Medidas de seguridad para protección de la información sensible en centros de desarrollo de software

Abstract

La información es fundamental dentro de los activos informáticos para cualquier organización, enfrentando diariamente numerosas amenazas de seguridad tanto internas como externas, poniendo en riesgo su integridad, disponibilidad y confidencialidad. En entidades cubanas, como empresas y universidades, estas amenazas se encuentran presente en sus áreas, incluidos los centros de desarrollo de software. Todas estas sedes tienen implementados Sistemas de Gestión de la Seguridad Informática (SGSI) a partir de las normativas de seguridad vigentes, pero no contemplan a fondo la protección de la información crítica. Para este trabajo se realizó una evaluación del estado de la seguridad informática y de los riesgos a los bienes informáticos que se necesita proteger para la selección de controles de específicos seguridad. El objetivo de la presente investigación consiste en realizar una propuesta de medidas de seguridad informática para la protección de la información sensible en los centros de desarrollo de software, a partir de los elementos obtenidos de la familia de normas ISO/IEC 27000 y los decretos y reglamentaciones que rigen la seguridad informática en Cuba.

Information is essential within computing assets for any organization, facing numerous internal and external security threats on a daily basis, jeopardizing its integrity, availability and confidentiality. In Cuban entities, such as companies and universities, these threats are present in their areas, including the software development centers. All these locations have Computer Security Management Systems (ISMS) implemented based on current security regulations, but do not fully cover the protection of critical information. For this work, an assessment was made of the state of computer security and of the risks to computer assets that need to be protected for the selection of specific security controls. The objective of this research is to make a proposal of computer security measures for the protection of sensitive information in software development centers, based on the elements obtained from the ISO/IEC 27000 standards family and decrees and regulations governing computer security in Cuba.