Issmf. En information systems security management framework for smes

Resumen

¿Cuánto tiempo puede una empresa sobrevivir sin sus sistemas de información? Las metas y los objetivos de las organizaciones actuales dependen de la confidencialidad, integridad y disponibilidad de sus sistemas de información. Estos sistemas, altamente complejos y dinámicos, deben ser asegurados y gestionados de manera correcta para poder asegurar el rendimiento esperado de dicho sistema y la supervivencia del negocio. Esta tesis doctoral aborda la gestión de la seguridad de los sistemas de información especialmente en las pymes; motivada por la necesidad unir el espacio existente entre Tos niveles actuales de seguridad y su gestión y los niveles necesarios para poder funcionar en el entorno actual. La contribución principal de esta tesis se basa en el desarrollo de un cuadro de mando que incluye factores críticos de éxito e indicadores para poder medir el rendimiento de los controles de seguridad implantados. Esta tesis también presenta un análisis de las relaciones existentes entre los factores identificados utilizando el pensamiento sistémico. Esta metodología para asegurar sistemas de información esta basada en 4 pilares. En primer lugar, una colección de perspectivas de los autores más influyentes en la gestión de la seguridad (revisión bibliográfica). Segundo, una colección de entrevistas personales las cuales proporcionan el estado actual de la seguridad en las pymes. Tercero, un caso de estudio que incluye un modelo de simulación y finalmente una encuesta como método de validación de los resultados obtenidos. Este cuadro de mando ha sido diseñado para administradores de sistemas de manera que adopten posturas de gestión más proactivas dejando atrás posturas meramente técnicas y reactivas. De esta forma, será posible identificar, prevenir, comunicar y gestionar las incidencias de seguridad en las pymes. For how long can a business remain without its Information Systems (IS)? current business goals and obiectives highly depend on the confidentiality, integrity and availability of their IS. Those IS, a highly dynamic and complex system, must be properly secured and managed in order to ensure their appropriate performance and the business survivability. This doctoral thesis is concerned with Information Systems Security Management (ISSM) issues in small and Médium size Enterprises (SMEs); motivated by the necessity to shrink the gap between current information security levéis and desired security levéis. The main research contribution relies on the development of an ISSM framework which gathers the most critical success factors (CSFs) along with a set of indicators that allows accessible security level estimations. The research also allows a better understanding of security management behaviors by analyzing the interrelations between these CSFs utilizing Systems Thinking. The ISSM Framework is based on four pillars: a collection of academicians' perspectives (literature review), personal interviews with practitioners (empirical study), a simulation-model-case-study and a survey completed by security managers (validation process). The proposed framework aims to direct IS administrators and/or security managers towards more managerial and proactive security practices instead of currently technical and reactive security practices. Thus, they could straightforward identify, manage and communicate security issues