MASISCo—Methodological Approach for the Selection of Information Security Controls

As cyber-attacks grow worldwide, companies have begun to realize the importance of being protected against malicious actions that seek to violate their systems and access their information assets. Faced with this scenario, organizations must carry out correct and efficient management of their information security, which implies that they must adopt a proactive attitude, implementing standards that allow them to reduce the risk of computer attacks. Unfortunately, the problem is not only implementing a standard but also determining the best way to do it, defining an implementation path that considers the particular objectives and conditions of the organization and its availability of resources. This paper proposes a methodological approach for selecting and planning security controls, standardizing and systematizing the process by modeling the situation (objectives and constraints), and applying optimization techniques. The work presents an evaluation of the proposal through a methodology adoption study. This study showed a tendency of the study subjects to adopt the proposal, perceiving it as a helpful element that adapts to their way of working. The main weakness of the proposal was centered on ease of use since the modeling and resolution of the problem require advanced knowledge of optimization techniques.This research was funded by Universidad de La Frontera, research direction, research project DIUFRO DI22-0043

AIM Triad: A Prioritization Strategy for Public Institutions to Improve Information Security Maturity

In today’s world, private and government organizations are legally obligated to prioritize their information security. They need to provide proof that they are continually improving their cybersecurity compliance. One approach that can help organizations achieve this goal is implementing information security maturity models. These models provide a structured framework for measuring performance and implementing best practices. However, choosing a suitable model can be challenging, requiring cultural, process, and work practice changes. Implementing multiple models can be overwhelming, if possible. This article proposes a prioritization strategy for public institutions that want to improve their information security maturity. We thoroughly analyzed various sources through systematic mapping to identify critical similarities in information security maturity models. Our research led us to create the AIM (Awareness, Infrastructure, and Management) Triad. This triad is a practical guide for organizations to achieve maturity in information security practices.This work received partial support from Proyecto DIUFRO DI21-0079 and Proyecto DIUFRO DI22-0043, Universidad de La Frontera, Temuco. Chile

Impacto de la calidad del documento de requisitos sobre el proceso de licitaciones públicas de proyectos de desarrollo software

