Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Página 1
Computadoras y Seguridad
Historia del articulo: El objetivo del artículo es caracterizar y evaluar la gestión de la seguridad de la información en unidades públicas
Recibido el 23 de julio de 2019
administración y definir soluciones recomendadas que faciliten un aumento en el nivel de información
Revisado el 21 de noviembre de 2019
seguridad. El artículo se considera un trabajo de investigación teórico-empírico. El objetivo de la investigación teórica.
Aceptado el 28 de diciembre de 2019
es explicar los términos básicos relacionados con la gestión de la seguridad de la información y definir las condiciones para
Disponible en línea el 30 de diciembre de 2019
La implementación del Sistema de Gestión de Seguridad de la Información (SGSI). Dentro del alcance de la teoría
Palabras clave: Se hace referencia a consideraciones locales, literatura de origen, legislación e informes. En los años 2016-2019,
Seguridad de información Se ha llevado a cabo una investigación empírica, cuyo objetivo era evaluar la eficiencia de la seguridad de la información.
La seguridad cibernética gestión en oficinas de administración pública. La evaluación de los resultados de las encuestas fue acompañada por
Administración Pública Un análisis de las relaciones estadísticas entre las variables investigadas, que permitió definir los efectos de
Evaluación de la seguridad de la información.
Normativa de la Unión Europea sobre el suministro de seguridad de la información en la administración pública. Resultados de
Gestión de la seguridad de la información
Los datos empíricos muestran que en los años 2016-2017, en las oficinas de la administración pública, cierto problema
áreas en el aspecto de la gestión de seguridad de la información estuvieron presentes, que incluyen, entre otras: falta
de la organización del SGSI, documentación incompleta u obsoleta del SGSI, falta de análisis de riesgos regulares, falta de
revisiones, auditorías o controles, uso limitado de medidas de protección física y tecnológica, falta de capacitación
o desarrollo profesional. En los años 2018-2019, soluciones de la Unión Europea, es decir, el Reglamento GDPR
y la Directiva NIS, han afectado el aumento en el nivel de seguridad de la información en la administración pública
ción y tienen una ocurrencia significativamente limitada de irregularidades identificadas. Los resultados de la investigación permiten
asumir que la entrega de seguridad de la información en la administración pública requiere un enfoque sistémico
derivado de la necesidad de una mejora permanente.
https://doi.org/10.1016/j.cose.2019.10170 9
0167-4048 / © 2020 The Authors. Publicado por Elsevier Ltd. Este es un artículo de acceso abierto bajo la licencia CC BY-NC-ND. ( http://creativecommons.org/licenses/by-nc-nd/4.0/ )
Página 2
2 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
sistema de gestión de seguridad de formación. Las obligaciones indicadas Los fundamentos teóricos de la gestión de la seguridad de la información son
sobre gestión de seguridad de la información en instituciones públicas destinado a indicar el problema fundamental en la implementación de
no se reflejaron en la práctica varias veces, lo cual se indica ISMS, que es la falta de un enfoque sistémico que incluiría
en los resultados de la investigación científica (Szczepaniuk, 2016), análisis misión de la institución y su aspecto de proporcionar una calidad adecuada de def
e informes, incluidos los resultados de control presentados por la Pol servicios livered. Además, la evaluación del personal de seguridad de la información
ish Oficina Suprema de Auditoría (NIK, 2016) Un síntoma de cambios en El proceso de gestión que utiliza la investigación empírica requiere la adopción de la ciencia
este aspecto era la obligación de implementar en la Unión Europea Criterios de evaluación justificados de forma específica.
https://translate.googleusercontent.com/translate_f 1/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Estados miembros los principios de la llamada protección de datos generales El tema de investigación, presentado en una visión general, expresa
Reglamento (Reglamento GDPR) (DO L 119/1, 4.5.2016 2016), la naturaleza compleja e interdisciplinaria del objeto y la
y la directiva sobre medidas para impulsar el nivel general de ciber- objetivo de la investigación. Debido a este hecho, un modelo de investigación adecuado para
seguridad de redes y sistemas informáticos en la Unión Europea (NIS Se ha adoptado un análisis sistémico (véase, por ejemplo , Sienkiewicz, 1995)
directiva) (DO UE L 191/1, 19.7.2016 2016) En Polonia, el europeo El enfoque metodológico adoptado permite investigar cuestiones
Los documentos sindicales se implementaron en forma de aprobación, entre presente en campos de conocimiento distantes y para analizar varios
otros, la Ley de Protección de Datos Personales ( Dz.U. [Journal of Laws] fenómenos en un enfoque holístico, en el que se presupone que
de 2018, artículo 1000 ) y la Ley de Ciberseguridad Nacional la realidad se percibe como un todo y no como una colección de
(Dz.U. [Diario de leyes] de 2018 artículo 1560) Implementación de partes.
Las soluciones de la Unión Europea en el orden legal polaco dieron como resultado La elección de los métodos y herramientas de investigación fue determinada por
aumento en el nivel de seguridad de la información y la protección de la privacidad. Le- El modelo de proceso de investigación adoptado. En el aspecto teórico
los actos de la UE afectaron a la mejora de la estructura organizativa de la UE deliberación, la fuente de literatura, legislaciones e informes fueron revisados
y procedimientos de seguridad (por ejemplo, procedimiento de gestión de riesgos, información Ferré a. Dentro del rango de la investigación empírica, un cuestionario
auditorias de seguridad de mation). Además, el número de encuesta basada se realizó. Evaluación de resultados de la encuesta.
han aumentado las medidas de protección técnica y técnica (por ejemplo, acceso fue seguido por un análisis de las relaciones estadísticas entre la evaluación
mecanismo de control, copias de seguridad). Un cambio significativo también en variables evaluadas, que se evaluaron mediante una prueba de Chi-cuadrado y
incluyó capacitación regular y mejora de las habilidades del personal (p. ej. C Coeficiente de contingencia de Pearson.
formación en protección de datos personales). En algunas administraciones públicas La prueba Chi-2 ( x 2 ) es una prueba estadística no paramétrica que
instituciones de comercio todavía hay muchas amenazas de información vulner- permite indicar la presencia de relaciones entre las variables examinadas
habilidades presentes. Además, el entorno de las amenazas es dinámico. ables La fórmula de la prueba de relación Chi-2 se define de la siguiente manera (ver
cambiando radicalmente debido al aumento en el rango de herramientas avanzadas y por ejemplo , Zibran, 2007):
técnicas de tachuela. El contexto resumido indica la necesidad de ( )2
Formar más investigación sobre seguridad de la información en publicidad pública ∑k Oj-Ej
ministración para evaluar y mejorar la implementación actual x2= (1)
Ej
j=1
soluciones pensadas Además, los problemas de investigación de este artículo también
incluir las prioridades de investigación de la Unión Europea en el aspecto
llave:
de ciberseguridad (ENISA, 2017)
x 2 - Prueba de relación Chi-2
O j - tamaño observado para un grupo dado
2. Metodología de la investigación.
E j - tamaño esperado para un grupo dado
El coeficiente de contingencia de C Pearson es una medida de
El tema de la investigación es el organismo de administración pública.
fuerza de la relación entre las variables evaluadas, y es
En Polonia, en el contexto de los procesos de gestión de la información
calculado usando la siguiente fórmula (ver, por ejemplo, Vogt y John-
seguridad de mation. La administración pública constituye un complejo.
hijo, 2015 ):
mega-sistema compuesto por múltiples subsistemas (ver, por ejemplo, Mo˙zd˙ze´n-
√
Marcinkowski, 2012 ). Complejidad funcional y organizacional de
x2
administración pública, en relación con la gestión de seguridad de la información, C= (2)
constituye un tema interdisciplinario de investigación. El teórico
x2+n
La base del tema discutido se origina en muchos campos académicos, por ej.
llave:
ciencias de la computación, gestión y ciencias de la calidad, ciencias de la seguridad C - C coeficiente de contingencia de Pearson
ences, teoría jurídica.
x 2 - Prueba de relación Chi-2
El objetivo principal de la investigación es evaluar la seguridad de la información.
n - tamaño de muestra de prueba
gestión en entidades de administración pública en Polonia y en
dicar soluciones recomendadas que facilitarían un aumento
del nivel de seguridad de la información. Alcanzar la meta adoptada 3. Base teórica de la gestión de la seguridad de la información.
