Está en la página 1de 12

Pegue aquí el

logo de su
institución

Seguridad de la Información: ISO 27001


Roland Cristian Perales Dominguez11
a
EP. Ingeniería Sistemas, Facultad de Ingeniería y Arquitectura, Universidad Peruana Unión

Resumen

Dada la evolución de la Tecnología de la información y su relación directa con los objetivos del negocio de las
Organizaciones, el universo de amenazas y vulnerabilidades crece por lo tanto es necesario proteger uno de los activos más
importantes de la Organización, la información, garantizando siempre la disponibilidad, la confidencialidad e integridad de la
misma. La forma más adecuada para proteger los activos de información es mediante una correcta gestión del riesgo, logrando
así identificar y focalizar esfuerzos hacia aquellos elementos que se encuentren más expuestos.

El enfoque principal está basado en los peligros y amenazas que pueden generar daños en la organización, personas y
propiedad. Del mismo modo, y no menos importante, se abordarán puntos importantes relacionados con el manejo de interés de
incertidumbre y con los peligros latentes en la gestión de riesgos, esto con el propósito de evidenciar la importancia y lo
indispensable que es saber gestionar el riesgo mediante buenas prácticas dentro de la cultura organizacional.

Abstract

Given the evolution of Information Technology and its direct relationship with the business objectives of Organizations, the
universe of threats and vulnerabilities grows therefore it is necessary to protect one of the most important assets of the
Organization, information, always guaranteeing the availability, confidentiality and integrity of it. The most appropriate way to
protect information assets is through correct risk management, thus identifying and focusing efforts towards those elements that
are most exposed.

The main focus is based on the dangers and threats that can cause damage to the organization, people and property. In the
same way, and not less important, important points related to the management of uncertainty interest and to the latent dangers in
risk management will be addressed, this with the purpose of demonstrating the importance and indispensability of knowing how
to manage risk through good practices within the organizational culture.

Palabras clave: Seguridad de la informacion, activos, amenazas,vulnerabilidades, gestion del riesgo, cultura organizacional.

1. Introducción

La seguridad de la información ha evolucionado a una velocidad desenfrenada en la breve (no más allá de 60 años) pero
intensa historia de los ordenadores y de la Informática. (Cayetano, n.d.). Según (Altamirano, 2019) nos dice: “La seguridad de la
información aprueba asegurar la identificación, valoración y gestión de los activos de información y sus riesgos, en función del
impacto que representan para una organización.” (p 250). La idea principal no se enfoca en la protección de las Tecnologías de la
Información (TIC), si no en todos los activos de información que son de un alto valor para una organización. Las empresas de
cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de
contingencias. (Andrés & Gómez, 2009).
El objetivo del presente trabajo artículo de revisión es el de dar a conocer los riesgos, vulnerabilidades, incidentes, amenazas,
etc., de la seguridad de la información y juntamente bajo la norma ISO 27001, manteniendo la integridad, disponibilidad y
confidencialidad. Estos factores deben ser determinados según la organización, sus necesidades y requerimientos.

1
Autor de correspondencia: Roland Cristian Perales Dominguez
Jr. Los Tulipanes 169, Planicie, San Martin
Tel.: 975824301
E-mail: Cristian.perales@upeu.edu.pe
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
2. Desarrollo o Revisión

1.1. Marco Teórico de SI

Seguridad
El término seguridad proviene de la palabra securitas del latín. Comunmente se puede referir a la seguridad como la
disminución del riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según
el área o campo a la que haga referencia. (Frayssinet Delgado, n.d, p 4)

Información
Es un activo esencial para el negocio de una organización. Puede existir de muchas formas. Puede estar impresa o escrita en
papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en películas o hablada en
una conversación.

Seguridad de la Información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten
resguardar y proteger la información buscando mantener las dimensiones (confidencialidad, disponibilidad e integridad) de la
misma. (Frayssinet Delgado, n.d, p 9)

Abarca todo tipo de información.


 Impresa o escrita a mano.
 Grabada con asistencia técnica.
 Transmitida por correo electrónico o electrónicamente.
 Incluida en un sitio web.

2
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
 Mostrada en videos corporativos.
 Mencionada durante las conversaciones.
 Etc.

Activo
Cualquier elemento o información, tenga o no valor contable para la organización.

Control
Medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales,
las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal.

Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados.
A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
La integridad es mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o
procesos no autorizados.

Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben
acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad es el acceso a la información y a los sistemas por
personas autorizadas en el momento que así lo requieran.

3
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
1.1.1. Seguridad de la Información
La seguridad de la información se refiere que: “Es la protección de la información de un rango amplio de amenazas para poder
asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades
comerciales. Se logra implementando un adecuado conjunto de controles incluyendo políticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware.”

Evento de Seguridad de la Información


Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de sistema, servicio o red indicando
una posible falla en la política de seguridad de la información o falla en los controles, o una situación previamente desconocida
que puede ser relevante para la seguridad.

Incidente de seguridad de información.


Es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad
significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

Sistema de gestión de la seguridad de información (SGSI)


Es parte del sistema de gestión general, basada en un enfoque de riesgo comercial para establecer, implementar, operar,
monitorear, revisar y mejorar la seguridad de la información.

El SGSI es un conjunto de procesos relacionados entre sí basado en un enfoque hacia los riesgos de una organización, cuyo
fin es establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar la seguridad de la información (ISO/IEC,
2016)

1.1.2. Trabajo de SGSI


Actividades estructuradas llevadas a cabo por la organización con el fin de implementar un SGSI.

1.1.3. Amenaza
Una causa potencial de un incidente no-deseado, el cual puede resultar dañando a un sistema.

1.1.4. Vulnerabilidad
La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

1.1.5. Riesgo
Es la combinación de la probabilidad de un evento y su ocurrencia.
La gestión de riesgos puede ser tomada como una ciencia administrativa que se configura haciendo uso de métodos científicos
con el propósito de disminuir el fracaso en un mundo subjetivo y complejo, lleno de variables, y que permite tomar decisiones
soportadas en datos, dentro de la organización (Mohamed, Alí & Tam, 2009). Hermansson (2012) define el riesgo como “algo
negativo” que puede suceder en el futuro.

4
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
1.1.6. Evaluación del Riesgo
Proceso de comparar el nivel de riesgo estimado durante el proceso de análisis de riesgo con un criterio dado para determinar
la importancia del riesgo.

1.1.7. Gestión del Riesgo

Actividades coordinadas para dirigir y controlar una organización con relación al riesgo. Normalmente incluye la evaluación,
tratamiento, aceptación y comunicación del riesgo. Estas actividades se enfocan a manejar la incertidumbre relativa de las
amenazas detectadas.

1.1.8. Tratamiento del Riesgo.


Proceso de tratamiento de la selección e implementación de controles para modificar el riesgo.

Riesgo Residual
El riesgo remanente después del tratamiento del riesgo.

Aceptación del Riesgo


Decisión de aceptar el riesgo

Política
Intención y dirección general expresada formalmente por la gerencia.

1.2. Metodología

1.1.9. Métodos de Aplicación de la Norma

Para realizar la implementación de un Sistema de gestión de seguridad de la información verdadera y eficiente, es


necesario tener un correcto conocimiento sobre el Alcance y los límites que posee, en relación con la política de seguridad
y el tamaño de la organización. De esta forma es posible realizar eficientemente la identificación, análisis, evaluación, y
tratamiento del riesgo.

La planificación para realizar el tratamiento del riesgo debe ser verificada y aprobado por la dirección de la
organización (Lontsikh, 2016), que además debe autorizar su implementación y operación con monitoreo y controles
permanentes. (Fu-Tung Wang, 2010) Las alternativas para el tratamiento del riesgo son: mitigar, evitar, transferir, aceptar
o una combinación de estas alternativas.

Un sistema de gestión de seguridad de la información se espera que sea capaz de garantizar que la organización
prevalezca sus operaciones esenciales aun en casos fatídicos y eventos de gran magnitud como por ejemplo sismos,
terremotos, incendios, atentados. Para esto es necesario contar con un Plan de Continuidad del Negocio (Guerra Mantilla,
2018), que puede ser generado siguiendo estas 5 fases secuenciales tal como se presenta en la tabla 1.

