Por favor, use este identificador para citar o enlazar este ítem:
http://dspace.udla.edu.ec/handle/33000/14467| Tipo de material : | masterThesis |
| Título : | Desarrollo del programa del sistema de gestión de seguridad de la información de una empresa de gestión de cobranzas |
| Autor : | Chávez Cabrera, Rosita Lorena Moya Gamboa, Carlos Steven |
| Tutor : | López Molina, Juan Carlos |
| Palabras clave : | GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN;SISTEMAS DE SEGURIDAD;PROCESAMIENTO DE LA INFORMACIÓN;GESTIÓN DE PROYECTOS |
| Fecha de publicación : | 2022 |
| Editorial : | Quito: Universidad de las Américas, 2022 |
| Citación : | Chávez, R.; Moya, C. (2022). Desarrollo del programa del sistema de gestión de seguridad de la información de una empresa de gestión de cobranzas (Tesis de maestría). Universidad de las Américas, Quito. |
| Resumen : | El presente proyecto tiene como objetivo elaborar un programa de seguridad de la información aplicado en una empresa de cobranzas, para proteger sus activos de información en cuanto a su confidencialidad, integridad y disponibilidad. Inicia con la evaluación de la situación actual de la empresa respecto a seguridad de la información, utilizando los lineamientos de la norma ISO 27001 y el uso de una herramienta de evaluación de madurez de autoría propia, identificando que no se tiene un sistema de gestión de seguridad de la información y que su nivel de madurez es bajo con respecto a los requisitos de la norma. A continuación, para clasificar la información, se identifican partes interesadas, los tipos de información y, conforme a los pilares de seguridad de la información, se determina su nivel de criticidad y apetito del riesgo institucional, los niveles de probabilidad, impacto y el etiquetado de información. Producto de esto se reconoce como información crítica de la empresa a la información de sus clientes tanto de carteras propias como de servicio, pues son la base de sus procesos de negocio. Posteriormente, se identifican los activos empresariales asociados al procesamiento de información, evaluándolos con base en los principales criterios de seguridad de la información. De los activos analizados, se consideran la base de datos del CRM, el Firewall y una base de datos para cargas automáticas como los más críticos para el negocio y de los cuales se selecciona dos como objeto del caso de estudio. En la siguiente etapa se identifican las amenazas y vulnerabilidades asociadas tanto para la base de datos del CRM como para el Firewall, determinando su riesgo inherente; además, se realiza un análisis de riesgos y se evalúan los controles existentes, obteniendo riesgos críticos como la destrucción de información, errores de mantenimiento y administración, abuso de privilegios, etc. Finalmente, se crea el programa de seguridad de la información para la empresa teniendo como resultado un conjunto de actividades que incluyen capacitación y concientización del personal, procedimientos para gestión de cambios y vulnerabilidades técnicas, etc. |
| Descripción : | The purpose of this project is to develop an information security program applied in a collection company, to protect its information assets in terms of confidentiality, integrity and availability. It begins with the evaluation of the current situation of the company regarding information security, using the guidelines of ISO 27001 standard and a self authored maturity assessment tool, identifying that it does not have an Information Security Management System and its level of maturity is low in respect to the requirements of the standard. Next, in order to classify the company´s information, stakeholders and the types of information are identified, according to the information security criteria. Also, their level of criticality and institutional risk appetite, the levels of probability, impact and information labeling. As a result, it is identified that the critical information of the company corresponds to own wallets client´s information and service wallets, because there are the foundation of its business processes. Subsequently, the business assets associated with information processing are identified and evaluated according to the main information security criteria. Of the assets analyzed, the CRM database, the Firewall and a database for automatic uploads are considered the most critical assets for the business and two of the assets are selected for this case study. In the next stage, the associated threats and vulnerabilities are identified for the CRM database and Firewall, determining their inherent risk; In addition, a risk analysis is carried out based on the evaluation of existing controls, obtaining critical risks such as the destruction of information, maintenance and administration errors, abuse of access privileges, and others. Finally, the information security program for the company is created, resulting in a set of activities that includes training and awareness of workers, procedures for change management and technical vulnerabilities, etc. |
| URI : | http://dspace.udla.edu.ec/handle/33000/14467 |
| Aparece en las colecciones: | Maestría en Gestión de la Seguridad de la Información |
Ficheros en este ítem:
| Fichero | Descripción | Tamaño | Formato | |
|---|---|---|---|---|
| UDLA-EC-TMGSI-2022-03.pdf | 2,72 MB | Adobe PDF | Visualizar/Abrir |
Este ítem está sujeto a una licencia Creative Commons Licencia Creative Commons