Realización requerida de lo siguiente, de naturaleza teórica, detallada
metas: 3.1. Definición de seguridad de la información en la administración pública.
Página 3
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 3
tabla 1
Atributos de seguridad de la información.
1 confidencialidad Siempre que el acceso a la información esté restringido solo para usuarios autorizados
2 integridad Siempre que la información se conserve en su forma original, excepto cuando el personal autorizado la actualice o la borre.
3 disponibilidad Siempre que la información esté disponible para personas autorizadas en el tiempo requerido.
44 responsabilidad Relacionado con la asignación inequívoca de un rango dado de acciones a un usuario específico.
55 autenticación Siempre que la identidad de un usuario o recurso sea la declarada
Vista de la investigación sistémica. Sobre la base del análisis sistémico, hay (p. ej., proporcionar servicios a los ciudadanos) y dominio externo (p. ej.
son dos enfoques predominantes (Sienkiewicz, 2010): operación de unidades de administración pública). El funcionamiento de pub-
la administración lic se basa en la recopilación, el procesamiento y el intercambio
- seguridad del sistema entendida como propiedad de un investigado
información, por lo tanto, la información es uno de los activos básicos
objeto, caracterizado con resistencia a la ocurrencia
y se considera un valor protegido. Un incidente de seguridad puede indicar
de situaciones peligrosas (amenazas), mientras que el foco está en
Reducir significativamente la calidad del servicio administrativo al interrumpir
vulnerabilidad con respecto a la ocurrencia de incidentes de seguridad;
ing el proceso de su provisión. En casos extremos, puede resultar en
- seguridad del sistema definida en términos de capacidad para proteger el
posibilidad incapacitante de prestar servicios por parte de las administraciones públicas
valores internos (recursos) de un objeto contra amenazas.
(Szczepaniuk, 2016) Seguridad de la información en la administración pública.
está relacionado con la capacidad de proporcionar la realización de programas administrativos
Según la definición anterior, la seguridad se percibe en términos
ceses y seguridad de la información en todos los niveles de actividad del público
de una característica de un sistema dado, que condiciona la confiabilidad del sistema
instituciones.
flexibilidad y eficiencia operativa en caso de ocurrencia de una seguridad
La seguridad de la información a menudo se define en el contexto de proporcionar
incidente. Por lo tanto, el término seguridad debe considerarse en relación
atributos de seguridad de la información, expresados en la Tabla 1. El primero
a posibles amenazas.
tres atributos se refieren a información que no tiene en cuenta su forma. El siguiente
Uno de los modelos generales de seguridad del sistema es el que se desarrolla
Los atributos de reducción se refieren a proporcionar protección de datos en los sistemas de TIC.
operado por Clements, según el cual, la interacción entre
se define amenazas y un objeto investigado. Que haya un conjunto de La información se considera segura si todos los atributos de la información
Se proporcionan seguridad.
Todas las amenazas Z = { z 1 , z 2 , z 3 ,. . . , z n } y un conjunto de todos los objetos O =
{ O 1 , o 2 , o 3 ,. . . , o n } . Un conjunto de todos los puntos que son vulnerables a La seguridad de la información en la administración pública debe ser considerada
es decir, las vías de penetración del sistema, se pueden expresar con un en el contexto de la realización de misiones de una institución y entrega
La calidad adecuada de los servicios prestados, al mismo tiempo proporciona
https://translate.googleusercontent.com/translate_f 2/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Producto cartesiano R ⊆ Z × O , que define las interacciones entre Vidriando atributos de seguridad de la información. Se sugiere definir
las amenazas y objetos identificados (Stokłosa et al., 2010) Un dado
seguridad de la información en la administración pública como estado y pro
el objeto puede interactuar con múltiples amenazas o una sola amenaza puede
cess en el que (Szczepaniuk, 2016):
interactuar con múltiples objetos. La identificación de amenazas puede en gran medida
imponer el riesgo de que ocurra, debido al hecho de que proporciona la - La seguridad de la información se logra y se mantiene de forma predeterminada.
posibilidad de implementar medidas de seguridad adecuadas. nivel terminado de confidencialidad, integridad y accesibilidad;
El modelo Clements define un sistema de seguridad con el siguiente - La seguridad de los servicios prestados se logra y mantiene en un
conjunto ingHoffman, 1982 ; Stokłosa et al., 2010): nivel predeterminado de confiabilidad, accesibilidad e integridad
de servicios;
S = { O, Z, B, R, P } (3)
- Autenticación y rendición de cuentas de entidades, relacionadas con au-
llave: autenticación de usuarios que utilizan información y servicios específicos
O - conjunto de objetos en riesgo de amenaza, se proporcionan vicios;
Z - conjunto de amenazas, - Elementos que constituyen el sistema de administración pública.
B - conjunto de medidas de seguridad (protecciones), se caracterizan por la capacidad de proteger contra la corriente
R ⊆ Z × O - conjunto de caminos de penetración, y futuras interrupciones (amenazas) por funcionamiento o pérdida de
P ⊆ Z × B × O - conjunto de caminos de penetración protegidos contra valores específicos: el sistema es resistente a las amenazas (
virar. ternal, externo, accidental, con propósito);
En el enfoque presentado, un sistema se considera totalmente seguro - Usuarios de información y servicios (empleados en administraciones públicas)
si para cada punto vulnerable al ataque (ruta de penetración) una seguridad tration) y destinatarios de información y servicios (ciudadanos, en-
Se proporciona medida. Las unidades de administración pública se caracterizan empresarios, empleados que trabajan en diferentes administraciones públicas
con su propia especificidad, medidas de seguridad, vulnerabilidades y unidades de tracción) son conscientes de las amenazas y son invulnerables a
El riesgo resultante. Por lo tanto, para proporcionar un suficiente o- ellos;
Para la organización de un sistema de seguridad, es necesario identificar, analizar, - Perpetuadores de incidentes de seguridad (también delincuentes internos)
supervisar y mejorar elementos específicos de un sistema. Realización de tienen posibilidades restringidas de usar el ciberespacio para un propósito
los supuestos adoptados requieren un enfoque sistémico, debido a la de generar amenazas utilizando vulnerabilidades y brechas
de hecho, que entre elementos de un sistema, una causa-efecto, el tiempo varía dentro del sistema de seguridad.
Se producen relaciones.
Las deliberaciones actuales sugieren adoptar la noción, ese término en 3.2. Amenazas de seguridad de la información en las instituciones de administración pública.
la seguridad de la formación se refiere a la capacidad de garantizar la protección legal
información contra interferencia no autorizada, por ejemplo, no autorizada Las amenazas a la seguridad de la información en las instituciones públicas pueden ser anal
divulgación, modificación, borrado de información o acciones que Desde el punto de vista de todo un país, una autoridad local
desactivar la posibilidad de procesar información. Al referir estos unidad, o una sola institución. En el artículo, una sola institución se
determinaciones a la seguridad de la información en la administración pública, anhelo de sistema de administración pública se centró en.
debe subrayarse que la tarea básica del instituto del sector público Una institución de administración pública puede definirse como un todo,
es realizar tareas públicas tanto dentro del dominio interno separado del sistema de administración pública, establecido de acuerdo
Página 4
44 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
cumplir con las normas legales, realizar tareas (objetivos) en formas legalmente definidas análisis (Sienkiewicz, 2013):
y utilizando los recursos disponibles. Un instituto de administración pública
= 〈S, O, R 〉 (5)
La definición definida anteriormente puede describirse utilizando el siguiente conjunto de
elementos (Szczepaniuk, 2016): llave:
- situación sistémica,
U = { L, I, M, F, C, O, R } (4)
S - sistema que es objeto de amenazas de información,
llave: O - entorno compuesto por objetos considerados fuente de información
U - institución de administración pública, amenazas de formación
L - recursos humanos, R ⊂ S × O - conjunto de relaciones.
