Auditoría al cumplimiento de una política de desarrollo seguro basada en la ISO 27001. Caso de estudio: Escuela Colombiana de Ingeniería Julio Garavito

Trabajo de InvestigaciónLa Escuela Colombiana de Ingeniería Julio Garavito cuenta con un área de desarrollo de software, la cual se encarga de responder a las necesidades de la comunidad con la construcción de nuevos sistemas de información desarrollados a la medida. El presente proyecto tiene como finalidad auditar el proceso de desarrollo de software de La Escuela Colombiana de Ingeniería Julio Garavito, de acuerdo con los lineamientos de desarrollo seguro definidos por la institución basados en la norma ISO 27001, con el fin de hallar oportunidades de mejora. Para cumplir con el objetivo del proyecto, inicialmente se realizará la identificación del estado actual del proceso de desarrollo de software por medio de instrumentos de recolección de datos como encuestas, entrevistas y observación directa, con la información recopilada se desarrollará una guía de auditoria que permitirá evaluar el cumplimiento de la política de desarrollo seguro. Posteriormente se ejecutarán las pruebas de auditoria y con base a los resultados obtenidos se documentarán los hallazgos y las recomendaciones. Las recomendaciones emitidas se priorizarán de acuerdo al nivel de riesgo de cada etapa del proceso de desarrollo de software, con el fin de identificar las recomendaciones que se deberían ejecutar con mayor prioridad.1. INTRODUCCIÓN 2. GENERALIDADES 3. MARCOS DE REFERENCIA 4. MARCO TEORICO 5. MARCO JURIDICO 6. METODOLOGÍA 7. RECOMENDACIONES Y RESULTADOS 8. CONCLUSIONES, RECOMENDACIONES, APORTES Y TRABAJOS FUTUROS 9. BIBLIOGRAFÍA 10. ANEXOSEspecializaciónEspecialista en Auditoría de Sistemas de Informació

Estudio y diagnóstico de políticas de seguridad de la información, para el instituto nacional de vías. Invias-planta central.

Dentro de los 12 procedimientos que paso a paso se han elaborado y adaptado para el funcionamiento y manejo de la información al interior del Instituto Nacional de Vías INVIAS- Planta Central, son el resultado de una ardua investigación y aplicación de las normas que sobre políticas de seguridad de la información han sido propuestas por cada uno de los entes normativos y jurídicos del estado colombiano, dando cumplimiento al logro de los objetivos misionales de la entidad y como herramienta básica en la toma de decisiones, en la misma. El diagnóstico inicial, guiara a la entidad en la búsqueda y Gestión en el manejo adecuado del riesgo informático, la inversión en tecnologías de la información y la comunicación, bajo la normatividad actualizada existente y de la mano con las plataformas de información conocidas por El Instituto Nacional de Vías-Invias-Planta Central.Within the 12 procedures step by step have been developed and adapted for the operation and management of information within the National Institute of Vias INVIAS-Central Plant, are the result of an arduous investigation and application of the rules on policies of information security have been proposed by each of the regulatory and legal entities of the Colombian state, fulfilling the achievement of the mission objectives of the entity and as a basic tool in decision-making, in it. The initial diagnosis will guide the entity in the search and management of the adequate management of computer risk, investment in information and communication technologies, under the existing updated regulations and hand in hand with the information platforms known by the Institute. Nacional de Vías-Invias-Central Plant

