TESIS PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS TEMA: DESARROLLO DE UN MODELO DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Slides:



Advertisements
Presentaciones similares
Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos.
Advertisements

Presentación del Nuevo Estatuto Orgánico Somos ProMéxico 20 de mayo de 2016.
Mapa de Riesgos de Corrupción. ¿Qué es? Instrumento de gestión que le permite a la entidad identificar, analizar y controlar los posibles hechos generadores.
Inclusión y Equidad en los Programas Sociales: Mujeres y Pueblos Indígenas Guatemala José Guillermo Moreno Cordón Ministro de Desarrollo Social
UNIVERSIDAD DE LAS FUERZAS ARMADAS DEPARTAMENTO DE CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y DE COMERCIO CTE CONTABILIDAD Y AUDITORÍA Tesis de grado previo.
DIRECCIÓN NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN – DNTIC´S.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Auditoría Coordinada de Pasivos Ambientales
GROUP OF SYSTEMS IMPLEMENTATION
Sistema Educativo Estatal basado en Estándares Internacionales
Unidad de Comunicación e Imagen
DEPARTAMENTO DE CIENCIAS ECONÓMICAS ADMINISTRATIVAS Y DE COMERCIO
Maestría en Gerencia de Redes y Telecomunicaciones.
Grupo regional de INSARAG en las Américas
Mejores Prácticas en Proyectos de Desarrollo de Software
DEPARTAMENTO DE CIENCIAS ECONÓMICAS, ADMINISTRATIVAS Y DEL COMERCIO
Planificación estratégica de Marketing
Ciudad de México, 13 de septiembre de 2017.
Universidad de las Fuerzas Armadas
“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.
1. PROYECTO DEFINICIÓN DEL MODELO DE GOBIERNO CORPORATIVO – CNO Marzo 7 de 2014.
BusinessMind Plan Estratégico
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
DEPARTAMENTO DE CIENCIAS ECONÓMICAS ADMINISTRATIVAS Y DE COMERCIO     “DISEÑO DE UN MODELO DE GESTIÓN FINANCIERA PARA APLICAR EN LA EMPRESA FERROMÉDICA.
Consultoría Especializada Agosto 2017
Universidad de las Fuerzas Armadas ESPE MEVAST VIII A Tema
Information Technology Infrastructure Library ITIL
Alianza Cooperativa Internacional
Universidad manuela beltran - virtual
Plática de Sensibilización
¿Qué es ITIL? “Information Technology Infrastructure Library”
Sisdata, C.A..
Valoración Empresarial y Análisis de la Estructura del Capital Óptimo para la empresa Microinformática Cía. Ltda.
Plan Estratégico OEA Avances Grupo de Trabajo sobre la Revisión de los Programas de la OEA |CAAP/RVPP Octubre 2017.
ITIL (Biblioteca de Infraestructuras de Tecnologías de Información
Unidad 2.- Marcos de referencia en la gestión de servicios de TI
TESIS PREVIO A LA OBTENCIÓN DEL TITULO DE MAGISTER
Gestión de Riesgos y Control Interno: Función Actuarial Experiencia Peruana.
LINEA DE INVESTIGACION PROTECCION Y CALIDAD
Aspectos Generales Todos los proyectos deben subir este documento como parte de la presentación, en la plataforma de postulación de proyectos. La presentación.
Procesos de certificación de calidad
GUÍA PARA PREPARAR PERFIL DE PROYECTOS
El sistema de Calidad de GFI/AST
Elaboración de los documentos
SISTEMATIZACION DE PROYECTOS
PRINCIPIOS FUNDAMENTALES DE LA AUDITORÌA DE DESEMPEÑO
Plan de Desarrollo de TI Junio 7, 2018
PRINCIPIOS FUNDAMENTALES DE LA AUDITORIA DE CUMPLIMIENTO
8º CONGRESO INTERNACIONAL EN COMPETITIVIDAD ORGANIZACIONAL.
Sistema de Gestión de Tecnologías
CONSIDERACIONES METODOLÓGICAS DEL M.A.I.
CONTROL INTERNO INSTITUCIONAL
TRABAJO DE TITULACIÓN, PREVIO A LA OBTENCIÓN DEL TÍTULO DE MAGÍSTER EN GERENCIA DE SISTEMAS TEMA “Guía para la implantación del SGSI con base en la NTE.
Kick Off del Proyecto Fecha:
CAPACITACIÓN A LOS ENLACES DEL SNT PARA LOS PROGRAMAS NACIONALES
Plan Anual de Evaluaciones
PLAN ESTRATÉGICO. PLAN ESTRATÉGICO Alineación al Plan Estratégico La implementación de una herramienta informática que permita interoperar entre países.
Lineamientos para la formulación del plan de trabajo 2019
LINEA DE INVESTIGACION PROTECCION Y CALIDAD
LINEAS DE INVESTIGACION ESCUELA DE INGENIERIA INDUSTRIAL
PROYECTO DE TITULACIÓN PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO COMERCIAL S.A. DISEÑO DE UN MODELO DE GESTIÓN ESTRATÉGICO CON ENFOQUE DE PROCESOS.
Implementación del Portal Web de
Generalidades Fondos de la Agencia Española de Cooperación Internacional, se opera a través del Ministerio de Trabajo de Nicaragua Objetivo general: aumentar.
RETOS GOBIERNO ELECTRÓNICO
UNIDAD DE GESTIÓN DE POSGRADOS
Facultad de Contaduría y Administración
Madurez Gestión Integral de Riesgos
Estrategia Fiscal Ambiental
Transcripción de la presentación:

TESIS PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS TEMA: DESARROLLO DE UN MODELO DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) BASADO EN LAS MEJORES PRÁCTICAS DE SEGURIDAD INFORMÁTICA PARA LA AGENCIA DE REGULACIÓN Y CONTROL HIDROCARBURÍFERO. AUTORES: NÉSTOR RICARDO MONCAYO ZAMBRANO, PAULINA PATRICIA GUAMÁN YUCAZA Sangolquí 2015

AGENDA ANTECEDENTES DESARROLLO CONCLUSIONES Y RECOMENDACIONES. LEYES ORIENTADAS AL SISTEMA INFORMÁTICO. ALINEACIÓN ESTRATÉGICA GOBIERNO POR RESULTADOS. DESARROLLO DESCRIPCIÓN DEL PROBLEMA. OBJETIVOS. FACTIBILIDAD. MARCO TEÓRICO. ANÁLISIS SITUACIÓN ACTUAL DE LA ARCH. MEJORES PRÁCTICAS DE DISEÑO SGSI. METODOLOGÍA PROPUESTA. DESARROLLO DEL CASO PRÁCTICO. DEFINICIÓN DE POLÍTICAS . IMPLEMENTACIÓN DE POLÍTICAS IMPLANTACIÓN DE POLÍTICAS. IDENTIFICACIÓN DEL RIESGO. CONCLUSIONES Y RECOMENDACIONES.

ANTECEDENTES LEYES ORIENTADAS AL SISTEMA INFORMÁTICO Constitución de la República del Ecuador Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos Ley Orgánica de Transparencia y Acceso a la Información Pública Ley del Sistema Nacional de Registro de Datos Públicos Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva Ley Orgánica y Normas de Control de la Contraloría General del Estado Leyes y normas de control del sistema financiero Leyes y normas de control de empresas públicas Ley del Sistema Nacional de Archivos Decreto Ejecutivo No. 1014 sobre el uso de Software Libre en la Administración Pública Decreto Ejecutivo No. 1384 sobre Interoperabilidad Gubernamental en la Administración Pública Otras normas cuya materia trate sobre las entidades de la Administración Pública.