I - recursos de información, Entonces, el objeto de amenazas (sistema), que es un anuncio público
M - recursos materiales, institución ministerial, tiene un potencial defensivo: P ( s ) ≥ 0, s ∈ S ,
F - recursos financieros, mientras que la fuente de amenazas se caracteriza por su capacidad destructiva
C - objetivos y normas (incluida la ley), potencial P ( O ) ≥ 0, s ∈ O . En el R conjunto, una relación Rz = Rz ( O, S ) , era
O - soluciones organizativas, de procedimiento y técnicas, definido, lo que resulta en (Sienkiewicz, 2013):
R - relaciones entre elementos de un organismo de administración pública
V o, s o Rz s ⇔ P ( o ) ≥ P ( s ) (6)
tution
La tarea principal de una institución de administración pública es la realización Es decir - objeto s ∈ S es amenazado por O ∈ O .
ción de tareas públicas relacionadas con la toma de decisiones en función de la disponibilidad Dentro de la literatura fuente hay múltiples clasificaciones de
información. Basado en la teoría del sistema, la toma de decisiones en un amenazas a la seguridad de la formación (véase, por ejemplo, Howard y Longstaff, 1998;
la institución se realiza en base al procesamiento de información de entrada en Loch et al., 1992 ; Szczepaniuk, 2016) Situaciones que amenazan la seguridad
información de salida (véase, por ejemplo, Chikere y Nwoka, 2015) Considerar- En las instituciones de administración pública pueden ocurrir múltiples
Definición de una institución definida en (4) y el carácter de dimensiones, entre otros:
toma de decisiones en la administración pública, una institución es un conjunto de
• Amenazas naturales relacionadas con desastres naturales, por ejemplo, inundaciones;
elementos cooperantes que recopilan datos (datos de entrada) y procesan
• Amenazas tradicionales de información relacionadas con actividades dirigidas a
ellos, emiten y entregan comentarios para lograr una adopción
adquirir información, por ejemplo, espionaje;
objetivo (datos de salida). Un ejemplo del proceso descrito anteriormente es
• Amenazas originadas en el ciberespacio que cubren ataques contra
emitir una decisión administrativa basada en los documentos entregados
formación dentro de los sistemas de TIC, por ejemplo, man-in-the-middle at-
por partes de un procedimiento administrativo.
tachuela (MITM)
En una institución de administración pública, un subsistema ejecutivo
• Amenazas resultantes de la confiabilidad de los sistemas de TI, por ejemplo, software.
y un sistema de gestión puede ser diferenciado. Primero de esos re
errores (brechas);
plantea procesos relacionados con la realización de tareas públicas. El otro
• Acciones intencionales de los empleados de la institución, por ejemplo, información.
uno se da cuenta de los procesos de gestión, lo que afecta la realidad requerida
robo de acciones;
Relación de las necesidades ambientales dentro del sistema ejecutivo. Func-
• Amenazas que ocurren debido a una organización inadecuada e interna.
El funcionamiento de una institución de administración pública puede realizarse mediante
procedimientos de una institución, por ejemplo, empleados no capacitados gen-
ing papel, circulación electrónica o mixta de documentos. Debería
borrar una amenaza real; por ejemplo, debido a la vulnerabilidad hacia
Cabe señalar, que la circulación de documentos en una institución gestionada
ataques de ingeniería social;
se realiza electrónicamente de una manera diferente que en una institución
• Amenazas que violan los derechos civiles, por ejemplo, la violación de datos personales,
con circulación de documentos en papel. Esos modelos difieren en,
entrega de información a entidades no autorizadas, identidad
entre otros, la infraestructura utilizada para la circulación de documentos
robo.
ments, incluyendo también la ubicación y la forma de entrada (datos de entrada) y
salida (datos de salida) de documentos y el método de su pro- Incidentes de seguridad de la información en el instituto de administración pública
cese y circulación. Los documentos electrónicos fluyen a una información las funciones están condicionadas a vulnerabilidades que pueden ocurrir en caso de que
sistema de acción, no un sistema ejecutivo, ya que se realiza en caso de un de cualquiera de los elementos indicados (4) de una administración pública
sistema con circulación de documentos en papel. Ambos en Polonia stitution. Debe subrayarse que cada institución tiene su propio
así como en todo el mundo, muchos informes evalúan el nivel de avance características específicas, por ejemplo, hardware de TI utilizado, sistema de TI dedicado
ment de la administración electrónica (véase, por ejemplo la administración electrónica Encuesta, 2018 ; El tems, organización de un sistema informático, que se caracterizan por
Se desarrolló el Informe Global de Tecnología de la Información, 2016 ). En vulnerabilidad específica con respecto a las amenazas de información. Por lo tanto, de
practican, en la mayoría de las instituciones en Polonia, una circulación mixta de documentos se puede aumentar el nivel de la cerca de una institución de administración pública
umentos con el uso de sistemas de TI (por ejemplo, Plataforma Electrónica de Público utilizando la gestión de seguridad de la información que debe ser disuadida
Servicios de administración - ePUAP), registros públicos electrónicos (p. Ej. minado por obligaciones legales, naturaleza de las operaciones realizadas por un
Sistema de Registros Nacionales (SRP) y circulación de documentos us- institución y la necesidad de mejora continua.
Instrucciones de oficina (por ejemplo, una carta oficial se entrega en papel
formulario para el departamento de administración de la institución). 3.3. La esencia de la gestión de la seguridad de la información en público.
Una institución de administración pública caracterizada como arriba puede administración
ser afectado con varios tipos de amenazas. Cabe señalar que
https://translate.googleusercontent.com/translate_f 3/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
las instituciones con circulación de documentos en papel están en riesgo La gestión de la seguridad de la información en la administración pública es un
con respecto a otros tipos de amenazas que las instituciones con electrónica parte integral de la gestión del sistema y está relacionada con la racionalización
circulación de documentos, mientras que en una unidad que utiliza simultane- La elección de las medidas que permiten el funcionamiento del sistema.
Ambas soluciones, ambas: información procesada electrónicamente tem según su finalidad en un entorno peligroso. Informa-
y la información procesada tradicionalmente puede estar en riesgo de seguridad La administración de seguridad de la nación se somete a los mismos principios que cualquier otra.
incidente. otro campo de gestión: tiene su objetivo, planes, políticas, soluciones
Relacionando las consideraciones anteriores con la sección general de Clements acciones relacionadas con la implementación, el control y los instrumentos de auditoría,
El modelo de curiosidad discutido en (3) y la definición de la sección de información gestión contable y programas relacionados con el mantenimiento de la corriente
curiosidad propuesta en el artículo, amenazas de información por información Resultados de alquiler y mejora continua y aumento de calidad.
