Modelo de evaluación de la capacidad de gestión de la Seguridad de la Información en una organización.

Abstract

Como una necesidad de las organizaciones de tener una mayor visibilidad de los procesos de seguridad de la información, se creó una metodología que mide la capacidad de gestión de seguridad de la información usando como referencia las normas ISO/IEC 27001 y Cobit 5 para la seguridad de la información. Se realizó una comparación entre ambas normas y se utilizaron los controles que más se adecuaban para que el resultado de la evaluación fuera el más preciso. Una vez escogidos los procesos de evaluación, se creó la metodología de cálculo basada en riesgos para que esta pueda recibir como entrada los datos necesarios y que de manera cuantitativa muestre el nivel de capacidad de gestión según la evaluación de cada proceso de control. Esta evaluación se aplicó en los procesos de la Operadora de Pensiones complementarias de la Caja Costarricense del Seguro Social, y el resultado se utilizó como insumo para que la comisión de tecnologías de información de la Operadora pudiera realizar su perfil tecnológico basándose en las calificaciones.