades humanas, las organizaciones están adoptando con mayor intensidad las tecnologías de la información (TI). De este modo, exponen datos sensibles y confidenciales de empleados y clientes, lo cual genera que las entidades públicas y privadas desarrollen normas y regulaciones para proteger estos activos y asegurar su confidencialidad, integridad y disponibilidad. Como resultado del estudio se formula un modelo de Cuadro de Mando Integral que vincula a los controles críticos de seguridad del CIS, soportado además por un aplicativo de ofimática como una herramienta preliminar que facilite la presentación de resultados. Dichos resultados resaltan que sobre la aplicación preliminar que se dio en cinco instituciones, la mayor proporción (80 %) está de acuerdo con el modelo propuesto y su utilidad para el monitoreo y gestión de los controles de seguridad.
Descargas
Citas
AT&T Cybersecurity. (2020). AlienVault OSSIM. Recuperado de https://cybersecurity.att.com/products/ossim
Caudle, S. (2008). The Balanced Scorecard: A Strategic Tool in Implementing Homeland Security Strategies. Homeland Security Affairs, 4(3).
CIS (Center for Internet Security). (2018). Homepage. Recuperado de https://www.cisecurity.org/
CNSS. (2015). Committee on National Security Systems (CNSS) Glossary. CNSS Instruction.
https://doi.org/10.1016/0020-7292(88)90192-0
DeLooze, L. L. (2006). Creating a Balanced Scorecard for Computer Security. 2006 IEEE Information Assurance Workshop, 15-18. https://doi.org/10.1109/IAW.2006.1652071
Grembergen, W. Van. (2005). Strategies for information technology governance. (J. Travers, M. Khosrow-Pour y A. Appicello, Eds.). Londres: Idea Group Inc. https://doi.org/10.4018/978-1-59140-140-7
Groš, S. (2019). A Critical View on CIS Controls. Cornell University. Recuperado de http://arxiv.org/abs/1910.01721
Gutzwiller, R. S., Hunt, S. M. y Lange, D. S. (2016). A Task Analysis toward Characterizing Cyber-Cognitive Situation Awareness (CCSA) in Cyber Defense Analysts. 2016 IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support, CogSIMA 2016, (Marzo), 14-20. https://doi.org/10.1109/COGSIMA.2016.7497780
Herath, T., Herath, H. y Bremser, W. G. (2010). Balanced Scorecard Implementation of Security Strategies: A Framework for IT Security Performance Management. Information Systems Management, 27(1), 72-81. https://doi.org/10.1080/10580530903455247
IBM. (2020). Security information and event management (SIEM). Recuperado de https://www.ibm.com/security/security-intelligence
Indecopi. (2014). Norma Técnica Peruana NTP-ISO/IEC 27001-2014. Tecnología de la Información. Lima: Indecopi.
Industria de tarjetas de pago (PCI). Norma de seguridad de datos. Requisitos y procedimientos de evaluación de seguridad. Versión 3.2. (2016). PCI Securiry Standards Council. Recuperado de https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DSS_v3-2_es-LA.pdf
ISO/IEC. (2013). International Standard ISO/IEC-27002-2013. Switzerland.
Johnson, L. (2015). Security Controls Evaluation, Testing, and Assessment Handbook. (C. Katsaropoulos, Ed.), Security Controls Evaluation, Testing, and AssessmentHandbook. Walthman: Elsevier. https://doi.org/10.1016/C2013-0-13416-2
Kaplan, R. y Norton, D. (2002). Cuadro de Mando Integral (The Balanced Scorecard). Barcelona: Ediciones Gestion 2000.
Kaplan, R. S. y Norton, D. P. (1996). The Balanced Scorecard: Translating Strategy Into Action. Proceedings of the IEEE. https://doi.org/10.1109/JPROC.1997.628729
Kaplan, R. S. y Norton, D. P. (2005). Cómo utilizar el Cuadro de Mando Integral. Barcelona: Gestión 2000.
Keyes, J. (2005). Implementing the IT Balanced Scorecard. Auerbach Publications (first). Florida: Auerbach Publications. Recuperado de http://doi.wiley.com/10.1002/jcaf.20198
Marchand-Niño, W. R. (2013). Metodología de implantación del modelo Balanced Scorecard para la gestión estratégica de TIC. Caso: Universidad Nacional Agraria de la Selva. PIRHUA-Universidad de Piura. Recuperado de https://hdl.handle.net/11042/1842
Martinsons, M., Davison, R. y Tse, D. (1999). The Balanced Scorecard: a Foundation for the Strategic Management of Information Systems. Decision Support Systems, 25(1), 71-88. https://doi.org/10.1016/S0167-9236(98)00086-4
Montesino, R., Fenz, S. y Baluja, W. (2012). SIEM-based framework for security controls automation. Information Management & Computer Security, 20(4), 248-263. https://doi.org/10.1108/09685221211267639
NIST Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations. Sp-800-53Ar4, 462. (2014). National Institute of Standards and Technology https://doi.org/10.6028/NIST.SP.800-53Ar4
Perminov, P., Kosachenko, T., Konev, A., & Shelupanov, A. (2020). Automation of Information Security Audit in the Information System on the Example of a Standard “cis Palo Alto 8 Firewall Benchmark.” International Journal of Advanced Trends in Computer Science and Engineering, 9(2), 2085–2088. https://doi.org/10.30534/ijatcse/2020/182922020
Splunk® Enterprise Security (2020). Splunk. Recuperado de https://www.splunk.com/en_us/software/enterprise-security.htm
Derechos de autor 2020 Revista Interfases
Esta obra está bajo licencia internacional Creative Commons Reconocimiento-SinObrasDerivadas 4.0.
Los autores/as que publiquen en esta revista aceptan las siguientes condiciones:
Los autores/as conservan los derechos de autor y ceden a la revista el derecho de la primera publicación, con el trabajo registrado con la licencia de atribución de Creative Commons, que permite a terceros utilizar lo publicado siempre que mencionen la autoría del trabajo y a la primera publicación en esta revista.
Los autores/as pueden realizar otros acuerdos contractuales independientes y adicionales para la distribución no exclusiva de la versión del artículo publicado en esta revista (p. ej., incluirlo en un repositorio institucional o publicarlo en un libro) siempre que indiquen claramente que el trabajo se publicó por primera vez en esta revista.
Se permite y recomienda a los autores/as a publicar su trabajo en Internet (por ejemplo en páginas institucionales o personales) antes y durante el proceso de revisión y publicación, ya que puede conducir a intercambios productivos y a una mayor y más rápida difusión del trabajo publicado (vea The Effect of Open Access).
Última actualización: 03/05/21