La seguridad en una institución de administración pública puede caracterizarse. Teniendo en cuenta las consideraciones incluidas en (4)- (6), el
Para este propósito, se propone la siguiente situación sistémica para La esencia de la gestión de la seguridad de la información puede explicarse en
Página 5
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 55
relaciones con la situación sistémica descrita en (7)- (11), en el cual institución. En la literatura fuente y en soluciones prácticas, vari
se dan los siguientes valores (Sienkiewicz, 2015): son métodos apropiados para calcular los costos en seguridad de la información
aplicado, por ejemplo, método ROI - Retorno de la inversión, método ROT -
- amenazas externas A ( t ) resultantes del entorno de un
Teoría de opciones reales, método de mensajería unificada - Maximización de utilidad
sistema, que corresponde a la función de destructivo
Schatz y Bashroush, 2017), Método ABC - Costo basado en actividades-
potencial de amenaza,
ing, método TDABC - Costeo basado en actividades basadas en el tiempo (véase, por ejemplo,
- resistencia de un sistema a las amenazas externas B ( t ), que
Leszczyna, 2017), Método ALE - Expectativa de pérdida anual (véase, por ejemplo,
corresponde a la función del potencial defensivo (aseguramiento).
Sklavos y Souras, 2006 ; Tsiakis y Stephanides, 2005)
Las características de una situación indicadas anteriormente son funciones aleatorias En resumen, la cuestión de la gestión de la seguridad de la información en
iones con distribuciones de probabilidad conocidas: La administración pública puede expresarse como (Sienkiewicz, 2013):
β ( t ) = F ( a o , t ) [1 - G ( b o , t ) ] (9)
Realización del marco teórico relacionado con la provisión de
Adoptando el nivel de seguridad del sistema requerido como β o > 0, puede ser la seguridad de la formación en la administración pública se relaciona con la necesidad
indicó que en el período T , el sistema es seguro si en un momento dado implementar el Sistema de Gestión de Seguridad de la Información (SGSI). En
Se cumple la siguiente condición: En el proceso de implementación del SGSI, se aplican varios estándares
como ISO / IEC 27001, BS 7799, ITIL y COBIT (ver p. ej.
β ( t ) ≥ β o , t o <t ≤ t o + T (10)
Susanto et al., 2011) En el artículo, la base teórica de la implementación
El análisis de seguridad del sistema a menudo incluye el uso de procedimientos simplificados La implementación del SGSI se basa en la norma ISO / IEC 27001, que
que dan como resultado el cálculo de la probabilidad: Es la solución recomendada en Polonia.
De acuerdo con la norma ISO / IEC 27001, un seguro de información
P = p ( P s <P o ) (11)
rity Management System es una parte de un sistema de gestión integral
es decir, la probabilidad de ocurrencia de un evento en el cual el gen- tem, basado en el enfoque resultante de un riesgo comercial, que
resistencia oral (potencial defensivo) P s es mayor que la general se refiere al establecimiento, implementación, utilización, monitoreo, sustento
amenaza P o (Sienkiewicz, 2015) obteniendo y mejorando la seguridad de la información. ISMS incluye orga-
Teniendo en cuenta lo anterior, la cuestión del personal de seguridad de la información estructura nacional, políticas, acciones de planificación, pasivos, prácticas,
la gestión puede conducir a la optimización de la distribución de servicios procedimientos, procesos y recursos "(Liderman, 2006)
medidas de curiosidad en relación con las rutas de penetración del sistema, en orden El objetivo de un SGSI operativo es eliminar o minimizar el
para proporcionar protección al sistema. En otras palabras, un nivel de P s , riesgo de que ocurran amenazas de información utilizando un conjunto de planificación, o-
que maximiza el nivel de seguridad β , se puede definir. Este gener- Actividades organizativas, técnicas y de control. ISMS es un elemento
odia la necesidad de elegir dicha estrategia de seguridad del conjunto de del sistema de gestión de la organización, que se caracteriza por or-
variantes aceptables, para las cuales el valor anticipado de los efectos de un estructura organizacional, política de seguridad, procesos realizados y recuperación
amenaza toma el valor mínimo y los costos de implementación fuentes. Dentro del proceso de desarrollo del SGSI, lo siguiente
de una estrategia no excederá el valor aceptado. Por lo tanto, imple- etapas, presentadas en la Fig. 1. puede ser distinguido.
La protección debe ir precedida de un límite de definición definido. La esencia del SGSI incluye aspectos organizativos y técnicos.
ues por resultados de amenazas y estimación del valor aceptado de las finanzas mecanismos en el aspecto de proporcionar seguridad de la información, que
activos patrimoniales que pueden gastarse en medidas de seguridad. Esto implica debe ser adecuado al riesgo de interferencia de datos. Análisis y riesgo.
una necesidad de adoptar una metodología específica de amenaza de información La evaluación de la seguridad de la información constituye la base de
gestión de riesgos y elección del método para calcular los costos. Plementación de SGSI en una organización. La obligación de hombre-
En la práctica del análisis de amenazas de información, varios riesgos envejecer el riesgo para la protección de datos personales y para proteger
se utilizan métodos de evaluación, por ejemplo, OCTAVE - Operational Criti- vide ciberseguridad se establece también en los documentos de la Unión Europea
Evaluación de amenazas, activos y vulnerabilidades (véase, por ejemplo, Alberts y - Reglamento GDPR (DO UE L 119/1 de 4.5.2016) y la Directiva NIS
Dorofee, 2003 ), CRAMM - Análisis y gestión de riesgos CCTA (DO UE L 191/1, 19.7.2016) Implementación de ISMS de acuerdo a
Método (véase, por ejemplo , Yazar, 2002), MEHARI - Método de análisis de riesgos ISO / IEC 27001 y basado en soluciones indicadas por el europeo
(véase, por ejemplo , Mihailescu, 2012), FMEA - Modo de falla y efecto anal- Unión y a nivel nacional, puede ser una solución complementaria que
sis (ver, por ejemplo, Schmittner et al., 2014), ISRAM - Seguridad de la información incluye un amplio espectro de información legalmente protegida.
Método de análisis de riesgos de la ciudad (véase, por ejemplo, Karaback y Sogukpinar, 2005) La gestión de riesgos en seguridad de la información requiere un inventario
Además, los métodos de gestión de riesgos dentro de las normas, estándares y y evaluación de recursos que pueden estar en riesgo. Los recursos
buenas prácticas, por ejemplo, la norma ISO / IEC 27001 y las normas relacionadas son de valor específico para una institución; por lo tanto, la aparición de
(ver por ejemplo ISO / IEC 27001 ; ISO 27005), Metodología COBIT (véase, por ejemplo, un incidente de seguridad genera consecuencias específicas para una organización
ISACA, 2013), NIST 800–37 (véase, por ejemplo , NIST, 2018), se han desarrollado sation. Fundamental para el análisis de riesgos es la identificación de amenazas.
abierto que se definen como „cualquier fenómeno (proceso, evento), no deseado
Como se mencionó anteriormente, la gestión de seguridad de la información desde el punto de vista de un funcionamiento ininterrumpido de un sistema "
requiere un aumento en los costos específicos, que en caso de complejos (Sienkiewicz, 2013) La aparición de una amenaza es facilitada por un
Las soluciones pueden constituir una parte importante del presupuesto de un determinado llamada vulnerabilidad, que es una debilidad o una brecha en la seguridad
Página 6
66 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
https://translate.googleusercontent.com/translate_f 4/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
sistema de un objeto dado. La relación entre una amenaza y la vulnerabilidad. La lista agrupada de medidas de protección se incluye entre otras:
habilidad, expresada con la probabilidad de ocurrencia de una amenaza y política de seguridad de la formación, organización de la seguridad de la información, hu-
La cantidad de pérdidas generadas por esta amenaza se conoce como seguridad de recursos humanos, gestión de activos, control de acceso, criptomonedas
riesgo. El análisis de riesgos indica requisitos en el aspecto de seguridad, Tografía, seguridad física y ambiental, seguridad operativa,
que se implementan en forma de medidas de protección que seguridad de comunicación, obtención, desarrollo y mantenimiento
minimizar el riesgo Las interrelaciones caracterizadas en el hombre de riesgo de un sistema, gestión de incidentes de incidentes de seguridad de la información,
el envejecimiento se presenta en la Fig. 2. gestionar la continuidad de la gestión y el cumplimiento ( Brewer y
El elemento clave en el proceso de implementación del SGSI en Nash, 2010 ). Estos grupos se detallan con los tipos recomendados.
