Metodología para la implementación del modelo de arquitectura de seguridad de la información (MASI)

Abstract

En este documento se detalla el modelo de arquitectura de seguridad de la información (MASI) el cual se encuentra enmarcado en la descripción de los elementos que lo conforman que son: negocios, gestión de la arquitectura de seguridad de la información, marco normativo de la seguridad de la información, acuerdo e infraestructuras de seguridad de la información, los cuales fueron definidos teniendo en cuenta modelos de arquitecturas de seguridad de autores reconocidos como son Bala Iyer y Richard Gottlieb, Jan Killmeyer, George Farah, Jeimy Cano; además otros referentes que se tuvo en cuenta en el desarrollo del modelo fue el de normas internacionales como ISO 27001:2006 Y 27002:2007, además del framework de trabajo de ISACA: COBIT 4.1. Identificado los elementos que conforma MASI, se describen y definen los aspectos que se deben tener en cuenta en la formalización de cada elemento, es decir, las consideraciones claves que se deben cumplir en la implementación de cada elemento para asumir que este exista. Se establece el paso a paso que permitirá la formalización de las actividades y tareas que se deben estar cubiertas en la concepción de cada elemento de MASI para el negocio. Finalmente, se describen las competencias (formación, conocimientos y habilidades) que deben ser apropiadas por el encargado de llevar a cabo la implementación de la metodología de MASI, ésta responsabilidad recae directamente sobre el arquitecto de seguridad de la información.

This paper shows in detail the model of Information Security Architecture (MASI) which is framed in the description of the elements that make it up: Business, Management of Information Security Architecture, Information Security Normative Framework, Agreements and infrastructure of information security. Such elements were defined according to the models of security and Enterprise architectures proposed by recognized authors like Bala Iyer and Richard Gottlieb, Jan Killmeyer, George Farah and Jeimy Cano. Besides, another referent taken account during the development of the model was the international standards such as ISO 27001:2006 and 27002:2007, besides ISACA's work framework: COBIT 4.1. Once the elements that make MASI up are identified, there is a description and a definition of the aspects importants for the formalization of each element, that is, the keys considerations that must be accomplished during the implementation of each element to asume that it exists. Afterwards, the steps to allow the formalization of activities and tasks are established, so that they are covered in the conception of each MASI element for business. Finally, there is a description of competences (qualification, knowledge and skills) which must be appropriate for the person in charge of carrying out the implementation of MASI methodology. It responsibility depends directly on the Information Security Architect.