OBJETIVOS ESTRATÉGICOS INSTITUCIONALES ANTECEDENTES ALINEACIÓN ESTRATÉGICA CONSTITUCIÓN PLAN DEL BUEN VIVIR OBJETIVOS ESTRATÉGICOS INSTITUCIONALES OBJETIVOS DEL PROYECTO TEMA DEL PROYECTO

ANTECEDENTES GOBIERNO POR RESULTADOS (GRP)

DESCRIPCIÓN DEL PROBLEMA DESARROLLO DESCRIPCIÓN DEL PROBLEMA En la actualidad en la Agencia de Regulación y Control Hidrocarburífero no cuenta con controles que estandaricen o prevean las amenazas y vulnerabilidades para salvaguardar los datos de la institución por lo que se busca diseñar un mecanismo que logre regular, gestionar y mitigar al máximo los riesgos informáticos y establecer los requerimientos de la seguridad que nos permitan evitar pérdida de tiempo, dinero e información sensible para la institución.

JUSTIFICACIÓN Debido que en la Agencia de Regulación y Control Hidrocarburífero no existe al momento normas ni políticas que salvaguarden a la información tanto de las amenazas como vulnerabilidades, en el caso de que se presente un incidente no se cuenta con planes establecidos y definidos para la mitigación de riesgos. Por ello, es vital para la organización tener una metodología que permita evaluar y Administrar la seguridad de la información, todo esto debidamente documentado bajo las normas establecidas por las leyes del Gobierno Ecuatoriano cumpliendo con disposiciones legales en el Acuerdo 166 de la Secretaría Nacional de la Administración Pública de la República del Ecuador.

Objetivos Específicos Desarrollar un modelo de Sistema de Gestión de Seguridad de la Información (SGSI) basado en las mejores prácticas de Seguridad Informática para la Agencia de Regulación y Control Hidrocarburífero. Objetivo General Analizar la situación actual de la ARCH dentro del concepto de seguridad informática. Desarrollar una metodología en la cual se apliquen las mejores prácticas de la norma ISO 27001:2007, COBIT e ITIL aplicables en la Agencia de Regulación y Control Hidrocarburífero. Analizar los riesgos informáticos de la institución. Describir y documentar las políticas de seguridad de la información para mitigar el riesgo informático. Objetivos Específicos

FACTIBILIDAD Factibilidad Técnica Factibilidad Económica Factibilidad Legal Factibilidad Operacional

LOCALIZACIÓN DEL PROYECTO Calle Estadio s/n entre Manuela Cañizares y Lola Quintana Sector La Armenia - Conocoto - Pichincha

Sistema de la Gestión de la Seguridad de la Información MARCO TEÓRICO Sistema de la Gestión de la Seguridad de la Información COBIT ITIL ISO/IEC 27001:2007

ANÁLISIS SITUACIÓN ACTUAL DE LA ARCH Diagnóstico Institucional Análisis - ARCH 2015 Amenazas Vulnerabilidades Riesgos Informáticos

MEJORES PRÁCTICAS DE DISEÑO SGSI Metodología Planificar Ejecutar Verificar Corregir

TABLAS COMPARATIVAS Tabla de Planificación. Tabla de Implementación. Tabla de Servicios. Tabla de Riesgos. Tabla de Evaluación. Tabla de Control.

COBIT ISO27001 ITIL Marco de referencia aceptado mundialmente de gobierno IT basado en estándares y mejores prácticas de la industria Alcance   Tratamiento del Riesgo Gestión de la Información. Conocer al detalle de cada uno de los procesos que actualmente se maneja en el ITIL. Diseño de los Servicios TI. Diseño de soluciones de servicio. Diseño del Portafolio de Servicios. Diseño de la arquitectura del servicio. Diseño de procesos. Diseño de métricas y sistemas de monitorización. Gestión del Catálogo de Servicios. Gestión de Niveles de Servicio. Gestión de la Capacidad. Gestión de la Disponibilidad Gestión de la Continuidad de los Servicios TI. Gestión de Proveedores.