Una institución pública está implementando medidas de protección adecuadas. de medidas de seguridad y recomendaciones sobre implementación
En el anexo A a la norma ISO / IEC 27001, lo siguiente tation.
Página 7
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 77
El análisis teórico realizado en el artículo sugiere la con- Medidas de seguridad física y técnica.
Control de acceso físico 17 27 39 45
conclusión de que la gestión eficiente de la seguridad de la información debería incluir
Control de acceso a sistemas informáticos 3 9 29 42
Incluya la gestión compleja de la seguridad de la información
Monitoreo del uso de sistemas de TI 00 2 11 27
fuentes, infraestructura dedicada para su procesamiento, conocimiento y Copias de seguridad 1 55 18 años 32
competencia de los trabajadores y medidas de seguridad en el conjunto Protección antivirus 66 11 29 41
https://translate.googleusercontent.com/translate_f 5/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
La posibilidad y las normas internas de una administración pública. Gestión de incidentes de seguridad de la información e información. En los años
- Físico y técnico: abarca los pro- pios físicos y técnicos. El Reglamento Europeo GDPR y la directiva NIS, una importante
medidas de protección implementadas en la institución del público pliegue en el número de entidades con estructura organizacional aplicada
- social (factor humano) - relacionado con la competencia de em- (62%) de las entidades investigadas han implementado organizaciones ISMS
empleados de una unidad; estructura nacional, que indica un aumento del 34% con respecto al
- otros recursos de una organización (por ejemplo, capital), que influyen año anterior En el año 2019, el 84% de las entidades han establecido o-
influir en la eficiencia de la gestión de la seguridad de la información estructura organizacional. Los resultados de la investigación indican que también el número
Página 8
8 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
Tabla 3
Investigación sobre la influencia de las soluciones de la Unión Europea en el SGSI en la administración pública.
Valor empírico Valor crítico Verificación de hipótesis Valor empírico Fuerza de relación
Variable B: años 2016-2019
fueron las copias de seguridad que en los años 2016-2017 en la mayoría de los recursos se anularon significativamente en la mayoría de los estudios investigados
las entidades investigadas no fueron desarrolladas o fueron desarrolladas y tidades
almacenado incorrectamente Los resultados de la investigación, entre otros, indicaron: falta El análisis de los resultados permite sospechar que existe una relación
de un número suficiente de aplicaciones que realizan copias de seguridad y relación entre la gestión de la seguridad de la información en la administración pública
Poco conocimiento sobre la necesidad de crearlos. En los años Tration e implementación de soluciones de la Unión Europea - GDPR
2018-2019, el número de entidades en las que se realizaron copias de seguridad Reglamento y Directiva NIS, en el año 2018 en Polonia legal o-
creado regularmente ha aumentado. Los mecanismos criptográficos fueron der. Esta hipótesis ha sido verificada usando una prueba de relación Chi-2
La solución más raramente utilizada en el aspecto del campo investigado y el coeficiente de contingencia de C Pearson (Tabla 3)
de seguridad Porcentaje de entidades que aplican protección criptográfica. Análisis estadístico de las relaciones entre elementos: variable A
con la siguiente forma: 0% (año 2016), 4% (año 2017), 18% (año 2018), (estructura organizativa, procedimientos, documentos internos, fisiología
46% (año 2019). medidas de seguridad técnicas y técnicas, factor humano) y variable B
Los resultados de la investigación en el campo de la sociedad han revelado que en el (año de investigación), proporciona confirmación de la hipótesis formulada
años 2016 - 2019, en la mayoría de las entidades investigadas, empleados esis. Existe una relación entre la implementación de elementos.
no estaban aumentando sus habilidades, por ejemplo, a través de cursos externos, capacitación del SGSI en la administración pública y los años de investigación. Ya que
ing o estudios de posgrado. Según los directores de estos enti- el año 2018, las entidades de la administración pública en Polonia están obligadas
Lazos, fondos insuficientes fueron la razón de esta situación. En el para cumplir con las regulaciones contenidas en el Reglamento GDPR y
años 2016 - 2019, solo en dos entidades, capacitación en información Directiva NIS, que implica cambios positivos en el proceso de
seguridad, incluidas amenazas, resultados y consecuencias y protección gestión de seguridad de la información en la administración pública.
se proporcionaron medidas de provisión. En los próximos años, En el año 2019, los empleados de la administración pública también fueron
se produjo un aumento en el número de piezas de entrenamiento realizadas: investigado en el aspecto del conocimiento sobre amenazas, efectos de seguridad
12 en 2018 y 17 en 2019. Significativamente más a menudo, datos personales incidentes urbanos, medidas de seguridad, reglamentos de derecho consuetudinario y
se proporcionaron capacitaciones de protección, que en los años 2016–2017 Documentación del SGSI. El cuestionario de la encuesta fue completado por
se realizaron en la mitad de las entidades investigadas. Después de aplicar 10 personas de cada entidad investigada (500 encuestados sobre-
El Reglamento GDPR en Polonia, que regula la provisión de datos personales todas). A los fines del análisis de los resultados de la investigación, una hipótesis
Además, los entrenamientos se realizaron en la mayoría de las entidades, es decir, el 84% (el sis sobre la existencia de relaciones entre conocimiento y conciencia
año 2018) y 100% (el año 2019). En los años 2016–2017, defin- ness de encuestados y educación (TI, no IT) y capacitación realizada
El alcance y la responsabilidad para el propósito del SGSI ocurrieron en un ing, fue adoptado. Entre los encuestados, 74 personas tenían un
de manera limitada. En los años siguientes, la mayoría de las entidades han establecido grado universitario en TI, mientras que 170 personas fueron asignadas para capacitación.
amplia gama y competencia en el aspecto de la seguridad de la información La Tabla 4 muestra el conocimiento de los encuestados dentro de los campos definidos
administración. En los años 2016–2017, en la mayoría de las entidades, no hay seguridad por la variable A, dividida de acuerdo con la educación obtenida y
de recursos humanos fue entregado. Estas irregularidades fueron re formación formada (variable B). Las relaciones entre variables fueron re
relacionado con la concesión excesiva de permisos en los sistemas de TI, es decir, autor buscado utilizando la prueba de Chi-2 y el coeficiente de contingencia de C Pearson
Más allá del rango de deberes. Además, un problema de no negar (Tabla 5)
Se identificó la negación de autoridad en los sistemas de TI o demasiado tarde. Análisis estadístico de las relaciones entre las variables investigadas.
entre las razones de las irregularidades ocurridas, un número demasiado pequeño ha demostrado que existe una fuerte relación entre la educación obtenida
Se indicaron varios empleados de TI empleados o sobrecarga de trabajo. catión y conocimiento sobre amenazas y medidas de seguridad. Investigación
En los años 2018-2019, irregularidades relacionadas con la seguridad humana los resultados indicaron que existe una relación entre educación y
https://translate.googleusercontent.com/translate_f 6/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Tabla 4
Conocimiento de los encuestados en las entidades investigadas.
