Pembuatan Standard Operating Procedure (SOP) Keamanan Informasi Berdasarkan Framework ISO/IEC 27001:2013 dan ISO/IEC 27002:2013 pada Dinas Komunikasi dan Informatika Pemerintah Kota Madiun

Abstrak— Penggunaan teknologi informasi yang semakin pesat menjadi, dibutuhkan suatu sistem keamanan informasi untuk menjaga keamanan informasi dan data. Dinas Komunikasi dan Informatika (DISKOMINFO) kota Madiun sebagai instansi pemerintahan yang bertanggung jawab atas pengelolaan teknologi informasi  pada Pemerintah Daerah kota Madiun sangat rentan terhadap ancaman – ancaman dan insiden keamanan informasi. Oleh karena itu, maka dibutuhkan suatu tata kelola berbentuk prosedur kerja untuk membantu melindungi keamanan informasi. Pada penelitian ini, pembuatan Strandard Operating Procedure (SOP) didasarkan pada kebutuhan Dinas Komunikasi dan Informatika Pemerintah kota Madiun. Pembuatan SOP mengacu pada standar keamanan informasi internasional ISO/IEC 27001:2013 dan ISO/IEC 37002:2013 sebagai acuan kontrol keamanan informasi. Pembuatan SOP diharapkan dapat mengurangi kerentanan ancaman keamanan informasi dari dalam maupun dari luar organisasi. Metode yang digunakan yaitu dengan analisis kesenjangan yang dilakukan dengan membandingkan kondisi keamanan Dinas Komunikasi dan Informatika Pemerintah kota Madiun saat ini dengan kondisi sesuai persyaratan ISO/IEC 27001:2013. Penelitian menghasilkan 19 Strandard Operating Procedure (SOP) dan 1 instruksi kerja, serta 29 formulir untuk melengkapi prosedur

Hasil Penilaian Risiko Keamanan Informasi pada Laboratorium Klinik Berdasarkan Kriteria Kendali Dalam Penerapan ISO 27001

Information is part of an information system that is important to be protected in terms of confidentiality, integrity and availability, in order to increase its reliability. Moreover, information containing personal and health data is definitely available in the clinical laboratory. This becomes a consideration for clinical laboratory management to prepare for the development of its service system in digital transformation. This study aims to assess the information security risks that still arise in a clinical laboratory accredited to ISO 15189 and certified to ISO 9001, as a preparation for digital-based services. By using the ISO 27001 approach which is embedded in the qualitative method in this study, risk assessment is carried out by identification, analysis and evaluation through interviews with process owners at clinical laboratories in Jakarta. As a result, it was found that the Busdev&IT Department had the most information security risks (35 risks out of 384 total risks), which required further treatment based on the established risk appetite. Therefore, vigilance on the use of information systems in the laboratory needs to be improved in terms of information security.Informasi merupakan bagian dari sistem informasi yang penting untuk dilindungi dari segi kerahasiaan, keutuhan dan ketersediaannya, dalam meningkatkan realibilitasnya. Apalagi informasi yang mengandung data diri dan kesehatan tentu tersedia di laboratorium klinik. Hal ini menjadi pertimbangan bagi manajemen laboratorium klinik untuk menyiapkan transformasi digital pada sistem layanannya. Penelitian ini bertujuan untuk menilai risiko keamanan informasi yang masih muncul pada sebuah laboratorium klinik yang terakreditasi ISO 15189 dan tersertifikasi ISO 9001, sebagai persiapan layanan berbasis digital. Dengan menggunakan pendekatan ISO 27001 yang disematkan pada metode kualitatif dalam penelitian ini, penilaian risiko dilakukan dengan identifikasi, analisis dan evaluasi melalui wawancara dengan pemilik proses pada laboratorium klinik di Jakarta. Sebagai hasilnya, ditemukan bahwa Departemen Busdev&TI memiliki risiko keamanan informasi terbesar (35 risiko dari total 384 risiko), yang memerlukan penanganan lebih lanjut berdasarkan selera risiko yang telah ditetapkan. Oleh karena itu, kewaspadaan pada penggunaan sistem informasi di laboratorium perlu ditingkatkan dari segi keamanan informasi

Assessing Information Security Risks in Clinical Laboratory in Accordance With ISO/IEC 27001 Standard

Purpose This study aims to assess the information security risks that still arise in a clinical laboratory accredited to ISO 15189 and certified to ISO 9001, as a preparation for digital-based services. Design/methodology/approach Using the ISO/IEC 27001 approach which is embedded in the qualitative method in this study, risk assessment is carried out by identification, analysis and evaluation through interviews with process owners at clinical laboratories in Jakarta.   Findings As a result, it was found that the Busdev&IT Department had the most information security risks (35 risks out of 384 total risks), which required further treatment based on the established risk appetite. Therefore, vigilance on the use of information systems in the laboratory needs to be increased in terms of information security. Research limitations/implications The research object was in the preparation stage for ISO 27001 certification, but the risk assessment is not only to comply with requirements, that also to have effective information security control among their process to ensure the sensitive information is secured. Originality/value This study answers the need for establishment of information security risk control in clinical laboratory

