Resumen:
Como una necesidad de las organizaciones de tener una mayor visibilidad de
los procesos de seguridad de la información, se creó una metodología que mide la
capacidad de gestión de seguridad de la información usando como referencia las
normas ISO/IEC 27001 y Cobit 5 para la seguridad de la información.
Se realizó una comparación entre ambas normas y se utilizaron los controles
que más se adecuaban para que el resultado de la evaluación fuera el más preciso.
Una vez escogidos los procesos de evaluación, se creó la metodología de
cálculo basada en riesgos para que esta pueda recibir como entrada los datos
necesarios y que de manera cuantitativa muestre el nivel de capacidad de gestión
según la evaluación de cada proceso de control.
Esta evaluación se aplicó en los procesos de la Operadora de Pensiones
complementarias de la Caja Costarricense del Seguro Social, y el resultado se utilizó
como insumo para que la comisión de tecnologías de información de la Operadora
pudiera realizar su perfil tecnológico basándose en las calificaciones.