Tecnología didáctica sobre seguridad informática en Formación Profesional

Actualmente una de las mayores preocupaciones en el campo de las nuevas tecnologías de la información y las comunicaciones (TIC) es la seguridad, esto es debido al aumento de los ataques por parte de hackers informáticos, que cada vez usan técnicas y herramientas más avanzadas. Con motivo de ésta preocupación y con el aumento de los ataques informáticos, cada vez son demandados más perfiles de profesionales de las TIC formados en Seguridad Informática, además, se requiere una mejor y más específica formación en este campo. Es por ello que se hace necesaria la revisión de los currículos y las programaciones didácticas de los ciclos formativos de la Formación Profesional que están relacionados con la Seguridad Informática, con el objetivo de formar profesionales que cumplan las necesidades actuales del mercado laboral, con la utilización de metodologías y herramientas específicas para este campo. Este documento pretende recoger una revisión en cuanto a objetivos y contenidos de un posible currículo para formación profesional en Seguridad Informática, así como una propuesta coherente y meditada sobre las metodologías y herramientas para utilizar en el aula o en los laboratorios de estos estudios.Departamento de Informática (Arquitectura y Tecnología de Computadores, Ciencias de la Computación e Inteligencia Artificial, Lenguajes y Sistemas Informáticos)Máster en Profesor de Educación Secundaria Obligatoria y Bachillerato, Formación Profesional y Enseñanzas de Idioma

Contratación electrónica y los delitos informáticos. En protección al consumidor en el Perú

El artículo tiene por objeto revisar los antecedentes y retos de la contratación electrónica en el Perú, con especial énfasis en la protección legal de la que disponen los usuarios frente a los delitos informáticos. Para ello, se realizó una búsqueda bibliográfica a fin de tener un mejor entendimiento del tema en cuestión. Luego del análisis realizado, se encontró que en el Perú aún no se ha implementado las normas necesarias que aseguren la confianza y seguridad de los usuarios; empero, ya se está dando los pasos necesarios para un mejor desarrollo en estas políticas de seguridad informática; otro de los principales problemas, es el desconocimiento por parte del público sobre estas normas. El presente artículo sirve como pauta de revisión al actual estado de las normativas de la política de seguridad informática del Perú para futuras investigaciones

Auditoría de la Seguridad de las Tecnologías de Información del Instituto costarricense de Acueductos y Alcantarillados, (AyA)

Tesis de maestría -- Universidad de Costa Rica. Posgrado en Administración y Dirección de Empresas. Administración y Dirección de Empresas con énfasis en Auditoría de Tecnologías y Sistemas de Información, 2007El objetivo general del trabajo es realizar una Auditoría de la Seguridad de las Tecnologías de Información del Instituto Costarricense de Acueductos y Alcantarillados (AyA), con el propósito de evaluar los aspectos que intervienen en el proceso de la Seguridad de las Tecnologías de Información, para detectar aspectos potenciales de mejora, mediante la implementación metodológica de una Auditoría basada en los conocimientos adquiridos durante el plan de estudios de la Maestria en Auditoría de Tecnologías de Información. El Instituto Costarricense de Acueductos y Alcantarillados brinda los servicios de agua potable y alcantarillado sanitario a gran parte del territorio nacional. Tiene, además, la rectoría de esas áreas para todo el país y lo realiza integrando actividades de financiamiento, de protección ambiental y de construcción, con las de operación y mantenimiento de ambos servicios, financiándose con tarifas y tasas bajo el principio de servicio al costo, más un rédito de capitalización para desarrollo, como soporte a esto, las Tecnologías de Información tienen una incuestionable importancia para el logro de los objetivos Institucionales. Para ello el proyecto desarrolla una investigación de tipo práctica profesional, mediante una Auditoría de la Seguridad de las Tecnologías de Información. Dentro de sus principales conclusiones se encuentra que en el Instituto existe un ambiente físico y lógico, seguro y controlado, con medidas de protección fundamentadas en las políticas vigentes y en análisis de riesgos, hecho que satisface enormemente. Con base en todo lo anterior, se recomienda que se siga por esa línea de evaluación de riesgos y de fortalecimiento del ambiente y estructura de seguridad controlada y fundamentada.Universidad de Costa Rica. Posgrado en Administración y Dirección de EmpresasUCR::Vicerrectoría de Investigación::Sistema de Estudios de Posgrado::Ciencias Sociales::Maestría Profesional en Auditoría en Tecnologías de la Informació

Diseño de un sistema de gestión de seguridad de la información basado en la Norma ISO 27001:2013 para la corporación universitaria Antonio José de Sucre

