Control inteligente para el servicio crítico de un sistema de información en línea enmarcado en un dominio de la ISO 27002

Organizacion: Universidad del Cauca
Tipo de Organización: Sector Académico
Duración del proyecto: 12 meses
Año: 2013
Tipo de proyecto: Subvención
Jefe de proyecto: Siler Amador Donado
Países: Colombia

Objetivo
• Implementación de un control inteligente de un
objetivo de control enmarcado en un dominio del
estándar ISO 27002, para obtener un servicio
crítico de un sistema de información en línea que
permita gestionar el riesgo de seguridad de la
información.
• Identificación del servicio crítico de un sistema de
información en línea, mediante el uso de la meto-
dología de las elipses.
• Identificación de los dominios, los objetivos de
control y los controles que permiten verificar los
procedimientos definidos para el cumplimiento
de las políticas de seguridad establecidas para el
servicio crítico.
• Definición del control que pueda ser implementado
a través de una técnica de inteligencia artificial.
• Implantación y validación del control inteligente
propuesto para uno de los servicios en línea de la
Universidad del Cauca, para verificar el objetivo del
control a través de la metodología de pruebas de
intrusión de aplicación web incluida en owasp.
Principales actividades
• Identificación, mediante la aplicación de la me-
todología de las elipses, del proceso más crítico:
control académico.
• Obtención de una lista de controles que tiene rela-
ción con owasp top-10 y la norma ISO/IEC 27002,
mediante la selección de los controles 12.2.1 y
12.6.1 de la Norma ISO/IEC 27002:2013.
• Selección del tipo de ataque A3 – Secuencia de
Comandos en Sitios Cruzados (xss) como objetivo
del control.
• Selección de la técnica de machine learning árbol
de decisión.
• Desarrollo e implantación de un control inteligente
para reducir la incidencia del tipo de ataque A3.
Principales resultados
El principal resultado es el aporte en la gestión de
seguridad de la información para el Sistema Integra-
do de Matrícula y Control Académico (simca). Esto
incide en la consolidación de un sgsi como parte
de las estrategias institucionales. Se desglosa en lo
siguiente:
• sensibilización sobre el activo de información más
crítico de la Universidad del Cauca;
• sensibilización sobre los controles de la norma ISO
27002 y de las categorías de riesgo según owasp
más pertinentes para los activos de información
de la Universidad y;
• elaboración de un control inteligente que pueda re-
ducir la incidencia del tipo de ataque A3 – Secuen-
cia de Comandos en Sitios Cruzados (xss) sobre el
activo de información mencionado.