Gu�a metodol�gica para obtener una certificaci�n de entidades regulatorias para lograr una estabilidad en la seguridad de la informaci�n del sector comercial Methodological guide to obtain a certification from regulatory entities to achieve stability in the security of information in the commercial sector |
Diego Jos� Esquivel Quir�s
Universidad Latina, Costa Rica
djeq1995@hotmail.com
Recibido 12/oct/2020
Aprobado 20/nov/2020
Resumen-
Este art�culo trata del desarrollo de una gu�a inicial para las empresas que quieran implementar seguridad en sus sistemas respecto a la ISO 27002 dentro del sector de comercial y que sean parte del comercio electr�nico, para que puedan evaluar diferentes medidas con la idea de que m�s adelante puedan escoger y mejorar sus controles de seguridad. Se establecen en cinco cap�tulos, el primero se trata del marco introductorio en donde b�sicamente de los objetivos del proyecto y todos los temas relacionados a la organizaci�n del proyecto como del porqu� se escogi� ese tema y esa norma, seguidamente el siguiente cap�tulo, el marco te�rico como su nombre lo dice, es donde se va a plantear toda la teor�a del proyecto para formalizar y tener una base te�rica. El marco metodol�gico ser� el capitulo en el cual se enfoca en la informaci�n y el instrumento para conseguir convertir datos en informaci�n. Una vez concluido la siguiente secci�n es el an�lisis de la informaci�n donde precisamente pasan de ser datos a informaci�n. Por �ltimo, encontramos la propuesta que es la informaci�n interpretada en un conjunto de medidas e ideas de como se debe de formalizar la seguridad en el sector seleccionado.
Palabras Claves: Metodolog�a, seguridad, certificaci�n, ISO 27002.
Abstract Context:
This article deals with the development of an initial guide for companies that want to implement security in their systems with respect to ISO 27002 within the commercial sector and that are part of electronic commerce, so that they can evaluate different measures with the idea that later They can choose and improve their security controls. They are established in five chapters, the first is the introductory framework where basically the objectives of the project and all the issues related to the organization of the project as well as why that topic and that standard were chosen, then the next chapter, the theoretical framework as its name says, it is where the entire theory of the project will be raised to formalize and have a theoretical basis. The methodological framework will be the chapter in which it focuses on the information and the instrument to convert data into information. Once the next section is concluded, it is the analysis of the information where precisely they go from being data to information. Finally, we find the proposal that is the information interpreted in a set of measures and ideas on how security should be formalized in the selected sector.
Keywords: Methodology, security, certification, ISO 27002.
I. INTRODUCCI�N
Dentro del sector comercial de Costa Rica existen muchas fisuras en la seguridad para demostrarlas se realiz� una encuesta para demostrar que el nivel de seguridad en el comercio electr�nico del pa�s difiere con los protocolos que sugieren las normas de seguridad de la informaci�n. Siguiendo en contexto del proyecto para dejar en evidencia los posibles que tienden a generar las empresas con el manejo de informaci�n se utilizo la norma ISO 27002 que es la representante en las buenas pr�cticas del manejo de la informaci�n, por ello se utilizo para crear una especie de gu�a en la cual ser� un base para que futuras empresas puedan crear y continuar creando medidas de protecci�n de informaci�n como bien se detallo en la sinopsis el trabajo se dividen en cinco �reas introductorio, te�rico, metodol�gico, an�lisis y propuesta, en cada uno de ellos se desarrollan puntos clave en la investigaci�n por lo tanto cada cap�tulo est� integrado en una forma que genera un avance importante en la investigaci�n de protocolos de seguridad, adem�s de orientar a las empresas a complementar un nivel satisfactorio en las �reas que se mencionaron en el proyecto. Sin embargo, es ideal que esto se tomen como los primeros pasos que las empresas deben de seguir, pero no quedarse atacados solo con este documento, sino gracias a este documento crecer y mejorar sus controles de seguridad para el resguardo de la informaci�n.
II. CONTEXTO DE SEGURIDAD EN LAS EMPRESAS DE COSTA RICA PARA EL SECTOR DEL COMERCIO ELECTR�NICO
El objetivo general de esta investigaci�n Dise�ar una gu�a metodol�gica para obtener una certificaci�n de entidades regulatorias para lograr una estabilidad en la seguridad de la informaci�n del sector de comercio electr�nico, basados en las buenas pr�cticas del ISO 27002, en Costa Rica en el a�o 2021.
