Desarrollo de una propuesta de mitigación de riesgos y vulnerabilidades en activos lógicos

Trabajo de InvestigaciónEste proyecto abarca el desarrollo de una propuesta de controles para la mitigación de riesgos y vulnerabilidades, para JAVESALUD IPS, esto con el propósito de mejorar la confidencialidad, disponibilidad e integridad de la información manejada y procesada en la empresa. Para desarrollar la propuesta, se aplicarán herramientas concernientes a los modelos de análisis y evaluación de riesgos que permitan detectar las vulnerabilidades existentes en la seguridad de los activos lógicos de la entidad; como parte de este diagnóstico se pretende evaluar la infraestructura, los roles con autorización de ingreso a información sensible, y las políticas de seguridad de la información estipuladas en la empresa. El proyecto generara un informe de controles, y no su implementación ya que se deja con completa autonomía a la alta gerencia de la entidad el adoptar o no los controles propuestos.INTRODUCCIÓN 1. GENERALIDADES 2. MARCOS DE REFERENCIA 3. METODOLOGÍA 4. DESARROLLO DE LA PROPUESTA 5. CONCLUSIONES 6. PRODUCTOS QUE ENTREGAR 7. RESULTADOS ESPERADOS E IMPACTOS 8. ESTRATEGIAS DE COMUNICACIÓN 9. BIBLIOGRAFÍAEspecializaciónEspecialista en Seguridad de la Informació

Guía Metodológica para la Administración de la Seguridad Física de la Información en Pymes

La Guía Metodológica para la Administración de la Seguridad Física de la Información en Pymes es una herramienta para la gestión de riesgos sobre la seguridad física de los activos de información de las pequeñas y medianas empresas.The Methodological Guide for information´s Physical Security Management in SMEs is a tool for risk management on the physical security of the information assets of small and medium enterprises.Ingeniero (a) de SistemasPregrad

Estudio sobre el conocimiento y la aplicabilidad de la seguridad informática en las empresas.

Actualmente el desarrollo de la tecnología, hace que los administradores del sistema informático se preocupen más por la seguridad de la información, es por ello que ésta monografía permitió identificar las características, condiciones y factores de riesgo de la seguridad informática en empresas medicas; mediante el análisis crítico de distintas fuentes bibliográficas. Esta revisión permitió construir un marco teórico, en el cual se especifican las diferentes metodologías soportadas, su importancia y aplicabilidad. Posteriormente y después de las revisiones y análisis documentales, fue posible evaluar establecer que la metodología MAGERIT, es la mejor herramienta, que reconoce los riesgos asociados a autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad, a los cuales están sometidos los activos de la información en las empresas médicas de Bogotá. MAGERIT genera mayor confiabilidad en seguridad informática y además obtiene las mejores recomendaciones al momento de tomar decisiones ante un riesgo inminente. Finalmente se destaca que es de vital importancia que en las empresas médicas, se establezcan objetivos empresariales, políticas de seguridad que permitan controlar la realización de los procesos, y de esta manera mejorar el análisis de riesgosCurrently the development of technology, makes the administrators of the computer system worry more about the security of information, which is why this monograph allowed to identify the characteristics, conditions and risk factors of medical companies; through the critical analysis of different bibliographic sources. This review allowed the construction of a theoretical framework, in which the different methodologies supported, their importance and applicability are specified. Subsequently and after the reviews and documentary analyzes, it was possible to assess that the MAGERIT methodology is the best tool, which recognizes the risks associated with authenticity, confidentiality, integrity, availability and traceability, to which the information assets are subject. In the medical companies. MAGERIT generates greater reliability in computer security and also obtains the best recommendations when making decisions in the face of an imminent risk. Finally it is emphasized that it is of vital importance that in the medical companies, business objectives are established, security policies that allow to control the realization of the processes, and in this way improve the risk analysis

Modelo de seguridad de la información para contribuir en la mejora de la seguridad de los activos de información financiera de las unidades de gestión educativa local de Lambayeque

La investigación se centra en contribuir en la protección de información financiera de las Unidades de Gestión Educativa Local en la región Lambayeque, por no contar con un modelo de seguridad de la información para sus activos de información financiera, analizando cómo se encuentran actualmente estas unidades, se pudo comprobar que requieren establecer controles que ayuden a proteger dicha información, así minimizar las consecuencias de las amenazas a las que están expuestas. El objetivo general planteado fue contribuir en la mejora de la seguridad de los activos de información financiera de las Unidades de Gestión Educativa Local de la región Lambayeque, de tal manera que se propuso un modelo de seguridad de la información, analizando marcos de trabajo y estándares internacionales relacionados con este estudio, para adaptarlos al contexto de la unidad de gestión educativa local. El modelo fue validado por tres expertos, logrando medir la confiabilidad mediante el uso de alfa de Cronbach, así también su concordancia con Kendall, esto permitió demostrar que es válido y se puede aplicar como herramienta en la gestión de seguridad de la información para contribuir en la mejora de activos de información financiera en el sector de Unidades de Gestión Educativa Local