Tabla 1

5
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas

Faces para generar un Plan de Continuidad del Negocio

INFORME DOCUMENTAL EN
FASE ACTIVIDAD
CADA FASE
Amenazas, vulnerabilidades, niveles
I Gestionar el riesgo
de riesgo y controles.
Impacto al Negocio. Procesos críticos,
II Analizar el impacto al negocio operacionales y financieros.
Requerimientos para superarlo.
Desarrollar el plan de reanudación de Estrategia de Continuidad. Recursos
III
operaciones críticos
Desarrollar un Plan de
IV Plan de Continuidad del Negocio
Continuidad del Negocio

Ensayar el Plan de Continuidad de Informe de ensayo del Plan de


v
Negocio Continuidad del Negocio

6
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas

1.3. El problema y la razón del estándar

La incorporación periódica de los sistemas de información en los procesos operacionales y incorporado en las organizaciones,
ha conllevado a que éstas sean cada vez más dependientes de ellos, por lo que en una falla o vulneración de estos sistemas
pueden provocar graves daños en la continuidad operacional de las organizaciones. (Dieguez, Cares, & Cachero, 2017, p 156)

Esta realidad hace a las empresas que disminuyan la probabilidad de falla o vulneración de sus sistemas. Para lograr este
objetivo, admitir un conjunto de buenas prácticas en el tratamiento de sus activos de información, de tal manera de consolidar el
normal funcionamiento de sus sistemas (Dlamini, Eloff, 2009).

Frecuentemente, este conjunto de buenas prácticas se deriva de un estándar de seguridad de la información, los cuales reúnen
un conjunto de acciones tendientes al aseguramiento de la información importante de una organización (Humphreys E, 2008).
Estos estándares son reconocidos e implementados a nivel mundial y sobre ellos se mide el grado de seguridad que tiene el
organismo.

Estas normas guían la implementación de un conjunto de reglas de operación para asegurar una adecuada gestión de la
información. El cumplimiento de las normas implica una certificación que acredita sus procesos (Dlamini, Eloff, 2009).

La principal referencia a nivel mundial para un estándar de seguridad de la información, es la norma ISO 27001 (ISO/IEC,
2017), la cual se ha reconocido como el estándar más difundido y utilizado en todo el mundo (Susanto, Almunawar & Tuan,
2012). La norma ISO/IEC 27001:2013 especifica los requisitos para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI), considerando los riesgos asociados al
negocio. En otras palabras, propone una metodología para implementar la seguridad, especificando los requisitos para la
aplicación de controles de seguridad a un SGSI. Otros estándares de TI, reconocidos a nivel mundial, son COBIT (ISACA,
2017), ITIL, NIST, entre otros.

Esta norma ha sido organizada metodológicamente para acoplarse al modelo "Planificar, Hacer, Verificar, Actuar" (Plan Do
Check Act), el cual se aplica para estructurar todos los procesos del SGSI y tiene por objeto: establecer, gestionar y documentar
el SGSI, responsabilizando a la Dirección, incluso en el monitoreo, auditoría y mejoramiento continuo. (Guerra Mantilla, 2018)

Los estándares de seguridad de la información basados en el cumplimiento de controles, se focalizan en disminuir las
vulnerabilidades y los riesgos, internos y externos, que afectan los activos de información, a través de la implementación de las
acciones o controles que ellos mismos definen (Humphreys E, 2008). Por lo tanto, para cumplir con uno o más de estos
estándares, se deben implementar y lograr la totalidad de estos controles. Luego, la diferencia que existe entre los controles
alcanzados y los que aún no se han logrado, representa la brecha que la organización debe cubrir para dar cumplimiento con el
estándar y optar a una certificación.

Entonces, desde la perspectiva de la gestión de la seguridad de la información, entregar una respuesta a esta problemática no
es una situación simple de resolver para los asesores de seguridad (Tosalto, Governatori & Kelsen, 2015), ya que los estándares,
y los modelos de madurez asociados a estos (Saleh, 2011), son demasiado generales y no se ajustan a las características propias
de una organización (Siponem, Willison, 2009). Además, no entregan un método formal y cuantitativo que entregue resultados
óptimos de la selección y programación de los controles de seguridad, sino que se basan en modelos cualitativos apoyados por el
juicio experto (Bachlechner, et al., 2011).

7
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas

De esta manera, al intentar determinar cuál es el mejor conjunto de controles a implementar por una organización, solo se
obtienen aproximaciones y no un conjunto óptimo para el avance en el cumplimiento, acorde a la realidad de cada organización,
que minimice el riesgo al menor costo posible.

