This journal provides immediately free access to its contents under the principle that make available the research results for free to the public, helps for a greater global exchange of knowledge.
Therefore, the journal invokes the Creative Commons 4.0
License attributions: Recognition – Non-commertial - Share equal. Commercial use and distribution of original or derivative works are not permitted and must be done with a equal license as the one that regulate the original work.
Abstract
Este documento presenta la aplicación de la metodología OCTAVE-s para el análisis y gestión del riesgo en la seguridad de la información, adaptada al proceso Inscripciones y Admisiones, en la División de Admisión, Registro y Control Académico (DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011. Además se incluye la estructura del proceso, y el procedimiento escogido como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con la metodología adaptada.
References
A. A. G, Diseño de un Sistema de Gestión de Seguridad de Información: Alfaomega, 2007.
CERT, “The OCTAVE-S method,” Software Engineering Institute.
ICONTEC, "Estándar Internacional ISO/IEC 27001:2005 Information Technology -- Securitytechniques --Specification for an Information Security Management System," ed, 2005.
ICONTEC, "Estándar Internacional ISO/IEC 27005:2011 Information technology — Security techniques — Information security risk management (second edition)," ed, 2011.
C. Serrano, Modelo Integral para el Profesional en Ingeniería, 2 ed. Popayán, Colombia, 2005.
T. Tower, "FAIR – ISO/IEC 27005 Cookbook," ed. United Kingdom: The Open Group.
P. A. Silberfich, "Análisis y Gestión de riesgos en TI ISO 27005 – Aplicación Práctica," A. O. Cruz, Ed., ed. Buenos Aires, Argentina: Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información, 2009.
D. A. d. l. F. P. (DAFP), "Guía para la administración del riesgo," D. d. C. I. y. R. d. Trámites, Ed., 4 ed. Bogotá, D.C., 2011.
M. d. C. C. Rin, "El Análisis de Riesgos dentro de una Auditoría Informática: pasos y posibles metodologías," Departamento de Informática, Universidad Carlos III de Madrid, 2013.
I. N. d. T. d. l. Comunicación, "Guía Avanzada de Gestión de Riesgos," INTECO, Ed., ed, 2008.
M. P. Konzen, "Gestão de Riscos de Segurança da Informação Baseada na Norma ISO/IEC 27005 Usando Padrões de Segurança," R. C. N. Lisandra Manzoni Fontoura, Ed., ed, 2012.
P. D. P. Naranjo, "Análisis de los Riesgos y Vulnerabilidades de la Red de Datos de Escuela Politécina Nacional," Escuela de Ingeniería, Escuela Politécnica Nacional, Quito, 2007.
P. O. J. C. Maria Cristina Gallardo Piedra, "Análisis de Riesgos Informáticos y Elaboración de un Plan de Contingencia T.I para la Empresa Eléctrica Quito S.A.," Facultad de Ingeniería de Sistemas, Escuela Politécnica Nacional, 2011.
L. A. B. Torres, "Plan de Seguridad de la Información Compañía XYZ Soluciones," Universidad Autónoma de Barcelona, 2013.
G. P. Mega, "Metodología de Implantación de un SGSI en un grupo empresarial jerárquico," Instituto de Computación – Facultad de Ingeniería, Universidad de la República, Montevideo, Uruguay, 2009.
I. N. d. T. d. l. Comunicación, "Implantación de un SGSI en la empresa," INTECO, Ed., ed, 2009.
C. A. G. Guevara, "Establecimiento del Sistema de Seguridad de Informacion en SFG bajo los Estándares de la Norma ISO 27001: 2005," Facultad de Postgrados, Universidad EAN, 2012.
A. A. G, Diseño de un Sistema de Gestión de Seguridad de Información: Alfaomega, 2007.
M. T. R. Y. S., "SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA UN SISTEMA DE INFORMACIÓN (Caso de estudio: Sistema Administrativo Integrado SAI en la Red de datos de la UNEXPO- Puerto Ordaz)," Ciencia y Tecnología, Universidad Centrooccidental Lisandro Alvarado, Barquisimeto, 2008.
P. D. A. A. G., "Análisis y Evaluacion del Riesgo de Información: Un Caso en la Banca," 2006.
D. H. P. Ricardo Gómeza, Yezid Donoso, Andrea Herrera, "Metodología y gobierno de la gestión de riesgos de tecnologías de la información," Agosto, 2010 2010.
Z. O. B. Alexandra Ramírez Castro, "Gestión de Riesgos tecnológicos basada en ISO 31000 e ISO 27005 y su aporte a la continuidad de negocios," vol. 16, pp. 56-66, 2011.
J. M. M. Veiga, "Análisis de Riesgos de Seguridad de la Información," Facultad de Informática, Universidad Politécnica de Madrid, 2009.
L. E. S. Antonio Santos-Olmo, Eduardo Fernández-Medina, Mario Piattini, "Revisión Sistemática de Metodologías y Modelos para el Análisis y Gestión de Riesgos Asociativos y Jerárquicos para PYMES," 2012.
P. H. Ohtoshi, "Análise Comparativa de Metodologias de Gestão e de Análise de Riscos sob a Ótica da Norma NBR-ISO/IEC 27005," Departamento de Ciência da Computação, Universidad de Brasilia, Brasilia, 2008.
P. P. Páez, "Aplicación de la Norma OCTAVE-S en la Empresa Pirámide Digital CIA. LTDA," ed. Quito, Ecuador, 2013.
F. Soldan, "L'utilizzo di OCTAVE," in XXII Convegno Nazionale di Information Systems Auditing, ed. Parma, 2008.