Antes de que se mencione la metodolog�a es importante se�alar definici�n es la norma que se utiliza en el documento es la (Organizaci�n Internacional de Normalizaci�n) INTE ISO IEC 27002 del a�o 2016. ��
Respecto a la metodolog�a seleccionada se pens� en la idea de recolectar datos� directamente de diferentes tipos de negocios sin embargo, se ten�a una condici�n independientemente del producto o servicio que ofrec�a deb�a de ser un negocio que fuera parte del comercio electr�nico, una vez cumplida esa condici�n, se observo que la mejor herramienta era la encuesta porque pod�a brindar un camino especifico que nos ayudar�a a preguntar cuestiones muy espec�ficas de la seguridad, por supuesto que ten�an que realizarse an�nimas ya que, si la informaci�n ca�a en manos equivocadas las empresas pod�a ser victimas de ataques y resolver un problema no es crear uno diferente, una vez enviadas las encuestas se recogen los datos y se interpretan con diferentes opciones junto con la norma para crear un respuesta ante la situaci�n que los datos se van revelando hasta que se vuelven informaci�n un ejemplo sencillo es que una de las preguntas que se solicito si el negocio posee alguna medida para mitigar un evento, el 70% no pose�a una respuesta ante incidentes evidentemente es preocupante pero ayudara mucho para crear luego un conjunto de protocolos para que los negocios puedan mejorar su seguridad.
�III. RESULTADOS
3
Es importante resaltar que una de las mejores opciones era la ense�anza de la seguridad por las buenas practicas que genera en las empresas que pueden implementar esta medida.
4
Si tenemos en cuenta que del 70% no posee una medida de seguridad para un evento es precisamente se busca visualizar los posibles peligros que pueden ocurrir.
Pregunta 5
Esta pregunta nos ayudara a comprender la necesidad de un control de seguridad ante alg�n proveedor.
6
M�s de lo mismo la delicada situaci�n de no poseer un procedimiento ante alg�n robo de informaci�n puede llegar a perjudicar gravemente a la empresa.
7
Se refleja que si se conoce requisitos m�nimos para ofrecer la modalidad de teletrabajo.
8
Se debe de desarrollar de manera urgente contratos que la empresa pueda usar para salvaguardarse a ella y a la informaci�n.
Pregunta 10
Esta sin duda es preocupante porque si un empleado encuentra alg�n problema por cual medio podr� reportar la aver�a para mejorar la empresa.
�IV. DISCUSI�N
En esta secci�n es donde se interpreta los datos recibidos de las encuestas, se debe definir primeramente que la discusi�n se fragment� en siete partes con la intensi�n de cubrir todos los puntos de las investigaciones los siete puntos son: las buenas pr�cticas, controles de acceso, Documentaci�n de proveedores, seguridad en teletrabajo, Acuerdos de no divulgaci�n, inventario de activos y reporte de eventos. Estos puntos son los que se desarrollan a lo largo de la investigaci�n como parte de generar los niveles de seguridad de cada uno de esos objetivos del trabajo. Como primer punto de las buenas pr�cticas se menciona el trabajo de (Mej�a et al, 2016) que nos refleja la idea de cuales son las practicas que en una empresa deber�an de ser totalmente normales, se menciona el uso de antivirus y una parte imprescindible que es el uso de software legal para que se tenga una idea de lo que es, b�sicamente es comprar el software y instalar en la empresa un programa pirata porque puede provocar problemas, otro punto fundamental que toca es la actualizaci�n de equipos, el uso de backups, el noble uso de las contrase�as seguras y el cifrado de datos. Por otra parte, la Organizaci�n Internacional de Normalizaci�n (ISO, 2016) menciona todos esos puntos y resalta la importancia de cada uno de ellos en especial el uso de contrase�as seguras y los controles criptogr�ficos necesarios para la protecci�n contra los c�digos maliciosos. Como el siguiente objetivo de la interpretaci�n de datos los controles de acceso, (Figueroa et al,2018) nos comenta de la importancia de los tres pilares de la informaci�n que son la confidencialidad, la integridad y la disponibilidad haciendo hincapi� de que una falta de controles de acceso puede provocar una filtraci�n de informaci�n y precisamente la pregunta a la que est� arraigada a este punto varias empresas pueden ser vulneradas en cualquier momento.