Evaluación de la seguridad de la información en instituciones de educación superior (IES), de la zona 1 del Ecuador, mediante estándares internacionales de seguridad de la información

Evaluar la seguridad de la información en Instituciones de Educación Superior (IES), de la Zona 1 del Ecuador, mediante estándares internacionales de seguridad de la información.La seguridad de la información contribuye a la mejora continua de las organizaciones públicas o privadas debido a que la información actualmente es declarada un activo importante dentro de las instituciones, más ahora con los avances tecnológicos, la seguridad de la información siempre está en riesgo de ser vulnerada, es por esta razón que se deben analizar nuevos métodos para prevenir cualquier tipo de amenazas, los métodos tradicionales de gestión de la seguridad están quedando obsoletos y la transformación digital exige un cambio y actualización en los programas de seguridad. Por lo tanto, en el presente proyecto de investigación se realiza una revisión sistemática de literatura (SRL) sobre la seguridad, los pilares y las métricas para evaluar la seguridad de la información, obteniendo como resultado documentos científicos que permiten identificar conceptos de seguridad, los pilares y las métricas a utilizar en el proyecto. Para identificar los pilares de seguridad y conocer las métricas asociadas a cada pilar se realizó una investigación de tipo cuantitativa con enfoque exploratorio identificando los pilares básicos (integridad, confidencialidad y disponibilidad) y sumado a ellos se tiene la trazabilidad y accesibilidad, cada uno con métricas basadas en la revisión bibliográfica. Como resultado del proyecto de titulación se tiene un método de evaluación de seguridad de la información basado en el análisis e identificación de métricas asociadas a los pilares de seguridad aplicado en 19 Instituciones de Educación Superior de la Zona 1 del Ecuador.Ingenierí

Estudio de tiempos en los procesos e influencia en productividad del área control documentario en VIVA Negocio Inmobiliario SA. Lima, 2021

En el estudio titulado: “Estudio de tiempos en los procesos e influencia en productividad del área control documentario en VIVA Negocio Inmobiliario SA. Lima, 2021” tiene por finalidad analizar como el estudio de tiempos en los procesos influye en la Productividad del área de control documentario en Viva negocio inmobiliario 2021, para ello se emplea un diagnóstico por medio del diagrama de Ishikawa y análisis de datos para evaluar el criterio actual, y proceder con una metodología, la aplicación de la misma fue cuantitativa, de tipo aplicado, descriptivo y diseño no experimental, la población será 70 trabajadores de la empresa y nuestra muestra será 50 trabajadores de la empresa, el instrumento será la ficha de registro se realizara por la entrevista y observación. El resultado en el coeficiente de correlación de Rho Spearman entre las variables fue de 0,905, indicando una correlación alta, el nivel de significancia fue p = 0,000 menor a 0.05 por lo que se rechazó la hipótesis negativa y se aceptó la hipótesis alterna. Se concluyó que se consiguió el objetivo general en disminuir los tiempos inútiles en un 50% además de aumentar la producción en un 75%

A proposed framework that enhances the quality of cyber security audits

The need to protect information systems or assets remains crucial today. Innovations in technology have led to rapid developments and as technology continues to advance, so is the need to protect information systems. Amongst numerous effects of cyber-attacks on organizations, huge financial losses which in turn affect the economy have since been reported. Cyber security audits need to be strengthened to tighten the protection of information systems. The importance of cybersecurity audits is widely endorsed in literature. Nonetheless, frameworks used to audit cybersecurity are viewed as‘sometimes' weak links to cybersecurity due to their drawbacks in auditing cyber security. A review of literature indicated that cyber-attacks are more rampant in the African continent with the financial sector being the most targeted. Literature also highlighted that the use of relevant frameworks for auditing cyber security improves the quality and effectiveness of audits thereby enhancing cyber security. Studies in information systems have mostly looked at the adoption of frameworks, types of cyber threats and tools needed to audit. Nonetheless, it is important to note that few scholars have examined the applicability and effectiveness of the existing frameworks in auditing cyber security. Furthermore, previous studies emphasize on enhancing cyber security without a particular focus on auditing cyber security including assessing the role of the auditor during the process. As a result, this study looked at cyber security from an auditing perspective with a particular focus on the strengths and weaknesses of the current frameworks that are being used to audit cyber security including. The study also looked at the factors that enhance the effectiveness of cyber security audits. The study draws from different theories, literature and from the strengths and drawbacks of existing frameworks to create an explanatory model. To statistically test and evaluate the model, a quantitative research approach was employed to collect, analyze, and interpret data from South Africa. Data was collected using a questionnaire which was distributed to IT auditors and cyber security professionals from the Information Systems Audit and Control Association (ISACA) South African chapter members. The National Institute of Standards and Technology (NIST) cyber security framework was found to be the widely adopted framework followed by the International Organization for Standardization (ISO) standards, with the Control Objectives for Information Technologies (COBIT) being the least employed framework. The COBIT framework was found to be more aligned to Information Technology governance rather than cyber security. Furthermore, results of this study indicate that effectiveness of cyber security audits is dependent upon competencies of auditors including their ethics and integrity. Results further indicate that frameworks used for auditing are effective to some extent if properly implemented. A proper alignment of an auditor's competencies which include ethics and integrity, and an adoption of a relevant framework will result in effective cyber security audits that reduce the risks of cyber-attacks. Concerning the contribution to practice, results from this study can help organizations to determine and review focus areas of cyber security auditing that they need to emphasize and develop on. Furthermore, the developed model can be used by auditors to develop an audit plan and conduct audits that are effective in identifying, protecting, detecting, preventing, and recovering information systems or assets. The methodological, theoretical, and practical contributions are further discussed in this thesis along with limitations, recommendations, and areas for future research

