Fortaleciendo la Protección de Datos: Implementación de ISO 27001 en Empresas Prestadoras de Servicio de Acceso a Internet para Mitigar Riesgos de Seguridad

• Katherine Adriana Merino Villa ^[1] ; Carmen Elena Mantilla Cabrera ^[1] ; Ruth Genoveva Barba Vera ^[1] ; Cristian Fabricio Viteri Silva ^[2] ; Byron Ernesto Vaca Barahona ^[1]
  1. [1] Escuela Superior Politécnica de Chimborazo, Ecuador
  2. [2] Investigador independiente, Riobamba, Ecuador
• Localización: RISTI: Revista Ibérica de Sistemas e Tecnologias de Informação, ISSN-e 1646-9895, Nº. Extra 66, 2024, págs. 550-566
• Idioma: español
• Títulos paralelos:
  • Strengthening Data Protection: Implementation of ISO 27001 in Internet Access Companies to Mitigate Security Risks
• Enlaces
  • Texto completo (pdf)
• Resumen
  • español

    El acceso a internet es fundamental para el desarrollo servicios públicos y privados, con esto el surgimiento de Prestadores de Servicios de Acceso a Internet (PSAI) regidas por la Ley Orgánica de Telecomunicaciones (LOT), su contenido muy abierto falto de mecanismos y metodologías para tratamiento de datos. Este trabajo desarrolló un marco referencial de seguridad para reducir riesgos en el tratamiento de datos personales en empresas PSAI, vinculó 13 dominios y 31 controles para identificar requerimientos establecidos en LOT mediante ISO 27001 y mantener un porcentaje promedio de 16,67 % de disminución del nivel de riesgo de las amenazas post implementación. Demming permitió identificar vulnerabilidades y aprovechar las oportunidades de mejora en seguridad. Se categorizó los datos personales según las recomendaciones de la agencia española de protección, el impacto de la amenaza se determinó en función al riesgo expuesto el activo de datos personales y el nivel de incidencia sobre confidencialidad, integridad y disponibilidad se estableció según MAGERIT.

  • English

    Internet access is essential for the development of public and private services, with the emergence of Internet Access Service Providers (PSAI) governed by the Organic Telecommunications Law (LOT) with very open content lacking mechanisms and methodologies for data processing. This work developed a security reference framework to reduce risks in processing personal data in PSAI companies, linked 13 domains and 31 controls to identify requirements established in LOT through ISO 27001, and maintained an average percentage of 16.67% decrease in level. Risk of post-implementation threats. Demming made it possible to identify vulnerabilities and take advantage of opportunities for security improvement. The personal data was categorized according to the recommendations of the Spanish protection agency, the impact of the threat was determined based on the risk exposed to the personal data asset, and the level of incidence on confidentiality, integrity, and availability was established according to MAGERIT.

• Referencias bibliográficas
  • ARCOTEL. (2016). Reglamento prestación telecomunicaciones y radiodifusión suscripción. https://www.telecomunicaciones.gob.ec/wp-content/uploads/2016/05/REGLAMENTO-PARA-LA-PRESTACION-DE-SERVICIOS-DE-TELECOMUNICACIONES1.pdf
  • Asamblea Nacional Constituyente de Ecuador. (2008). Constitución de la República del Ecuador. Artículo 66 [Título II]. https://www.defensa.gob.ec/wp-content/uploads/downloads/2021/02/Constitucion-de-la-Republica-del-Ecuador_act_ene-2021.pdf
  • Comisión Europea. (2018). RGPD - Publications Office of the EU. https://op.europa.eu/en/publication-detail/-/publication/44d8441b-5fc5-11e8-ab9c-01aa75ed71a1/language-es
  • Costa, C. D., & Carlos, G. (2022). Marco referencial basado en la ISO 27005 para gestión de riesgos de seguridad de información para empresas...
  • Cruzado Puente de la Vega, C. F., & Rodriguez Baca, L. S. (2022). Marco de referencia “HOGO” para ciberseguridad en PyMES basado en ISO...
  • de Moraes Rossetto, A. G., Sega, C., & Leithardt, V. R. (2022). An architecture for managing data privacy in healthcare with blockchain....
  • Díaz, M. (2009, octubre 29). Análisis de riesgos: ISO 27005 vs MAGERIT y otras metodologías. Áudea. https://www.audea.com/analisis-de-riesgos-iso-27005-vs-magerit-y-otras-metodologias/
  • DINARDAP. (2018, marzo 15). Mintel y la Dinardap trabajan en una estrategia para la protección de los datos personales. Dirección Nacional...
  • Escuela Europea de Excelencia. (2018). Cómo realizar el tratamiento de riesgos según ISO 31000:2018. https://www.escuelaeuropeaexcelencia.com/2018/05/comorealizar-el-tratamiento-de-riesgos-segun-iso-310002018/
  • Garcés Ordóñez, M., & González, M. P. (2021). Caracterización de marcos de referencia que apoyan la implementación del gobierno de datos...
  • H. J. De Moura Costa, C. A. Da Costa, R. Da Rosa Righi, R. S. Antunes, J. F. De Paz Santana, & V. R. Q. Leithardt. (2022). A fog and blockchain...
  • Maldonado, G. B., & Cano, J. A. O. (2014). Metodología de la seguridad de la información como medida de protección en pequeñas empresas....
  • Martínez, D. (2018). Unificación de la protección de datos personales en la Unión Europea: Desafíos e implicaciones. Profesional de la información,...
  • Parlamento Europeo. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. https://www.boe.es/doue/2016/119/L00001-00088.pdf
  • Pereira, F., Crocker, P., & Leithardt, V. R. Q. (2022). PADRES: Tool for PrivAcy, Data REgulation and Security. SoftwareX, 17. https://doi.org/10.1016/j.softx.2021.100895
  • Sestrem Ochôa, I., Silva, L. A., de Mello, G., Alves da Silva, B., de Paz, J. F., Villarrubia González, G., Garcia, N. M., & Reis Quietinho...
  • Suzin, J. C., Zeferino, C. A., & Leithardt, V. R. Q. (2022). Digital Statelessness. In J. F. de Paz Santana, D. H. de la Iglesia, &...