Tiene conocimiento No tiene Tiene conocimiento No tiene Tiene conocimiento No tiene Tiene conocimiento No tiene
conocimiento conocimiento conocimiento conocimiento
Página 9
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 9
Tabla 5
Investigación sobre la influencia de la educación y la formación sobre el conocimiento de los encuestados.
conocimiento, es decir, moderado en el aspecto de los efectos y débil en el - El SGSI incluye planificación, procedimientos, organización, fisioterapia.
campo de documentación del SGSI. No hay relación entre la educación superior de TI Soluciones cal, técnicas y sociales, que incluyen información
Se indicó la información y el conocimiento de las normas de derecho consuetudinario. gestión de riesgos de amenazas y responsabilidades definidas en el registro
En resumen, los resultados de la investigación han mostrado irregularidades en formulaciones de derecho.
plementación de ISMS en la administración pública en Polonia, en el - El SGSI incluye planificación, procedimiento, organización, físico,
años 2016–2017. Implementación de soluciones de la Unión Europea en soluciones técnicas y sociales que deberían ser adecuadas para
Polonia, en el aspecto de protección de datos personales y ciberseguridad El riesgo de interferencia en los datos y las responsabilidades definidas
ridad, han implicado cambios positivos en el aspecto de la organización en regulaciones de ley. La implementación del SGSI requiere es-
SGSI en entidades de administración pública. Una necesidad de ampliar el conocimiento establecer, implementar, utilizar, monitorear y mejorar
borde y para sensibilizar a los empleados de las oficinas públicas, en ing todos los elementos del sistema.
Se indicó el aspecto de la gestión de la seguridad de la información. - Investigación empírica en el aspecto de la implementación de
ISMS ha demostrado que, en la práctica de operación de
4. Conclusiones y recomendaciones. entidades administrativas, enfoques para la protección de la información
mation son varios. En los años 2016–2017, en la mayoría de los casos
Tendencias de crecimiento de las amenazas de información y cambios en el archivo vínculos, no se implementaron elementos básicos del SGSI, ni se proporcionaron
el sistema gal impone a las entidades de la administración pública una obligación Los intentos nacionales de implementar un sistema de seguridad fueron subestimados.
para introducir, implementar y mejorar el Hombre de Seguridad de la Información tomado, por ejemplo, acciones de departamentos individuales que no fueron
Sistema de gestión. Con respecto al objeto y el objetivo de la re coordinado dentro de toda la institución. Campos problemáticos
búsqueda, se formularon las siguientes conclusiones: e identificaron irregularidades, que incluyen entre
- Proporcionar seguridad de la información requiere un enfoque sistémico otros: falta de organización de un SGSI, incompleto u obsoleto
y debería ser uno de los elementos de las operaciones de pub- Documentación del SGSI, falta de evaluación de riesgos regular, falta
entidades de administración lic. Seguridad de la información en publicidad pública de vistas generales, auditorías o controles, uso limitado de
la ministración debe percibirse en el contexto de la realización medidas técnicas de seguridad, sin formación o formación profesional.
misiones de las instituciones y entrega de calidad suficiente velocidad Soluciones de la Unión Europea, es decir, el Reglamento GDPR
de servicios prestados, proporcionando simultáneamente atributos de y la Directiva NIS, han influido en un aumento en el nivel de
- Una institución de administración pública es una organización redujo significativamente la aparición de irregularidades identificadas
que realiza tareas públicas. Ocurrencia de una información - Investigación empírica en el aspecto del conocimiento y la conciencia.
incidente de seguridad puede disminuir el nivel de servicio entregado Los empleados de las oficinas públicas han indicado una falta de
vicios, o puede causar falta de disponibilidad de servicios. Situa- conocimiento común sobre gestión de seguridad de la información.
Nociones de amenazas relacionadas con la seguridad de la información en anuncios públicos Además, una relación entre el nivel de conocimiento de la
las instituciones de ministración pueden considerar sus diversos elementos los encuestados y la educación de TI y la capacitación realizada, fue
y recursos. Las unidades individuales tienen su característica característica dicado Se propone aumentar el número de empleados
tures, por ejemplo, hardware de TI utilizado, sistemas de TI dedicados, organizaciones Especialistas en TI y especialistas en seguridad de la información y
sation de un sistema de TI, que se caracterizan con Conducir capacitación obligatoria que cubra a todos los empleados en público
vulnerabilidad con respecto a las amenazas de información. Nivel de defensa de administración. La capacitación debe proporcionar la entrega de conocimientos
las instituciones de administración pública deberían aumentar su utilidad borde, control de conocimiento e identificación de empleados
Página 10
10 EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709
https://translate.googleusercontent.com/translate_f 7/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
institución de tration. La realización de las disposiciones anteriores debe ser problemas; por lo tanto, los autores recomiendan realizar investigaciones
realizado considerando la naturaleza específica y las misiones del individuo apoyado por la cooperación de instalaciones científicas polacas y extranjeras,
Instituciones públicas. Identificación de amenazas y riesgos de información. instalaciones y empresas de educación superior. Debido a lo anterior, en
La gestión constituye elementos importantes del SGSI. Estos pro- Investigaciones adicionales, se recomienda discutir la necesidad de
los procesos facilitan la mejora del sistema y generan una posibilidad constante colaboración internacional dentro del alcance de la seguridad de la información
capacidad para eliminar vulnerabilidades y selección de seguridad adecuada gestión de la ciudad en instituciones de administración pública.
medidas. Esto permite alcanzar el potencial defensivo adecuado de un
sistema, adecuado con respecto al potencial destructivo de una amenaza, que Declaración de intereses en competencia
ronment, por lo tanto, el nivel de seguridad no se considera un estado permanente intereses personales o relaciones personales que podrían haber parecido
Los resultados de la investigación empírica presentada en las Tablas 2–5 han demostrado: Referencias
que existe una relación estadística entre la seguridad de la información
gestión en instituciones públicas e implementación en Pol- Alberts, Ch. , Dorofee, A., 2003. Gestión de riesgos de seguridad de la información. El OCTAVO
Enfoque .. Addison-Wesley. Estados Unidos, Boston.
ish legal order, en 2018, soluciones de la Unión Europea, es decir, el GDPR
ALH Assan, MM, Adjei-Quaye, A., 2017. La seguridad de información en una organización. En t. J.
Reglamento y la Directiva NIS. Los autores recomiendan el indi-
Comput Volumen 24 (núm. 1), 100-116. https://www.researchgate.net/publication/
Resultados esperados de la investigación empírica para ser utilizados en el trabajo del sistema 314086143 _ Información _ Seguridad _ en _ una _ Organización . Accedido el 11 de abril de 2019.
analistas y planificadores en el proceso de diseño e implementación Barczak, A. , Sydoruk, T., 2003. Bezpiecze nstwo systemów informatycznych
zarz ˛adzania. Varsovia: Bellona. Polonia
ción de SGSI en instituciones de administración pública. Se aconseja que
Brewer , D., Nash, M. (2010). Información sobre el iso / iec 27001 anexo a, http: // www.
los elementos del SGSI presentados en la Tabla 2 se consideraron obligatorios gammassl.co.uk/research/27001annexAinsights.pdf . Accedido el 27 de marzo de 2019.
Elementos históricos de una estructura organizativa y soluciones procesales. Brooks, DJ, 2009. Qué es la seguridad: definición a través de la categorización del conocimiento.
Secur. J. 23 (3), 225–239. doi : 10.1057 / sj.2008.18 .
relaciones de las instituciones de administración pública. Estos elementos consisten
Chikere, CC, Nwoka, J., 2015. La teoría de sistemas de gestión en la actualidad
Tute un intento de estandarizar las soluciones utilizadas en la administración pública. organizaciones - Un estudio de aldgate congress resort limited port harcourt. En t.
instituciones y representan posibilidades generadas por J. Scientif. Res. Publ. Vol. 5 (número 9), 1-7. https://pdfs.semanticscholar.org/d1e4/
03a4a017d00b081122c2a0abd1d7317f14fe.pdf . Accedido el 20 de octubre de 2019 .
Gestión sistémica de la seguridad de la información. Datos empíricos
Degaut , M., 2015. ¿Qué es la seguridad? Revista Brasileira de Inteligência 9–28. https:
Señalar aspectos prácticos del diseño y mantenimiento del SGSI, que //www.researchgate.net/publication/310495076 _ Qué _ es _ Seguridad . Accedido 09
debe desarrollarse más en forma de análisis de procedimientos detallados Abril 2019 .