Por ello, es necesario apoyar a las organizaciones con técnicas que permitan responder a la problemática respecto de cuál es la
mejor combinación de avance, o cuales deben ser los controles que se deben implementar y en qué orden hacerlo. Luego, se
puede observar la importancia de una adecuada gestión de los controles dentro de la organización y, por ende, la importancia de
poseer un modelo formal de gestión de controles de seguridad que se corresponda con las prácticas de las organizaciones
(Shameli-Sendi, et al., 2012).

Un problema de optimización puede entenderse como una situación en la que se requiere determinar la mejor solución para un
problema dado, sujeto a un conjunto de diferentes limitaciones o restricciones (John Wiley, Sons, 2009). La representación de
este tipo de problema requiere que la situación sea modelada matemáticamente a través de una función multidimensional,
conocida como función objetivo la que se debe minimizar o maximizar- y por un conjunto de restricciones, modeladas por
ecuaciones e inecuaciones, tales como el tiempo, costo, espacio, etc.

1.4. Origen y posicionamiento del estándar.

ISO (Organización Internacional de Estándares) e IEC (Comisión Internacional de Electrotecnia) conforman un especializado
sistema especializado para los estándares mundiales. Organismos nacionales que son miembros de ISO o IEC participan en el
desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar con los
campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras
organizaciones internacionales, gubernamentales y no gubernamentales, en relación con ISO e IEC, también forman parte del
trabajo. (Estrada Corletti, 2006, p.1)

El Estándar Internacional ISO/IEC 17799 fue preparado inicialmente por el Instituto de Normas Británico (como BS 7799) y
fue adoptado, bajo la supervisión del grupo de trabajo “Tecnologías de la Información”, del Comité Técnico de esta unión entre
ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales de ISO e IEC.

El estándar ISO/IEC 27001 es el nuevo estándar oficial, su título completo en realidad es: BS 7799- 2:2005 (ISO/IEC
27001:2005). También fue preparado por este JTC 1 y en el subcomité SC 27, IT “Security Techniques”. La versión que se
considerará en este texto es la primera edición, de fecha 15 de octubre de 2005, si bien en febrero de 2006 acaba de salir la
versión cuatro del mismo.
1870 organizaciones en 57 países han reconocido la importancia y los beneficios de esta nueva norma. A fines de marzo de
2006, son seis las empresas españolas que poseen esta certificación declarada. (Estrada Corletti, 2006, p 2)

El conjunto de estándares que aportan información de la familia ISO-2700x que se puede tener en cuenta son:

 ISO/IEC 27000 Fundamentals and vocabulary.


 ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005.
 ISO/IEC 27002 Code of practice for information security management - Actualmente ISO/IEC 17799:2005,
publicado el 15 de junio del 2005.
 ISO/IEC 27003 ISMS implementation guidance (bajo desarrollo).

8
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
 ISO/IEC 27004 Information security management measurement (bajo desarrollo).
 ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo
desarrollo)

Actualmente el ISO-27001:2005 es el único estándar aceptado internacionalmente para la administración de la seguridad de la


información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad.

1.5. Objetivo y campo de aplicación de la norma

La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestión, está pensada para que se
emplee en todo tipo de organizaciones (empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin importar el tamaño
o la actividad.

Esta norma específica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento
y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica
cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de
la misma, pero no aclara mediante qué procedimientos se ponen en práctica. Por ejemplo, uno de los principales requisitos es la
realización de un análisis de riesgos con unas determinadas características de objetividad y precisión, pero no aporta indicaciones
de cuál es la mejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramienta. (Andrés & Gómez, 2009, p 16)

Entre sus principales ventajas tenemos:

 Reducir Riesgos: mediante una metodología de información estructurada y reconocida globalmente que identifica y
mitiga las amenazas.

 Protección de la información confidencial: de amenazas como la piratería, la pérdida de datos, la violación de


confidencialidad, y asegurarse que puede recuperarse más rápido de este tipo de ataques.

 Planes de continuidad empresarial: que aseguran que sus operaciones continuarán en caso de desastres naturales o
causados por el hombre.

1.6. Análisis de Riesgos

Vulnerabilidad
La debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
Las vulnerabilidades pueden ser intrínsecas(propio) o extrínsecas.

9
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas

Figura 1. Ejemplo de tipos de vulnerabilidad

Amenaza
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o
inmaterial) sobre los Elementos de Información.

Figura 2. Ejemplo de tipos de amenaza

Relación: Vulnerabilidad y Amenaza

Figura 3. Relación de vulnerabilidad y Amenaza

Riesgo para la Seguridad de Información


Potencialidad de una amenaza explote una vulnerabilidad en un activo o grupos de activos y por lo tanto causara daño a la
organización.