De acuerdo con (ISO, 2016) nos hablan sobre la necesidad de estos controles y que no solo es digital sino tambi�n f�sica por lo tanto nos brinda varios puntos como roles de acceso y la existencia de un registro en el cual se documenten todos los accesos ya sean debidos como indebidos. Dentro de la parte tres la documentaci�n de los proveedores, (ISO, 2016) nos brinda maneras de como establecer una conexi�n con los proveedores y nos mencionan por ejemplo el realizar siempre un nivel de desempe�o con el proveedor o bien registrar toda la documentaci�n brindada por ellos. La siguiente parte la seguridad del teletrabajo es una realidad que en 2021 es com�n ver muchas empresas ejercer esta modalidad en buena parte gasta menos dinero en emplear eso, sin embargo la (ISO, 2016) deja claro que un contrato o bien una mala gesti�n de permisos en el teletrabajo puede provocar que dicha empresa pierda m�s dinero y reputaci�n de lo que pueden creer pero, tambi�n nos da los tips para crear controles �ptimos que se pueden establecer en los contratos y las medidas que debe optar el negocio para disminuir un problema en esa �rea. En la quinta parte los acuerdos de no divulgaci�n en el sector del comercio electr�nico es fundamental tener estos tipos de contratos para evitar que informaci�n se filtre en la competencia por ello, el (ISO, 2016) nos menciona la importancia de estos conceptos y el como incluirlos en los contratos, adem�s de respaldarlas con pol�ticas para que la empresa tenga herramientas para defenderse de ese tipo de problemas. En este punto el numero seis el inventario de activos nos importante hacerlos, pero, el (ISO, 2016) dice que no es la �nico que se debe de hacer, debe existir documentaci�n del cuando se realiz�, el tener un control de los activos nos ayudara a visualizar si por ejemplo un equipo no posee garant�a o si se tiene alg�n problema. Como ultimo punto y termina uniendo a todos los dem�s el reporte de fallos se encuentra en cada uno de los puntos anteriores por la simple finalidad de que es indispensable para mantener medidas de seguridad precisamente el reporte de fallos es una medida en pura regla y como podemos observar la �ltima pregunta conten�a este herramienta de seguridad y muchas empresas no ten�an por ello, el (ISO, 2016) nos desarrolla la idea de que un problema se puede efectuar de diferentes maneras y dice la importancia de aplicarlo en cada una de las �reas en que se desarrolle la empresa para poder optar por un conjunto de controles de seguridad que ayuden a levantarse a la empresa cuando ocurra alg�n evento que intente da�ar al negocio.����
V. Conclusi�n
La investigaci�n concluye que las necesidades de diferentes empresas del sector del comercio electr�nico requieren atenci�n desde el punto de vista de seguridad, se demuestra como existen empresas sin controles m�nimos de seguridad por diferentes razones ya sea tiempo o dinero se abren muchas brechas a la seguridad y eso ocurre que atacantes vea posibles flancos por donde adentrarse y sustraer informaci�n para as� venderla despu�s, se discuten desde diferentes puntos de vistas y en conjunto con la norma ISO 27002 acerca de los diferentes reglas o pol�ticas que deber�a tener una empresa para solventar un problema con la seguridad. De igual forma se logra recabar datos con encuestas que posterior de conseguir los datos se procesan para obtener la informaci�n con la que se desarrolla un conjunto de consejos que le brinda una oportunidad para que negocios que quieran salvaguardar la informaci�n lo puedan realizar en menor medida y menor costo sin embargo, al ser solo el comienzo se recomienda a las empresas utilizar esta gu�a para poder eventualmente crear sus propias pol�ticas y mejorar para lograr un nivel por encima de la media.
�VI. REFERENCIAS
accensit. (Agosto de 2017). accensit. Recuperado de www.accensit.com: https://www.accensit.com/blog/seguridad-perimetral-informatica-informacion-necesaria/
akamai. (s.f.). akamai. Recuperado de www.akamai.com: https://www.akamai.com/es/es/resources/cyber-attacks.jsp
� BIBLIOGRAPHY Arteaga, G. (Octubre de 2020). www.testsiteforme.com. Obtenido de Una gu�a completa de t�cnicas de investigaci�n cuantitativa: https://www.testsiteforme.com/tecnicas-de-investigacion-cuantitativa/
�Business Platform. (s.f.). sistel. Recuperado de www.sistel.es:���������������������� https://www.sistel.es/seguridad-gsuite-como-protege-google-mis-datos
caser. (2018). caser. Recuperado de www.caser.es: https://www.caser.es/seguros-empresas/articulos/que-es-un-ciberataque-y-tipos
Caurin, J. (Junio de 2018). emprendepyme. Recuperado de www.emprendepyme.net: https://www.emprendepyme.net/politicas-de-seguridad.html
cetmetacom. (s.f.). Metacom. Recuperado de cetmetacom.cl: https://cetmetacom.cl/ftecnicas/estandar-tia-942.pdf
cisco. (s.f.). cisco. Recuperado de www.cisco.com: https://www.cisco.com/c/es_mx/products/security/common-cyberattacks.html
computing. (Diciembre de 2018). computing. Recuperado de www.computing.es: https://www.computing.es/infraestructuras/noticias/1109344001801/importancia-del-software-de-monitoreo-de-red-empresa.1.html
Daccach, J. C. (s.f.). Estructura Inform�tica. Obtenido de www.deltaasesores.com: https://www.deltaasesores.com/estructura-informatica/#:~:text=La%20estructura%20inform%C3%A1tica%20de%20una,nivel%20de%20complejidad%20y%20beneficio.