Dz.U. [Revista de leyes] de 2012, artículo 526. (2012) Rozporz ˛adzenie rady ministrów
dures y modelos sobre, entre otros:
z dnia 12 kwietnia 2012 r. w sprawie krajowych ram interoperacyjno sci, min-
imalnych wymaga n dla rejestrów publicznych i wymiany informacji w postaci
- métodos para evaluar la vulnerabilidad a las amenazas de las instituciones,
elektronicznej oraz minimalnych wymaga n dla systemów teleinformatycznych.
- métodos para realizar la gestión de riesgos de la información Polonia.
amenazas, Dz.U. [Journal of Laws] de 2018, ítem 10 0 0. (2018) Ustawa z dnia 10 maja 2018 r. o
Ochronie Danych Osobowych. Polonia.
- métodos de formación de empleados de la administración pública en
Dz.U. [Journal of Laws] de 2018, ítem 1560. (2018) Ustawa z dnia 5 lipca 2018 r. o
instituciones,
krajowym systemie cyberbezpiecze nstwa. Polonia.
- métodos de selección de medidas de seguridad, e- Encuesta del gobierno (2018). Departamento de asuntos económicos y sociales. Unido
tem, Métodos y herramientas de gestión de riesgos / evaluación de riesgos: encuesta de los existentes
Gestión de riesgos y métodos de evaluación de riesgos. Departamento técnico de
- programas que incluyen consejos prácticos para la administración pública
Sección ENISA Gestión de Riesgos. https://www.enisa.europa.eu/publications/
unidades para fines de implementación del SGSI principios de gestión de riesgos e inventarios para gestión de riesgos riesgo
- direcciones de cooperación, intercambio de experiencias y buenos evaluación de métodos y herramientas . Accedido el 16 de noviembre de 2019.
ENISA (2017) Prioridades para el análisis de investigación de la ue de la estrategia estratégica ecso
prácticas entre instituciones.
agenda de búsqueda e innovación (SRIA). https://www.enisa.europa.eu/publications/
prioridades para la investigación . Accedido el 14 de marzo de 2019.
Para realizar las disposiciones anteriores, es razonable
Hoffman, LJ , 1982. Poufno scw Systemach Informacyjnych. WNT Polonia, Varsovia.
aumentar los desembolsos financieros para la implementación del SGSI en publicidad pública Howard, JD y Longstaff, TA (1998). Un lenguaje común para la seguridad informática.
unidades de ministerio. Además, hay un déficit de información de seguridad. incidentes https://www.osti.gov/servlets/purl/751004 . Accedido el 20 de octubre de 2019.
ISACA . (2013) COBIT 5 por riesgo. https://m.isaca.org/COBIT/Documents/COBIT- 5- for-
especialista en monedas en el mercado. La tarea básica de la educación superior
Vista previa de riesgos _ res _ eng _ 0913.pdf . Accedido el 14 de abril de 2019.
instalaciones es el desarrollo de programas y especializaciones ori ISO / CEI 27001: 2013, Tecnología de la información - Técnicas de seguridad - Información
para educar a los futuros expertos en seguridad de la información. los Sistemas de gestión de seguridad. Requisitos.
ISO / CEI 27005: 2018, Tecnología de la información - Técnicas de seguridad - Información
los autores recomiendan que los elementos contenidos en la Tabla 2 sean revisados
gestión de riesgos de seguridad.
flexionó en los planes de aprendizaje dentro de los programas que educan a futuros empleados
Janczewski, LJ, Cealli, W. (Eds.) (2015). Conflictos cibernéticos y estados pequeños, nuevo
ees de la administración pública. Zelanda 2015.
La cuestión de la gestión de la seguridad de la información en la administración pública Kar aback, B., Sogukpinar, I., 2005. ISRAM: método de análisis de riesgos de seguridad de la información.
Comput Secur. 24 (2), 147-159. https://www.sciencedirect.com/science/article/
Las instituciones de istración requieren más investigación. Esta necesidad es justi-
pii / S0167404804001890 . Accedido el 14 de abril de 2019 .
Fied por el hecho de que la seguridad no se considera un estado permanente. Leszczyna, R. , 2017. Metoda szacowania kosztu zarz ˛adzania bezpiecze nstwem infor-
Además, tanto en Polonia como en todo el mundo, hay problemas macji i jej przykład zastosowania w zakładzie opieki zdrowotnej Nr 46 (2017),
pp. 319-330. Varsovia Polonia
campos lemáticos en el diseño e implementación de SGSI. Análisis de
Liderman, K. , 2006. Zarz ˛adzanie ryzykiem jako element zapewnienia odpowied-
entorno de seguridad global de las instituciones de administración pública niego poziomu bezpiecze nstwa teleinformatycznego Nr 23/2006, pp. 44, War-
permite asumir que las amenazas evolucionarán y serán más avanzadas Sierra. Polonia
Liderman, K. , 2012. Bezpiecze nstwo Informacyjne. PWN Polonia, Varsovia.
Se desarrollarán métodos para realizar ciberataques. Administraciones publicas
Loch, KD, Carr, HH, Warkentin, M., 1992. Amenazas a los sistemas de información: a-
Tration también participará en un mayor desarrollo de la tecnología digital. realidad del día, comprensión de ayer. MIS Q. Vol. 16 (núm. 2), 173-186.
isation, que probablemente generará otra transformación de lo local https://www.researchgate.net/publication/220259924 _ Amenazas _ a _ Información _
Sistemas _ Hoy _ Realidad _ Ayer _ Comprensión . Accedido el 20 de octubre de 2019 .
gobiernos Se puede suponer que esto conducirá a cambios en
Mihailescu, VL, 2012. Análisis de riesgos y gestión de riesgos utilizando mehari. J. Appl.
múltiples niveles, entre otros: legal, organizacional, tecnológico. Autobús. Inf. Syst. 3 (4), 143–161. 2012 https://pdfs.semanticscholar.org/0d21/
Estas cuestiones abarcan un amplio espectro de naturaleza interdisciplinaria. f50d42a2699b4ab5174edf4 96 8b128b7d6b3.pdf . Accedido el 11 de abril de 2019 .
Página 11
EK Szczepaniuk, H. Szczepaniuk y T. Rokicki et al. / Informática y seguridad 90 (2020) 101709 11
Mo ZD ZE n-Marcinkowski, M . , 2012. Introducción al derecho administrativo polaco. CH Vogt, WP , Johnson, RB, 2015. El Diccionario SAGE de Estadística y Metodología. UNA
Arroyo. Polonia, Varsovia. Guía no técnica para las ciencias sociales. SAGE Publications, Estados Unidos.
NIK, 2016. Zapewnienie Bezpiecze nstwa Działania Systemów Informatycznych Yazar, Z., 2002. Una herramienta cualitativa de análisis y gestión de riesgos - CRAMM.
Wykorzystywanych Do Realizacji Zada n publicznych. Informacja o wynikach Instituto SANS. https://pdfs.semanticscholar.org/3743/6a533bcbcd1bb420 0 038
Kontroli NIK Polonia, Varsovia https://www.nik.gov.pl/kontrole/P/15/042/KPB/ . 3eae445840e5cefc.pdf . Accedido el 11 de abril de 2019 .
NIST. (2018) Marco de gestión de riesgos para sistemas y organizaciones de información. El Informe Global de Tecnología de la Información. (2016) Crecimiento y empleo en un hiper-
iones Accedido el 14 de abril de 2019. doi: 10.6028 / NIST.SP.800-37r2 . mundo conectado palabra foro económico e INSEAD. Ginebra. http: //www.cdi.
