PROGRAMA DE MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS   PLAN DE SEGURIDAD INFORMÁTICA DE LA ESPE SEDE SANTO DOMINGO Yolanda Borja Fanny Sánchez

Introducción La presente investigación se realiza por la necesidad: Integrar las TICs Herramienta de Apoyo Tecnológico Proceso de Enseñanza Aprendizaje

ESPE Sede Santo Domingo Es una institución con personería jurídica, autonomía administrativa y patrimonio propio Rige por la Constitución de la República del Ecuador, la Ley Orgánica de Educación Superior y su reglamento; otras leyes conexas Aprobado por el Consejo de Educación Superior – CES, RPC-S0-24-No.248-2013 emitida el 26 de Julio del 2013 La Sede Santo Domingo cuenta con la Carrera de Ingeniería en Ciencias Agropecuarias Santo Domingo, aprobada el 16 de agosto del 2000 en la ciudad de Quito, por el Consejo Nacional de Universidades y Escuelas Politécnicas (CONUEP).

Problema La Universidad de las Fuerzas Armadas ESPE sede Santo Domingo presenta los siguientes problemas respecto a la seguridad informática: No cuenta con políticas de seguridad informática definidas. 1 Falta de cultura y responsabilidad en seguridad informática. 2 Vulnerabilidad en la manipulación de la información. 3

Formulación del Problema ¿Cómo afecta en los procesos tecnológicos la falta de un Plan de Seguridad Informática en la Universidad de las Fuerzas Armadas ESPE sede Santo Domingo?

Objetivos General Diseñar el Plan de Seguridad Informática de la ESPE sede Santo Domingo aplicando normas seguridad y análisis de riesgos fundamentados en el COBIT Security con el fin de promover una política institucional que sirva como referencia para la toma de decisiones acerca de las tecnologías emergentes y sus amenazas.

Específicos 1 Fundamentar el estado del arte de seguridad informática a través de fuentes bibliográficas actuales. 2 Recopilar información sobre la situación actual del manejo de seguridad informática utilizando Matriz de Riesgos y la entrevista-encuesta como técnica investigativa. 3 Realizar el diagnóstico de la información recopilada y presentarla mediante gráficos estadísticos. 4 Elaborar la propuesta de seguridad informática para que sea aplicada en la ESPE sede Santo Domingo aplicando la Norma 31000 de análisis de riesgos como metodología de análisis de riesgos, COBIT Security y el acuerdo Nro. 166 de la Secretaria Nacional de la Administración Pública.

Justificación La Seguridad Informática se ha convertido en un tema de gran importancia en el Ecuador y el Mundo, la gestión incorrecta de datos puede generar notables pérdidas económicas, afectar el prestigio de los negocios, ocasionar problemas legales entre otros problemas. Entonces no se puede aseverar que un sistema de información es al 100% seguro, ni aun contando con una infraestructura tecnológica de Software y Hardware apropiado, siempre está presente la vulnerabilidad y las amenazas que pueden aparecer en cualquier momento y provocar daños irreparables.

MARCO DE REFERENCIA

COBIT COBIT 5 es el marco de gestión y de negocio global para el gobierno y la gestión de las Tecnologías de Información de la empresa

COBIT SECURITY COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. Dicho de una manera sencilla, ayuda a las empresas a crear el valor óptimo desde la tecnología de la información (TI) manteniendo el equilibrio entre la generación de beneficios y la optimización de los niveles de riesgo y el uso de recursos.

NORMAS 31000

NORMAS ISO 27000 Define términos y conceptos utilizados en la familia 27000, contiene un conjunto de estándares desarrollados que proporcionan un marco referencial para la gestión de seguridad de la información, utilizable por cualquier tipo de organización. Define los requisitos para implantar un SGSI, así como la participación y responsabilidad del personal involucrado, se adapta al modelo PDCA (Plan-Do-Check-Act) más conocido como ciclo de Deming

ISO 27002 Define buena prácticas para la gestión de seguridad como, medidas y aspectos a analizar para garantizar la seguridad de la información.

Metodología de Investigación ETAPA MÉTODO TÉCNICAS DESCRIPCIÓN SITUACIÓN INICIAL Deductivo Este método se lo utiliza en el inicio de la investigación planteando el tema, objetivos y la propuesta de investigación MARCO DE REFERENCIA Analítico – Sintético Se lo utiliza para el sustento de la investigación, recopilando información en diferentes fuentes bibliográficas y haciendo una síntesis de la misma. DIAGNÓSTICO Observación Directa, Entrevista Se realiza la visita a la Espe Sede Santo Domingo con el fin de levantar la información disponible

Diagnóstico Cuestionario dirigido a los representantes de los procesos de la UTIC. 1 Entrevistas realizadas a los representantes de los procesos de la UTIC. 2 Visitas realizadas a la ESPE, Sede Santo Domingo. 3

Información Recopilada Matriz de objetivos ESPE-COBIT 5. Matriz de procesos COBIT 5 Security- Objetivos TI. Matriz de mapeo COBIT 5 Security con estándares relacionados. Matriz plan de investigación de campo COBIT 5.

Selección de Procesos

Matriz mapeo Objetivos ESPE-COBIT 5

Matriz mapeo procesos COBIT Security vs Objetivos de TI

Matriz mapeo COBIT Security con Estándares Relacionados

Matriz de levantamiento de información

PROPUESTA

INVENTARIO DE ACTIVOS

TASACIÓN DE ACTIVOS

VULNERABILIDADES Y AMENAZAS

IDENTIFICACIÓN DE RIESGOS

ANÁLISIS DE RIESGOS

TRATAMIENTO DE RIESGO

OBJETIVOS DE CONTROL

Conclusiones ía. s.

Conclusiones Co L

Recomendaciones s Y