Por favor, use este identificador para citar o enlazar este ítem: http://dspace.udla.edu.ec/handle/33000/13786
Tipo de material : masterThesis
Título : Propuesta del programa del sistema de gestión de seguridad de la información para el proceso de gestión de TI de Transportes Seguros S.A.
Autor : Vargas Álvarez, Carlos Guillermo
Tutor : Lopez Molina, Juan Carlos
Palabras clave : CIBERSEGURIDAD;SEGURIDAD INFORMÁTICA;ESTRATEGIAS DE SEGURIDAD;DISEÑO DE SISTEMAS
Fecha de publicación : 2021
Editorial : Quito: Universidad de las Américas, 2021
Citación : Vargas, C. (2021). Propuesta del programa del sistema de gestión de seguridad de la información para el proceso de gestión de TI de Transportes Seguros S.A. (Tesis de maestría). Universidad de las Américas, Quito.
Resumen : Los avances tecnológicos, la transformación digital, los entornos disruptivos y la pandemia por la que la humanidad se encuentra atravesando, han cambiado por completo varios conceptos tradicionales, haciendo que cambiemos nuestra concepción de la seguridad y sobre todo de la seguridad de la información. Este proyecto consiste en el planteamiento de un Sistema de Gestión de Seguridad de la Información para el proceso de Tecnología en la empresa Transportes Seguros S.A., utilizando como marcos de referencia la ISO 27001, ISO 27002 y NIST. Se presenta una breve conceptualización de los que es un Sistema de Gestión de Seguridad de la información, así como descripciones breves de la norma ISO 27000 y en detalle ISO 27001 e ISO 27002, y por último una introducción al NIST Cyber Security Framework. Para conseguir el objetivo buscado, se ha realizado primeramente una evaluación del estado actual de la empresa en el contexto de un SGSI, tomando como base el marco de referencia ISO 27001 e ISO 27002 comparado con el marco de referencia que nos ofrece NIST CSF y realizando una identificación del estado en que se encuentra cada punto o cada control en la organización. Se identifica los activos críticos de la empresa, de acuerdo con el propio apetito al riesgo definido por la dirección de la organización, para poder priorizar su tratamiento y realizar una evaluación de riesgos, tomando en consideración el marco de referencia Marger IT, orientada a proteger lo que la se ha clasificado como más importante y que puede causar mayores daños en el caso de ser violadas sus seguridades. Esta evaluación de riesgos toma en consideración el riesgo inherente, propio del negocio, evalúa los controles existentes, determina el riesgo residual y propone los controles necesarios para mitigar el riesgo residual al momento que las vulnerabilidades existentes sean explotadas. Finalmente se presenta un Modelo Operacional del SGSI para la implementación de los controles y procedimientos recomendados para garantizar los pilares básicos de la Información y su seguridad, Integridad, Confidencialidad, Disponibilidad y Privacidad.
Descripción : Technological advances, digital transformation, disruptive environments and the pandemic that humanity is going through, have completely changed several traditional concepts, causing us to change our conception of security and especially of information security. This project consists of the approach to implement an Information Security Management System for the Technology process in the company Transportes Seguros S.A., using ISO 27001, ISO 27002 and NIST as reference frameworks. A brief conceptualization of what an Information Security Management System is is presented, as well as brief descriptions of the ISO 27000 standard and specifically ISO 27001 and ISO 27002, and finally an introduction to the NIST Cyber Security Framework. To achieve the objective sought, an evaluation of the current state of the company has been first carried out in the context of an ISMS, based on the ISO 27001 and ISO 27002 reference framework compared to the reference framework offered by NIST CSF and performing an identification of the state of each point or each control in the organization. The critical assets of the company are identified, according to the risk appetite defined by the organizations management, in order to prioritize their treatment and carry out a risk assessment, taking into consideration the Marger IT framework, aimed at protecting what has been classified as more important and that can cause greater damage in the event of being violated their security. This risk assessment takes into consideration the inherent risk, typical of the business, assesses the existing controls, determines the residual risk and proposes the necessary controls to mitigate the residual risk when the existing vulnerabilities are exploited. Finally, an Operational Model of the ISMS is presented for the implementation of the controls and recommended procedures to guarantee the basic pillars of the Information and its security, Integrity, Confidentiality, Availability and Privacy.
URI : http://dspace.udla.edu.ec/handle/33000/13786
Aparece en las colecciones: Maestría en Gestión de la Seguridad de la Información

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
UDLA-EC-TMGSI-2021-05.pdf567,14 kBAdobe PDFVisualizar/Abrir


Este ítem está sujeto a una licencia Creative Commons Licencia Creative Commons Creative Commons