El presente proyecto tiene como fin realizar hasta la fase de planeación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001:2013, para la Corporación Universitaria Antonio José de Sucre, que es una institución de educación superior ubicada en la ciudad de Sincelejo Sucre Colombia, esta organización maneja grandes volúmenes de información tanto personal, financiera como académica, es por esto que se desea implementar un sistema que permita mantener segura toda esta información. Para realizar este proyecto se deberá realizar un diagnóstico del estado actual de la seguridad de la información en la organización utilizando diferentes instrumentos y metodologías, para posteriormente poder evidenciar las mejoras en cuanto a seguridad informática, dentro de estas mejoras es primordial el diseño de una política de seguridad de la información en la cual se dictamine las directrices de los procedimientos que se deberán llevar a cabo al momento de manipular información, con esto se buscara reducir las vulnerabilidades que posea la institución, teniendo claro cuáles son los permisos que deberá tener cada usuario de acuerdo a su rol en la organización.The purpose of this project is to carry out up to the planning phase of an information security management system based on the ISO / IEC 27001:2013 standard, for the Antonio José de Sucre University Corporation, which is a higher education institution located in the city of Sincelejo Sucre Colombia, this organization handles large volumes of personal, financial and academic information, which is why we want to implement a system that allows all this information to be kept safe. To make this project, a diagnosis of the current state of information security in the organization must be carried out using different instruments and methodologies, in order to subsequently be able to show the improvements in terms of computer security, within these improvements the design of a policy is essential of information security in which the guidelines of the procedures that must be carried out at the time of manipulating information are dictated, this will seek to reduce the vulnerabilities that the institution possesses, being clear about the permissions that each user must have according to their role in the organization

Aspectos de seguridad informática en la utilización de cloud computing

TablasEsta monografía desarrolla a través de diferentes metodologías de investigación (búsqueda de documentación, entrevistas, entre otras) la identificación de las principales amenazas y vulnerabilidades a las cuales se está expuesto cuando se utiliza Cloud Computing, además de plantear estrategias de seguridad para la protección de los servicios en la nube, este desarrollo se enfocada hacia los profesionales de seguridad informática y personas en general interesadas en el tema de la seguridad brindada en Cloud Computing. Igualmente resalta la importancia de la protección de los datos utilizando criptografía, ya que cuando utilizamos la nube como un sistema de almacenamiento de datos se recomienda emplear un nivel de cifrado adecuado para aquellos datos sensibles que vayan a ser depositados allí. Por último teniendo en cuenta que Cloud Computing al igual que el manejo de los servicios TI locales, debe mantener la disponibilidad, confidencialidad e integridad de la información, por lo tanto se realiza una descripción de la normatividad existente en Colombia, resaltando la Ley 1581 de 2012 que regula los aspectos relativos al tratamiento de los datos personales y la libre circulación de los datos, buscando de esta manera brindar una orientación a las personas sobre los derechos que poseen al momento que se contratar esta tecnología.This document develops through different research methods (desk research, interviews, etc.) the identification of the main threats and vulnerabilities which are exposed when Cloud Computing is used, besides to raise security strategies for protection of cloud services, this development is focused on computer security professionals and the general public interested in the issue of security provided cloud computing. Also the importance of data protection using encryption is highlighted, because when we use the cloud as a data storage system it is recommended that an appropriate level of encryption for sensitive data those that are to be deposited there. Finally considering that Cloud Computing as the management of local IT services to maintain availability, confidentiality and integrity of information, therefore a description of the existing regulations in Colombia is made, highlighting the Law 1581 2012 which regulates aspects of the processing of personal data and the free movement of data, thereby seeking to give guidance to people about the rights they have when this technology contrac

Core gerencial del sistema de información laboral del Ministerio del trabajo (CORE-SIL)

La investigación propone el desarrollo del Core gerencial del sistema de información laboral (CORE-SIL) el cual proporcionará un marco que centralice las operaciones del MITRAB, interconectando los distintos sistemas de información de la institución, gestionando los procesos claves, monitoreando el comportamiento de los indicadores socio-laborales a nivel nacional y a su vez implementando mecanismos de seguridad a nivel de aplicación, proveyendo un API de integración para los módulos existentes a nuevos módulos