Desarrollo de un sistema hotelero para gestionar la información de los clientes, basado en el apartado de operación de la norma iso 27001:2014, para el Hotel El Puerto

En su estudio titulado: “desarrollo de un sistema hotelero para gestionar la información de los clientes, basado en el apartado de operación de la norma ISO 27001:2014, para el Puerto Hotel-La Libertad tiene por finalidad Determinar de qué manera influye el desarrollo de un sistema hotelero para gestionar la información de los clientes, basado en el apartado de operación de la Norma ISO 27001:2014, para la empresa El puerto Hotel La Libertad. Este estudio empleo una metodología de tipo aplicada de diseño pre experimental de enfoque cuantitativo, la población está compuesta por 70 trabajadores del Hotel y la muestra está compuesta por 50 trabajadores. Se realizó el análisis de datos mediante software SPSS V 26. Los resultados es que de implementarse mejorará la gestión de la información mantendrá la información segura, secreta y confiable. Se concluye el desarrollo de un sistema hotelero mejorara la gestión de la información, porque el desarrollo del sistema está amparado en la norma ISO 2700

Método de auditor a informática basado en sistemas de procesamiento avanzado de datos que permita minimizar el riesgo de calidad de los resultados

Las Instituciones de Educación Superior (IES) no disponen de un método o marco referencial que apoye al proceso de auditoría, que haga uso de técnicas estratégicas especializadas, ni permitan minimizar los riesgos de calidad y seguridad en los resultados obtenidos, a fin de que puedan aportar como un servicio agregado a los demás que se brindan dentro de estas instituciones y permitan la evaluación o acreditación institucional. Si bien a nivel de IES, existen estudios de propuestas de guías de auditoría informática aplicando metodologías, se conoce que ninguna de ellas contempla los servicios y los procesos específicos que se desarrollan dentro de estas instituciones, con el objetivo de controlar y garantizar la seguridad de los activos tecnológicos frente a las diferentes amenazas e incidentes, así como determinar las oportunidades de mejora. El objetivo de esta investigación es desarrollar un Método de Auditoría Informática para Instituciones de Educación Superior (MAIIES) como apoyo metodológico al proceso de auditoría informática en las IES. Este método incluye la fase de planeación, ejecución, comunicación de resultados, validación y seguimiento del ejercicio de auditoría con cuarenta y siete actividades agrupadas en cada fase. La investigación comprende dos fases. Para la primera fase, se realizó una extensa revisión bibliográfica, la identificación de factores y métricas de calidad y seguridad de la información en auditorías, análisis de marcos referenciales, estudio de la situación actual en las IES de Ecuador que pertenecen a la Corporación Ecuatoriana para el Desarrollo de la Investigación y la Academia (CEDIA). En la segunda fase, se propone el diseño y estandarización del MAIIES.Higher Education Institutions (HEI) do not have a method or referential framework to support the audit process, which makes use of specialized strategic techniques, or to minimize the risks of quality and security in the results obtained, so that they can contribute as an added service to the others provided within these institutions and allow institutional evaluation or accreditation. Although at the HEI level, there are studies of proposals for IT audit guides applying methodologies, it is known that none of them contemplates the specific services and processes that are developed within these institutions, with the objective of controlling and guaranteeing the security of technological assets in the face of different threats and incidents, as well as determining opportunities for improvement. The objective of this research is to develop an IT Audit Method for Higher Education Institutions (MAIIES) as a methodological support to the IT audit process in HEIs. This method includes the phase of planning, execution, communication of results, validation and follow-up of the audit exercise with forty-seven activities grouped in each phase. The research comprises two phases. For the first phase, an extensive literature review was carried out, identifying factors and metrics of quality and information security in audits, analysis of reference frameworks, study of the current situation in the HEIs of Ecuador that belong to the Ecuadorian Corporation for the Development of Research and the Academy (CEDIA). In the second phase, the design and standardization of the MAIIES is proposed.Facultad de Informátic