DAVANTISEDITOR. (Enero de 2019). davantis. Recuperado de www.davantis.com: https://www.davantis.com/es/content/blog/que-es-la-seguridad-perimetral-y-cuales-son-sus-beneficios
econectia. (Agosto de 2018). econectia. Recuperado de www.econectia.com: https://www.econectia.com/blog/mejores-herramientas-seguridad-informatica
Equipo de Expertos. (Setiembre de 2018). universidadviu. Recuperado de www.universidadviu.com: https://www.universidadviu.com/seguridad-digital-nivel-global-y-definiciones/
ESIC Business & Marketing School. (Enero de 2018). esic. Recuperado de www.esic.edu: https://www.esic.edu/rethink/tecnologia/tipos-de-seguridad-informatica-cuales-existen
Figueroa-Su�rez, J., Rodr�guez-Andrade, R., Bone-Obando, C., & Saltos-G�mez, J. (2018). La seguridad inform�tica y la seguridad de la informaci�n. Polo del Conocimiento, 2(12), 145-155. doi:� HYPERLINK "http://dx.doi.org/10.23857/pc.v2i12.420� http://dx.doi.org/10.23857/pc.v2i12.420
gbadvisors. (Abril de 2019). gb-advisors. Recuperado de www.gb-advisors.com: https://www.gb-advisors.com/es/comprar-software-de-seguridad-informatica/
hacknoid. (s.f.). hacknoid. Recuperado de hacknoid.com: https://hacknoid.com/hacknoid/importancia-de-la-seguridad-informatica-de-las-empresas/
Hernandez, C. (Julio de 2020). Instituto Nacional de contadores publicos. Recuperado de www.incp.org: https://www.incp.org.co/que-tipos-de-ciberataques-existen/
Hernandez, M. (Septiembre de 2019). hiberus. Recuperado de /www.hiberus.com: https://www.hiberus.com/crecemos-contigo/uso-de-los-apm-monitoreo-del-rendimiento-de-aplicaciones/
INCIBE. (Enero de 2019). incibe. Recuperado de www.incibe.es: https://www.incibe.es/protege-tu-empresa/blog/sabes-mejorar-ciberseguridad-tu-organizacion-implanta-plan-director
INCIBE. (s.f.). incibe. Recuperado de www.incibe.es: https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-informacion
isotools. (Junio de 2019). isotools. Recuperado de www.isotools.org: https://www.isotools.org/2019/06/11/iso-27002-la-importancia-de-las-buenas-practicas-en-los-sistemas-de-seguridad-de-la-informacion/
isotools. (s.f.). isotools. Recuperado de www.isotools.org: https://www.isotools.org/normas/riesgos-y-seguridad/iso-27001/
itdigitalsecurity. (Septiembre de 2018). itdigitalsecurity. Recuperado de www.itdigitalsecurity.es: https://www.itdigitalsecurity.es/vulnerabilidades/2018/09/los-ciberataques-internos-preocupan-a-casi-la-mitad-de-los-responsables-de-seguridad
Jim�nez, J. (Mayo de 2020). redeszone. Recuperado de www.redeszone.net: https://www.redeszone.net/tutoriales/seguridad/consejos-mantener-segura-red-empresarial/
Jim�nez, K. C. (Noviembre de 2016). elfinancierocr. Recuperado de www.elfinancierocr.com: https://www.elfinancierocr.com/tecnologia/las-claves-de-israel-para-resguardar-su-seguridad-informatica/UQVWGZNCRNGOLGZQVNSMST3A4U/story/
LASKURAIN, A. (Enero de 2017). captio. Recuperado de www.captio.net: https://www.captio.net/blog/recomendaciones-al-aplicar-politicas-de-seguridad-en-los-viajes-de-empresa
Mac�a, B. (Junio de 2019). neamaster. Recuperado de www.neamaster.com: https://www.neamaster.com/importancia-de-la-seguridad-informatica/
Mej�a.A, Mej�a.A.F, Bernal.A.F."Buenas pr�cticas de seguridad inform�tica en microempresas colombianas". Revista CIES,Vol.7,pp. 15-26. 2016.