Evaluación de la seguridad en los activos de información del departamento de Tecnologías de la Información y las Comunicaciones en la Organización EAR Construcciones

E.A.R Construcciones es una Empresa que nace de la perseverancia de un grupo de profesionales visionarios, unidos por un firme compromiso, el contribuir a través del conocimiento a hacer realidad los sueños, proyectos e ideales de los clientes, cuya formación está fundamentada en los principios morales y éticos que toda empresa debe tener, es lo que conforma hoy E.A.R construcciones S.A.S; con su esfuerzo y pujanza se encamina hacia la creación, fortalecimiento y formación de bases sólidas en el mercado, que con el tiempo sustentarán lo que hoy en día representa la misión; el cual durante el tiempo ha demostrado su capacidad para superar los desafíos surgidos y ha podido llenar las expectativas de los clientes.E.A.R Construcciones is a Company that is born from the perseverance of a group of visionary professionals, united by a firm commitment, contributing through knowledge to realize the dreams, projects and ideals of customers, whose formation is based on the moral and ethical principles that every company must have, is what makes up today E.A.R Construcciones S.A.S; with its effort and strength is directed towards the creation, strengthening and formation of solid bases in the market, that over time will support what today represents the mission; which over time has demonstrated its ability to overcome the challenges that have arisen and has been able to meet the expectations of customers

Gestión del riesgo en la seguridad de la información con base en la Norma ISO/IEC 27005 de 2011, proponiendo una adaptación de la Metodología OCTAVE-S. Caso de estudio: proceso de inscripciones y admisiones en la división de admisión registro y control AC

Este documento presenta la aplicación de la metodología OCTAVE-s para el análisis y gestión del riesgo en la seguridad de la información, adaptada al proceso Inscripciones y Admisiones, en la División de Admisión, Registro y Control Académico (DARCA) de la Universidad del Cauca; siguiendo las directrices de la norma ISO/IEC 27005:2011. Además se incluye la estructura del proceso, y el procedimiento escogido como caso de estudio para aplicar el tratamiento del riesgo. Finalmente, se muestran los resultados obtenidos y las conclusiones de la gestión del riesgo con la metodología adaptada

Evaluación de la capacidad de detección y respuesta a riesgos de ciberseguridad, caso de la empresa SISC

El presente trabajo de investigación tuvo por objetivos diagnosticar el nivel de capacidad en la gestión de la ciberseguridad de la empresa, identificar las brechas para diseñar y proponer los controles claves para fortalecer la ciberseguridad y, por último, elaborar y proponer la hoja de ruta de implementación de los controles clave. Asimismo, se limitó el alcance a los aspectos relacionados a la detección y respuesta de eventos relacionados a la ciberseguridad. De otro lado, cabe señalar que el trabajo ha sido dividido en cinco capítulos. El primero de ellos es la introducción, que describe el contexto actual de la ciberseguridad y los retos que este mismo presenta. El segundo capítulo delimita con mayor detalle el problema materia de la investigación como la incapacidad de la empresa para detectar y responder a un evento de ciberseguridad. En el tercer capítulo, se describe el marco de referencia en ciberseguridad del National Institute of Standards and Technology de Estados Unidos (NIST) (2018), que se ha usado como el principal marco de referencia. Asimismo, se describe la norma ISO/IEC 33020-2015 (International Standard Organization 2015) como referente para la evaluación de capacidad actual de los procesos y la guía COBIT 5 para riesgos (ISACA 2013), que es utilizada para la gestión y el control de riesgos asociados a la tecnología de la información. Ambos documentos serán tomados como complementos referenciales para este trabajo de investigación. Más adelante, en el cuarto capítulo, se describe la metodología usada, que comprende el priorizar y delimitar las áreas de negocio dentro de un rango de alcance, identificar los activos de información involucrados, efectuar el análisis de capacidad actual de los procesos, ejecutar una evaluación de riesgos, determinar y priorizar las brechas encontradas y desarrollar la hoja de ruta de implementación de las mejoras. Luego, en el quinto capítulo, se muestran los resultados de la investigación, que corresponden a la evaluación de capacidad de los procesos investigados y el análisis de riesgos dentro del contexto de la ciberseguridad; asimismo, se presentan los controles recomendados para superar las brechas de capacidad identificadas

Identificación de vulnerabilidades de seguridad en el control de acceso al sistema de gestión empresarial, mediante pruebas de testeo de red en la empresa Jardines Cristo Rey Ltda.

