Modelo para identificar riesgos de seguridad de la información a partir de la analítica de datos

Abstract

En un momento donde la transformación digital es imparable, la dependencia de la tecnología, datos y de los servicios interconectados para su procesamiento y almacenamiento va en crecimiento continuo, surgen los riesgos de seguridad de la información derivados del aprovechamiento por parte de un atacante de las vulnerabilidades existentes en los activos (NTC ISO/IEC 27005, 2009). Por esto, es preocupación del gobierno de las organizaciones, que se le dé importancia a mantener la confidencialidad, integridad, y disponibilidad de los activos de información, mediante un enfoque basado en riesgos y que este proceso sea tomado como un componente importante para el gobierno corporativo, toma de decisiones, logro de los objetivos estratégicos y competitividad (ISACA, COBIT® 5 para Riesgos, 2013). El propósito de este documento es presentar la aplicación de la analítica de datos, adoptada como medio para identificar escenarios de riesgos de seguridad de la información de las organizaciones con infraestructura tecnológica, procesos y personas como recursos para el desarrollo de sus actividades, lo cual le contribuirá al diseño y el establecimiento de medidas prioritarias, que proporcionen soluciones para tener asegurada la superficie de ataque y proteger la información.

At a time when digital transformation is unstoppable, the dependence on technology, data and interconnected services for processing and storage is continuously growing, information security risks arise from an attacker taking advantage of existing vulnerabilities in the assets (NTC-ISO/IEC 27005, 2009). For this reason, it is a concern of the government of organizations, that importance is given to maintain the confidentiality, integrity, and availability of information assets, through a risk-based approach and that this process is taken as an important component for corporate governance, decision making, achievement of strategic objectives and competitiveness (ISACA, COBIT® 5 for Risks, 2013). The purpose of this document is to present the application of data analytics, adopted as a means to identify information security risk scenarios of organizations with technological infrastructure, processes and people as resources for the development of their activities, which will contribute to the design and establishment of priority measures that provide solutions to secure the attack surface and protect information.