La externalización de servicios es una tendencia en la industria desde hace más de dos décadas que se ha expandido con especial fuerza en el área de Tecnologías de la Información, y sobre todo en relación a los proyectos de desarrollo de software. Esta tendencia ha incluido tanto a las organizaciones públicas como privadas. Cuando las organizaciones públicas desean externalizar servicios, muchas de estas organizaciones, por ley, están obligadas a iniciar un proceso de licitación a través de portales web. De este modo, los gobiernos en general son consumidores relevantes de proyectos de software, produciendo un número importante de documentos técnicos de requisitos con los que se inician los procesos de licitaciones públicas de proyectos de desarrollo de software. El problema observado es que la producción de un anuncio de licitación pública implica un esfuerzo organizacional importante para conseguir que el anuncio quede disponible mediante una ficha resumida y un conjunto de archivos anexos de carácter técnico, de procedimiento y de restricciones legales. Este esfuerzo se convierte además en baldío si el proceso de licitación fracasa, lo que ocurre en numerosos casos y por diversas causas, como pueden ser que no existan proveedores interesados o que, aunque los haya, sus ofertas no cumplan uno o más de los distintos requisitos de las licitaciones. A veces también ocurre que, en el caso de existir solo un proveedor calificado, el proceso de la licitación sea considerada como poco transparente. Estas y otras causas pueden hacer que una licitación se declare finalmente desierta, lo que, en la mayoría de los casos, implica el desperdicio de una cantidad considerable de trabajo y recursos, al tener que reiniciarse de nuevo todo el proceso. Para un proveedor participar en este tipo de procesos tampoco está exento de dificultades. Desde la perspectiva del proveedor, el proceso de selección de una licitación para participar se traduce en un problema de análisis masivo de datos en un periodo de tiempo escaso para postular y sin garantías de que el esfuerzo se traduzca más tarde en un contrato. En este contexto, esta tesis doctoral se focaliza en el problema de conocer los factores que inciden en el éxito del proceso de licitación de proyectos de desarrollo de software y que minimizan los riesgos tanto para oferentes como para proveedores, con el propósito de contribuir al conocimiento que se tiene respecto a los procesos de licitaciones públicas de proyectos de desarrollo de software. Para ello se ha usado el marco metodológico de Design Science, que permitió aplicar en el transcurso de la investigación distintos enfoques metodológicos. El trabajo de esta tesis se ha organizado en dos ciclos de investigación. En el primer ciclo, se utilizó un enfoque cuantitativo seguido de un análisis cualitativo de los documentos de requisitos que acompañan a las licitaciones públicas de software. Los resultados de este primer ciclo dirigieron la propuesta de un segundo ciclo en la investigación, que consistió en el desarrollo de un modelo de madurez para los procesos de licitaciones públicas de software orientado a mejorar su calidad y, específicamente, a asegurar su transparencia. Durante el estudio cuantitativo y cualitativo de licitaciones públicas de desarrollo de software de organizaciones gubernamentales de Chile se analizó un conjunto de licitaciones con el fin de obtener variables de calidad del documento que influyen en el éxito del proceso de licitación. Este análisis no permitió afirmar ni rechazar ninguna relación entre la calidad del documento de licitación y el éxito del proceso de licitación. Tras este análisis, se realizó un análisis de un grupo focal y un cuestionario semi estructurado para recopilar nuevos factores potenciales u otras variables relacionadas en el éxito del proceso de licitación de desarrollo de software; este análisis cualitativo permitió conocer nuevas variables pertenecientes al ámbito de las teorías de la construcción social, es decir, las variables identificadas son principalmente de percepciones humanas con respecto de valores de las personas, de normativas, de poderes, entre otras categorías culturales, que apuntan hacia la transparencia como variable clave en los procesos. Estos resultados permitieron aseverar que los factores de éxito de una licitación no están asociados exclusivamente ni de manera importante a la calidad de los documentos técnicos de requerimientos, sino a elementos asociados a la transparencia. Con estos antecedentes se decidió realizar un segundo ciclo de la investigación, cuyo fin fue la búsqueda de un mecanismo de medir la transparencia en licitaciones. Para lidiar con esta complejidad, se propuso un modelo de madurez basado en variables observables que determina un nivel de transparencia para la organización. Para ello, se utilizaron como base marcos conceptuales de Gobierno Electrónico/Abierto, SW-CMM, Transparencia del Software y Responsabilidad. El trabajo realizado dio lugar a un modelo de madurez que describe cinco niveles de transparencia para licitaciones públicas de proyectos de desarrollo de software: (1) Condición inicial, (2) Desarrollo, (3) Coordinación, (4) Administración y (5) Sistemática. Además, esta propuesta propone medir los niveles de madurez de las agencias para las licitaciones de software en las siguientes dimensiones: institucionalización, proceso de licitación de software, comunicación y responsabilidad. Con el fin de poner a prueba la aplicabilidad del mecanismo de medición, se recogió evidencia de los funcionarios de agencias gubernamentales, y se han probado los criterios de discriminación con resultados positivos. Sin embargo, como indica el marco metodológico adoptado, es necesario todavía completar varias tareas utilizando esta primera propuesta y ampliar la experiencia de aplicación para llegar a un proceso iterativo que logre una posición consolidada. Finalmente, como trabajo futuro se quiere seguir avanzando en la validación de otros aspectos del modelo desde una perspectiva cuantitativa, principalmente su poder discriminador y su carácter evolutivo, dado que se ha identificado que evaluar la transparencia en el proceso licitaciones públicas es una necesidad de los stakeholders en general y, de manera específica, de aquellos involucrados en licitaciones públicas de desarrollo de software