3. Conclusiones

La norma ISO27001:2013 es un instrumento efectivo para manejar y controlar un Sistema de Gestión de Seguridad de la
Información en cualquier organización, sin importar a que se dedique esta, debido a que es un tema de extrema trascendencia y
permanente actualidad. Es de uso global y además es certificable.

La seguridad de la información es un aspecto, que debe ser parte de la cultura organizacional, propio a toda actividad humana;
cursos, seminarios, y talleres no bastan, hay que interiorizar en las personas de la organización, la necesidad y beneficios de
dicha cultura, así como los riesgos de no tenerla.

La responsabilidad de la seguridad de la información es compartida en todas las áreas de una organización. Ya que se requiere
del apoyo de todos los que estén comprometidos con la seguridad, pero esto debe estar dirigida por un plan y con una adecuada
coordinación.

Con esta investigación pretende fomentar una cultura de la seguridad de la información y de la norma ISO 27001 en todas
aquellas organizaciones o empresas que consulten y deseen ponerlo en práctica.

Recomendaciones

10
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
Las principales recomendaciones para Seguridad de la información bajo la norma ISO 27001 son:

- Elaborar un manual de Política de Seguridad de la Información alineada a las mejores prácticas de seguridad, que recoja
todos los controles actualmente implementados en la empresa.

- Incluir nuevos controles de seguridad acorde a las necesidades de la empresa.

- El manual de las Política de Seguridad de la Información deberá ser dada en conocimiento a la máxima autoridad de la
organización o empresa para su aprobación.

- Es importante seguir con el la responsabilidad y compromiso para que la comunicación sea permanente entre el
Responsable de Seguridad Informática y la máxima autoridad, para que así se logren aliviar cualquier tema relacionado
con seguridad informática y seguridad de la información de forma conveniente.

- Se debe monitorear todos los controles implementados para garantizar que estén funcionando correctamente, y no deriven
ninguna nueva vulnerabilidad.

- Es indispensable realizar revisiones independientes de la seguridad de la información para poder garantizar que los
controles implementados y procedimientos utilizados para la seguridad de la información son los adecuados. (Bailón &
Bermúdez, 2015)

Agradecimientos

Agradezco primeramente a Dios el que nos sostiene y nos guía y a mi madre por el apoyo incondicional que nos dan día a día,
a nuestro tutor por enseñarnos las bases para realizar una buena investigación.

Referencias Bibliográficas

Andrés, A., & Gómez, L. L. A. (2009). Guía de aplicación de la norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes. AENOR.
Altamirano, M. (2019). Modelo para la gestión de la seguridad de la información y los riesgos, 21(2), 248-263.
Bailón, E., & Bermúdez, K. (2015). Análisis en Seguridad Informática Y Seguridad de la Información Basado en la Norma Iso/Iec 27001- Sistemas De Gestión
De Seguridad De La Información Dirigido a Una Empresa De Servicios Financieros., 164. Retrieved from
https://dspace.ups.edu.ec/bitstream/123456789/10372/1/UPS-GT001514.pdf
Cabrera Cubas, H. P. (2018). Diseño de un modelo de políticas basado en la norma ISO 27001, para mejorar la gestión de la seguridad de la información en la
Municipalidad Distrital de Florida – Bongará – Amazona. Universidad Peruana Unión. Retrieved from http://repositorio.upeu.edu.pe/handle/UPEU/1542
Cayetano, L. M. (n.d.). Guía de Iniciación a Actividad Profesional Implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) según la
norma ISO 27001 COLEGIO OFICIAL DE INGENIEROS DE TELECOMUNICACIÓN.
D. Bachlechner, R. Maier, F. Innerhofer-Oberperfler, L. Demetz, “Understanding the management of information security controls in practice,” in 9th Australian
Information Security Management Conference, pp. 40–48, 2011.
Dieguez, M., Cares, C., & Cachero, C. (2017). Methodology for the information security controls selection [Metodología para la Selección de Controles de
Seguridad de la Información]. Retrieved from https://www.scopus.com/inward/record.uri?eid=2-s2.0-
85026998144&doi=10.23919%2FCISTI.2017.7975811&partnerID=40&md5=1efa5d4dc6ba330d21e0f6d5f29c54a0
Estrada Corletti, A. (2006). Análisis de ISO-27001:2005.
E. Humphreys, “Information security management standards: Compliance, governance and risk management,” Information Security Technical Report, vol. 13,
no. 4, pp. 247–255, Nov. 2008.
Frayssinet Delgado, M. (n.d.). Taller de Implementación de la norma ISO 27001. Retrieved from www.ongei.gob.pe