http://www.escolme.edu.co/revista/index.php/cies/article/view/72/69
Mercado, R. B. (Agosto de 2018). Seguridad F�sica de TI. Obtenido de www.rberny.com: https://www.rberny.com/gestion-de-ti/seguridad-fisica-de-ti/
Ministerio de Ciencia, Tecnolog�a y Telecomunicaciones. (2017). micitt. Recuperado de https://micitt.go.cr: https://micitt.go.cr/sites/default/files/estrategia-nacional-de-ciberseguridad-costa-rica-19-10-17.pdf
Organizaci�n Internacional de Normalizaci�n. (2016). INTE/ISO/IEC 27002:2016 T�cnicas de seguridad. C�digo de buenas pr�cticas para controles de seguridad de la informaci�n. (Obra original publicada en 2016)
Otzen, Tamara, & Manterola, Carlos. (2017). T�cnicas de Muestreo sobre una Poblaci�n a Estudio. International Journal of Morphology, 35(1), 227-232. � HYPERLINK "https://dx.doi.org/10.4067/S0717-95022017000100037� https://dx.doi.org/10.4067/S0717-95022017000100037
Pacheco, J. (Octubre de 2019). www.webyempresas.com. Obtenido de M�todo Comparativo (definici�n, usos, caracter�sticas): https://www.webyempresas.com/metodo-comparativo/
Raffino, M. E. (Agosto de 2020). https://concepto.de/. Obtenido de �Qu� es el m�todo anal�tico?: https://concepto.de/metodo-analitico/#:~:text=Caracter%C3%ADsticas%20del%20m%C3%A9todo%20anal%C3%ADtico,Verificable%20emp%C3%ADricamente.
Ram�res, I. (Mayo de 2020). xataka. Recuperado de www.xataka.com: https://www.xataka.com/basics/que-es-una-conexion-vpn-para-que-sirve-y-que-ventajas-tiene
riesgoscero. (s.f.). riesgoscero. Recuperado de www.riesgoscero.com: https://www.riesgoscero.com/academia/especiales/guia-para-gestionar-un-plan-de-continuidad-de-negocio-segun-la-iso-22301
Rivas, G. (Enero de 2019). gb-advisors. Recuperado de www.gb-advisors.com: https://www.gb-advisors.com/es/seguridad-digital-frente-a-las-amenazas/
Rold�n, P. N. (Diciembre de 2016). economipedia. Recuperado de https://economipedia.com/: https://economipedia.com/definiciones/equilibrio-de-nash.html
S�nchez-Paredes.G, Montenegro-Ram�rez.G,Medina-Chicaiza.P."Teletrabajo una propuesta de innovaci�n en productividad 9 empresarial". 593 Digital Publisher CEIT, ISSN-e 2588-0705, Vol. 4, N�. 5-1, 2019,p�gs. 91-107
https://dialnet.unirioja.es/servlet/articulo?codigo=7144041
si-mad. (Noviembre de 2017). actualizaci�n de equipos informaticos. Obtenido de www.si-mad.com: http://www.si-mad.com/actualizacion-de-equipos-informaticos/
seguridadcra. (s.f.). seguridadcra. Recuperado de www.seguridadcra.com: https://www.seguridadcra.com/control-de-acceso/?gclid=CjwKCAjw1ej5BRBhEiwAfHyh1GAQtMj35PMmTDswxJXYrsdqAQlzhoC5WG20d2CEAYFkqI0X47-PfhoCAOIQAvD_BwE
Torres, M., Paz, K., y Salazar, F. G. (s.f.). M�todos de recolecci�n de datos para una investigaci�n. Recuperado de http://fgsalazar.net/LANDIVAR/ING-PRIMERO/boletin03/URL_03_BAS01.pdf
Unir. (Mayo de 2020). unir. Recuperado de www.unir.net: https://www.unir.net/ingenieria/revista/noticias/politicas-seguridad-informatica/549204996232/
urbisegur. (Marzo de 2020). urbisegur. Recuperado de urbisegur.com: https://urbisegur.com/vigilante-de-seguridad-funciones/