El presente proyecto de aplicación busca mediante la identificación y la realización de pruebas de testeo a la red de datos de la compañía JARDINES CRISTO REY LTDA., ubicada en la ciudad de Pasto (Colombia), con las cuales se permita evidenciar y diagnosticar el conjunto de vulnerabilidades existentes en el control de acceso al Sistema de Gestión Empresarial, el cual soporta todos los procesos administrativos de la compañía, lo que lo convierte en un sistema primordial para la empresa y que exige a la administración el protegerlo, ya que en la actualidad no cuenta con medidas de seguridad empleadas para tal fin. El estudio obtenido se empleará posteriormente para realizar la evaluación de su impacto, de acuerdo al dictamen revelado, con lo anterior se busca identificar y plantear un conjunto de estrategias de mitigación de los riesgos encontrados que conlleve la prevención contra incidentes y por ende el fortalecimiento de la seguridad en el control de acceso del Sistema de Gestión Empresarial, lo que da como resultado la elaboración de un documento que contenga el desarrollo del proceso propuesto en este proyecto. Para su desarrollo se aplicará la metodología propuesta por Serrato, en la cual se definen los pasos a ejecutarse en el rastreo y evaluación de vulnerabilidades en sistemas de gestión de información a nivel lógico, de igual manera que se hará uso del software libre OpenVAS (Sistema Abierto para Evaluación de Vulnerabilidades), con lo que se busca llevar a cabo el levantamiento de evidencias relacionadas con fallas y vulnerabilidades del sistemas de información de la compañía.This application project seeks to identify and carry out testing to the data network of the company JARDINES CRISTO REY LTDA., Located in the city of Pasto (Colombia), with which it is possible to demonstrate and diagnose the whole of existing vulnerabilities in access control to the Business Management System, which supports all the administrative processes of the company, which makes it a primary system for the company and which requires the administration to protect it, since currently It does not have security measures used for this purpose. The study obtained will be used later to carry out the evaluation of its impact, according to the revealed opinion, with the above it seeks to identify and propose a set of mitigation strategies for the risks found that entail prevention against incidents and therefore the strengthening of security in access control of the Business Management System, which results in the preparation of a document containing the development of the process proposed in this project. For its development, the methodology proposed by Serrato will be applied, in which the steps to be executed in the tracking and evaluation of vulnerabilities in information management systems at the logical level are defined, in the same way that the free software OpenVAS (System Open for Vulnerability Assessment), which seeks to carry out the collection of evidence related to flaws and vulnerabilities in the company's information systems

Seguridad perimetral y segmentación lógica en la red de datos del Instituto Tecnológico Superior José Chiriboga Grijalva de la ciudad de Ibarra

Mejorar el esquema de Seguridad Perimetral en la red de datos del Instituto Tecnológico Superior José Chiriboga Grijalva para de esta manera solucionar los problemas incidentes de la seguridad.El proyecto de titulación se basa en el diseño e implementación de un Sistema de Seguridad Perimetral para la red de datos del Instituto Tecnológico Superior José Chiriboga Grijalva ¿ de la ciudad de Ibarra, con el objetivo primordial de mejorar la seguridad de la información en la institución educativa . Como inicio del desarrollo del Sistema de Seguridad Perimetral, se realiza el levantamiento de la información de los activos informáticos físicos y lógicos de la institución con el objetivo primordial de evidenciar directamente la situación actual de red de datos , de esta manera se obtendrá las vulnerabilidades y amenazas, a las que se encuentra sometida la red lógica , con este antecedente se realiza el estudio del análisis de riesgo donde se utilizara la Guía del Instituto Nacional de estándares y tecnología NIST SP 800-30, y describir puntualmente los niveles actuales de seguridad de la información. La parte de implementación del sistema de Seguridad Perimetral consta básicamente de la configuración del firewall en software libre, donde se definen las políticas de acceso o restricción que permita una defensa ante los ataques que puedan suscitarse en la red de datos, además la implementación y configuración del IPS y finalmente la creación de VLANs necesarias y que se ajusten a las necesidades de la red para un correcto funcionamiento de la segmentación lógica

Propuesta de una auditoria de seguridad para el manejo de vulnerabilidades de la red informática de la Universidad Señor de Sipan

La presente tesis, propuesta de una auditoria de seguridad para el manejo de vulnerabilidades de la red informática de la universidad señor de sipan., tiene por objetivo un manejo adecuado de vulnerabilidades de la red informática utilizando la herramienta pilar BASIC con una licencia de evaluación de 30 días que se usara para derrollarla realizando un análisis cualitativo de los activos dando lugar a la aplicación del modelo MAGERIT -Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, la cual contribuirá a que la red posea un conocimiento claro sobre las vulnerabilidades que pueden presentarse. MAGERIT fue desarrollado por el Consejo Superior de Administración Electrónica de España, como respuesta al crecimiento acelerado de la tecnología de información y al mayor uso que hacen las Organizaciones, con la finalidad de concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de mitigarlos a tiempo. Conclusión En el presente trabajo Se realizó un análisis de riesgos e impactos para ver las vulnerabilidades de la red informática además se describe los conceptos e importancia relacionada en la auditoria informática de seguridad de los diversos equipos, servicios y personal del área de TI con el uso de la herramienta pilar utilizando la metodología Magerit enfocándose en los activos de toda la red para ver y diagnosticar su estado actual. Se recomienda realizar anualmente una auditoria para ver el estado actual de los equipos y su funcionamiento para que brinden un correcto servicio y que no estén vulnerables a los daños tanto físicos como lógicos por lo tanto se, logra así tener todo bajo control y toda la seguridad de su base de datosTesi