Content uploaded by Luis Enrique Sánchez Crespo
Author content
All content in this area was uploaded by Luis Enrique Sánchez Crespo on Jun 11, 2014
Content may be subject to copyright.
Desarrollando un Modelo de Madurez para la
Gesti´on de la Seguridad de los Sistemas de
Informaci´on en las PYMES
Luis Enrique S´anchez1, Daniel Villafranca1, Eduardo Fern´andez-Medina2, and
Mario Piattini2
1SICAMAN Nuevas Tecnolog´ıas. Departamento de I+D
Juan Jos´e Rodrigo, 4. Tomelloso, Ciudad Real, Espa˜na Universidad
lesanchez, dvillafranca@sicaman-nt.com
2Castilla-La Mancha, Grupo de Investigaci´on Alarcos,
Departamento de Tecnolog´ıas y Sistemas de Informaci´on
Paseo de la Universidad 4 - 13071, Ciudad Real, Espa˜na.
Eduardo.FdezMedina, Mario.Piattini@uclm.es
Resumen Para que las empresas puedan utilizar las tecnolog´ıas de la
informaci´on y las comunicaciones con garant´ıas, es necesario disponer de
un sistema de gesti´on de la seguridad adecuado, pero esto requiere que
las empresas conozcan en todo momento su nivel de madurez de seguri-
dad actual y hasta qu´e punto debe evolucionar su seguridad. Los modelos
de madurez actuales se est´an mostrando ineficientes en las peque˜nas y
medianas empresas, las cuales cuentan con una serie de problemas adi-
cionales a la hora de implantar sistemas de gesti´on de la seguridad. En
este art´ıculo realizamos un an´alisis de los modelos de madurez orienta-
dos a la seguridad que existen en el mercado, analizando sus principales
inconvenientes en las PYMES y mostramos nuestra propuesta, un nuevo
mode-lo orientado a las PYMES utilizando como marco de referencia la
norma ISO/IEC 17799. Este enfoque est´a siendo aplicado directamente
a casos reales, consiguiendo as´ı una constante mejora en su aplicaci´on.
1. Introduction
La informaci´on y los procesos que apoyan los sistemas y las redes son los
activos m´as importantes para cualquier organizaci´on [1], y suponen el principal
factor dife-renciador en la evoluci´on de una compa˜n´ıa. Estos activos est´an someti-
dos a riesgos de una gran variedad, que pueden afectar de una forma cr´ıtica a las
empresas. Existen multitud de fuentes que arrojan cifras que muestran la mag-
nitud de los problemas ocasionados por la falta de unas medidas de seguridad
adecuadas [2]. De esta forma, el CGI/FBI Computer Crime and Security Survey
[3] estima que el total de perdidas en los EEUU en el 2004 como resultado de las
brechas de seguridad fue de 141.496.560$. Pero la mayor parte de las p´erdidas no
se conocen, ya que la falta de controles adecuados para realizar el seguimiento
de la informaci´on imposibilita a las empresas el conocer la existencia de fugas
de informaci´on, y por tanto poder cuantificuantificar el coste de las mismas.
Desarrollando un Modelo de Madurez para la Gesti´on de la Seguridad ... 339
340 Luis Enrique S´anchez et alter
Desarrollando un Modelo de Madurez para la Gesti´on de la Seguridad ... 341
342 Luis Enrique S´anchez et alter
Desarrollando un Modelo de Madurez para la Gesti´on de la Seguridad ... 343
344 Luis Enrique S´anchez et alter
Desarrollando un Modelo de Madurez para la Gesti´on de la Seguridad ... 345
346 Luis Enrique S´anchez et alter
Desarrollando un Modelo de Madurez para la Gesti´on de la Seguridad ... 347
348 Luis Enrique S´anchez et alter