COBIT ISO27001 ITIL Ayuda a los ejecutivos a entender y gestionar las inversiones en IT a través de sus ciclo de vida   No Aplica Administración de Tecnologías de la Información Enfoque a Procesos Control de las tecnologías de la información Administración y Control de la Seguridad de la Información Administración y Control en la Entrega de Servicios Tecnológicos. Administración y control en la entrega de servicios tecnológicos, para el sistema de gestión de la seguridad de la información Control de Proveedores Planes de Continuidad del Negocio.

METODOLOGÍA DESARROLLADA Alinear la Estrategia del Servicio con la Estrategia del Negocio Establecer la Estrategia del Servicio Identificación de los Riesgos Planificación del tratamiento del Riesgo Implementación de los Servicios Prioritarios Planificación del Proceso de Cambio Revisión Periódica Planes de Continuidad

CASO PRÁCTICO VALIDACIÓN DE LA METODOLOGÍA DESARROLLO DE ACTIVIDADES PARA EL SISTEMA DE VIDEO - CONFERENCIA Definir un responsable para administrar la video-conferencia. Definir y documentar el procedimiento de acceso a los ambiente de pruebas y producción. Elaborar un documento tipo "lista de chequeo" (check-list) que contenga los parámetros de seguridad para el acceso a la red interministerial que soporta el servicios de video-conferencia. Crear contraseñas para el ingreso a la configuración de los equipos y para las salas virtuales de video-conferencia. Deshabilitar la respuesta automática de los equipos de video- conferencia.

VALIDACIÓN DE LA METODOLOGÍA DESARROLLADA CASO PRÁCTICO VIDEO CONFERENCIA

DEFINICIÓN DE POLÍTICAS El tema a ser desarrollado se basa en la Norma ISO/ IEC 27001 y el Acuerdo 166 lo cual es solicitado por la SNAP de la República del Ecuador para las instituciones del estado. Además de las leyes y normas de la gestión de los datos e información en el gobierno.

IMPLEMENTACIÓN DE POLÍTICAS

IMPLANTACIÓN DE SGSI En la primera fase se implanto 124 hitos obligatorios. En la segunda fase se implantará 256 hitos opcionales.

IDENTIFICACIÓN DEL RIESGO Matriz de Identificación de Activos Matriz de Evaluación del Riesgo Total Análisis de Factores de Riesgo VER TABLAS

CONCLUSIONES En el desarrollo de la presente tesis se determinó que es crucial para la implementación de un SGSI las fases de levantamiento de información que permitieron el diseño de una metodología adecuada. Con el resultado obtenido en la investigación de las mejores prácticas de la Seguridad Informática, se generó una secuencia de dominios, dinámica y de fácil adaptabilidad a los cambios.

CONCLUSIONES Se concluyó que el análisis de la matriz de riesgo es vital para la organización, ya que garantiza la seguridad de los activos de la información. La Metodología propuesta contribuyo para que la Agencia de Regulación y Control Hidrocarburífero defina y documente de manera obligatoria e inmediata los hitos del EGSI, basándose en las normas y regulaciones del Estado.

RECOMENDACIONES Se recomienda continuar con las actividades de relevamiento de la información para mejorar las actuales políticas definidas en el SGSI. Es aconsejable que en futuros procesos de la organización se aplique a cabalidad la Secuencia de Dominios garantizando el cumplimiento de las mejores prácticas de Seguridad Informática.

RECOMENDACIONES   Es recomendable que el personal que maneja TI valore y asigne un grado de protección según la criticidad de los riesgos para con ello mantener un adecuado resguardo de los activos. Se recomienda documentar los hitos así como los procedimientos operativos indicando a detalle las actividades generados por cada una de las áreas involucradas.

AGRADECEMOS SU ATENCIÓN

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.