DO L 119/1 de 4.5.2016. (2016) Reglamento (UE) 2016/679 del Parlamento Europeo org.pe/InformeGlobaldeInformacion/doc/WEF _ GITR _ Full _ Report.pdf . Acceso 20
ment y del consejo de 27 de abril de 2016 sobre la protección de las personas físicas Octubre de 2019.
con respecto al procesamiento de los datos personales y a la libre circulación WEF (2019). El informe de riesgos globales 2019. 14a edición. focos económicos mundiales
de dichos datos, y derogando la directiva 95/46 / CE (Reglamento general de protección de datos Ron. Ginebra. http://www3.weforum.org/docs/WEF _ Global _ Risks _ Report _ 2019.
ción). pdf . Accedido el 13 de marzo de 2019.
DO UE L 191/1 de 19.7.2016. (2016) Directiva (UE) 2016/1148 del Parlamento Europeo- Zibran , MF (2007). Prueba de independencia de CHI-Squared. https: //pdfs.semanticscholar.
ment y del consejo de 6. julio de 2016 sobre medidas para un alto común org / 0822 / f125a21cfbd05e5e980c80174 99fb96656 8f.pdf . Accedido el 05 de abril de 2019.
nivel de seguridad de redes y sistemas de información en todo el sindicato.
Schatz, D., Bashroush, R., 2017. Valoración económica para la inversión en seguridad de la información.
Dr in˙z. Edyta Karolina Szczepaniuk: Doctora en Ciencias Sociales en el campo de la se-
ment: una revisión sistemática de la literatura. Inf. Syst. Frente. Vol. 19 (número 5), 1205–
ciencias de la curiosidad Graduado con especializaciones en los campos: administración, seguridad nacional
1228. https://link.springer.com/article/10.1007%2Fs10796- 016- 9648- 8 . Accedido
Rity y ciencias de la computación. Ella es académica en la Universidad de la Fuerza Aérea de Polonia.
17 de abril de 2019 .
(Polonia). Dentro del alcance de sus intereses científicos, entre otros, hay:
Schmittner, Ch., Gruber, T., Puschner, PP y Schoitsch, E. (2014). Aplicación de seguridad
seguridad de la información, ciberseguridad, administración electrónica, sistema de información gerencial
del modo de falla y análisis de efectos (FMEA) en seguridad informática, confiabilidad,
Tems, bases de datos y programación de sistemas. Autor de numerosas publicaciones en
y seguridad: 33ª conferencia internacional. pp. 310-325. Florencia Italia.
Este alcance.
https://www.researchgate.net/publication/290751391 _ Seguridad _ Aplicación _ de _
Falla _ Modo _ y _ Efecto _ Análisis _ FMEA. Accedido el 11 de abril de 2019.
Dr. Hubert Szczepaniuk: Graduado de estudios de doctorado en el campo de la ciencia de la computación.
Sienkiewicz, P . , 1989. Systemy Kierowania. Wiedza Powszechna. Polonia, Varsovia.
inc. en ciencias técnicas en la Facultad de Cibernética de la Universidad Militar de
Sienkiewicz, P. , 1995. Analiza Systemowa. Bellona Polonia, Varsovia.
Tecnología en Varsovia. En el año 2015 defendió una disertación de doctorado. Él
Sienkiewicz, P. , 2010. Análisis de sistemas de gestión de seguridad. Scientif. J. Maritime
es un empleado académico de la Universidad de Ciencias de la Vida de Varsovia WULS-SGGW
Univ. Szczecin 24 (96), 93–99 2010.
En Varsovia. Los intereses de investigación se aplican a la informática, la gestión y la calidad.
Sienkiewicz, P . , 2013. 25 Wykładów. AON Polonia, Varsovia.
ity sciences, ciberseguridad. Autor de numerosas publicaciones en este ámbito. Su
Sienkiewicz, P . , 2015. Podstawy en ˙zynierii systemów bezpiecze nstwa. En:
La actividad también incluye programación en Python, Java y C #.
Sienkiewicz, P. (Ed.), In ˙zynieria Systemów Bezpiecze nstwa. PWE. Polonia,
Varsovia, págs. 4–18.
https://translate.googleusercontent.com/translate_f 8/9
17/7/2020 Evaluación de la seguridad de la información en la administración pública.
Sklavos, N., Souras, P., 2006. Modelos económicos y enfoques de la información. Profesor dr hab. Bogdan Klepacki: Jefe del Departamento de Logística en el
seguridad para redes de computadoras. En t. J. Netw. Secur. Vol. 2 (núm. 1), 14-20. https: Universidad de Ciencias de la Vida de Varsovia, ex vicerrector de la Universidad de la Vida de Varsovia
//pdfs.semanticscholar.org/16ef/df667e5aee3270d5c2d7987c05dcd15876c2.pdf . Ciencias. Doctor honoris causa de la Universidad de Agricultura de Cracovia. Autor
Accedido el 18 de abril de 2019 . de 570 artículos y libros sobre economía, gestión y logística, adaptación de
Sta nczyk, J., 1996. Współczesne Pojmowanie Bezpiecze nstwa. PAN. Polonia, Varsovia. empresas a las cambiantes condiciones económicas. Promotor en 27 cursos de doctorado. Él
Stokłosa, J . , Bilski, T., Pankowski, T., 2010. Bezpiecze nstwo Danych w Systemach In- cooperó con universidades de varios países, un participante activo de varios
formatycznych PWN Polonia, Poznan. docena de extranjeros, así como profesor visitante. Logró 2 internacionales y 9 na-
Susanto, H., Almunawar, MN, Tuan, Y., 2011. Gestión de seguridad de la información Temas de investigación nacional. Miembro del Comité de Ciencias Económicas de Polonia.
estándares del sistema: un estudio comparativo de los cinco grandes. En t. J. Electr. Com- Academia de Ciencias.
poner. Sci. IJECS-IJENS Vol: 11. No: 05, 2011 https://www.researchgate.net/
publicación / 2284 4 4915 _ Información _ Seguridad _ Gestión _ Sistema _ Normas _ Dr hab. in˙z. Tomasz Rokicki: En 2006 obtuvo el título académico de Ph.D. de
Un _ Estudio _ Comparativo _ de _ los _ Cinco Grandes . Accedido el 20 de abril de 2019 . ciencias económicas en términos de economía otorgadas por una resolución de la Agricultura
Szczepaniuk, EK . , 2016. Bezpiecze nstwo Struktur Administracyjnych w Warunkach Junta del Departamento de Economía de la Universidad de Ciencias de la Vida de Varsovia (WULS -
Zagro ˙ze n Cyberprzestrzeni Pa nstwa. AON Polonia, Varsovia. SGGW). Desde 2007 ha estado trabajando como profesor asistente en la Facultad de
Tsiakis, T., Stephanides, G., 2005. El enfoque económico de la seguridad de la información. Ciencias económicas en el WULS. El 27 de febrero de 2018 obtuvo un posdoctorado.
Comput Secur. 24 (2), 105-108. 2005 https://www.sciencedirect.com/science/ grado - habilitación. Sus logros académicos contienen 10 monografías, más de 120
artículo / pii / S01674048050 0 0209? a través de% 3Dihub . Accedido el 19 de abril de 2019 . Artículos en revistas científicas y monografías colectivas. Se aplican intereses de investigación.
Tupa, J., Steiner, F., 2006. Implementación del sistema de gestión de seguridad de la información. a economía, (micro y macro economía), geografía económica, logística (sobre todo
tem en la pequeña organización sanitaria. J. Telecommun. Inf. Technol. 52-58. problemas de transporte), gestión de la información.
https://www.il-pib.pl/czasopisma/JTIT/2006/2/52.pdf . Accedido el 21 de abril de 2019 .
https://translate.googleusercontent.com/translate_f 9/9