11
Roland Cristian Perales Dominguez /EAP. Ingeniería Sistemas
Fu-Tung Wang F., Yun Ch., (2010). "Information Security on RFID Based Power Meter System". in The 2nd IEEE International Conference on Information
Management and Engineering (ICIME), 2010. Chengdu, China
Guachi Aucapiña, T. V. (2012). Norma de seguridad informatica ISO 27001 para mejorar la confidencialidad, integridad y disponibilidad de los sistemas de
informacion y comunicacion en el Departamento de Sistemas de la Cooperativa de Ahorro y Credito San Francisco. Ltda. Retrieved from
http://repositorio.uta.edu.ec/handle/123456789/2361.
Guerra Mantilla, R. A. (2018). Gestión de seguridad de la información con la norma ISO 27001:2013 Information security management with ISO 27001: 2013
standard (Vol. 39). Retrieved from https://www.revistaespacios.com/a18v39n18/a18v39n18p05.pdf
H. Susanto, M. N. Almunawar, and Y. C. Tuan, “Information Security Challenge and Breaches : Novelty Approach on Measuring ISO 27001 Readiness Level,”
International Journal of Engineering and Technology Volume, vol. 2, no. 1, pp. 67–75, 2012
Hermansson, H. (2012). Defending the conception of «Objective Risk». Risk Analysis, 32 (1), 16-24
ISACA, “ISACA: Control objectives for information and related technologies (COBIT),”, 2017. [Online]. Available: http://www.isaca.org/Knowledge-
Center/cobit/Pages/Products.aspx.
ISO, “Official ISO Website,” 2017. [Online]. Available: http://www.iso.org/.
ISO/IEC. (2016). ISO/IEC 27001: Information technology - Security techniques - Information security management systems - Requirements. International
Organization for Standardization (ISO) and International Electrotechnical Commission (IEC).
ISO/IEC 27001. 2017. Information security management.Official site, [Online]. Available http://www.iso.org/iso/home/standards/management-
standards/iso27001.htm
ITIL, “Official ITIL Website,”. 2017 [Online]. Available: http://www.itil-officialsite.com/.
Lontsikh P., Karaseva V., and. Nikiforova K. (2016). “Implementation of Information Security and Data Processing Center Protection Standards". in IEEE
Conference on Quality Management, Transport and Information Security, Information Technologies (IT&MQ&IS),. Nalchik, Russia.
M. F. Saleh, “Information Security Maturity Model,” International Journal of Computer Science and Security (IJCSS), vol 5, no 3, pp.316-337, 2011.
M. T. Dlamini, J. H. P. Eloff, and M. M. Eloff, “Information security: The moving target,” Computers & Security, vol. 28, no. 3–4, pp. 189– 198, May 2009.
M. Siponen and R. Willison, “Information security management standards: Problems and solutions,” Information & Management, vol. 46, no. 5, pp. 267–270,
Jun. 2009.
Medina Uriarte, J. (2006). “ Estandares Para La Seguridad De Información Con Tecnologias De Información ,” 192. Retrieved from
http://www.tesis.uchile.cl/tesis/uchile/2006/medina_j/sources/medina_j.pdf
Mohamed, S.; Ali, T. & Tam, W. (2009). National culture and safe work behaviour of construction workers in Pakistan. Safety Science, 47 (1), 29-35.
NIST, “National Institute of Standards and Technology”, 2017, [Online]. Available: https://www.nist.gov
Universidad Tecnológica del Perú (UTP) (2017). Implementación del SGSI en la Universidad Tecnológica del Perú. Retrieved from http://repositorio.utp.edu.pe
S. C. Tosatto, G. Governatori and P. Kelsen, "Business Process Regulatory Compliance is Hard," in IEEE Transactions on Services Computing, vol. 8, no. 6, pp.
958-970, Nov.-Dec. 1 2015. doi: 10.1109/TSC.2014.2341236
S. Rao, “Engineering Optimization: Theory and Practice,” John Wiley & Sons, 2009.

12