Guía de auditoría basada en el análisis de riesgos a un centro de datos aplicando la metodología Magerit 3

Trabajo de InvestigaciónEste trabajo de investigación tiene como objetivo primordial analizar y recopilar el procedimiento básico necesario para que un auditor junior, que se enfrenta a la realización de una auditoria interna basada en el análisis de riesgos en el departamento de tecnologías de información y comunicaciones específicamente al centro de cómputo, pueda encontrar una guía en su realización apoyándose de la metodología MAGERIT 3.0 que le permite identificar riesgos en diferentes activos de una empresa, en este caso se evaluara el activo de las instalaciones.168 p.INTRODUCCIÓN 1. GENERALIDADES DEL TRABAJO DE GRADO 2. MARCOS DE REFERENCIA 3. METODOLOGÍA 4. DICCIONARIO DE CONCEPTOS 5. GLOSARIO 6. DESARROLLO 7. CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA APÉNDICES ANEXOS TABLASEspecializaciónEspecialista en Auditoría de Sistemas de Informació

Análisis de los conceptos, elementos y técnicas de la gestión de riesgo orientado a las pymes del sector de las telecomunicaciones basado en magerit v3.

Todas las organizaciones definen su sistema de gestión de seguridad de la información (SGSI) acorde a sus requisitos preestablecidos, recursos disponibles y el punto de vista de la gerencia en cuanto a los riesgos informáticos. De acuerdo a esto cada organización implementa los controles adecuados para mitigar, transferir o encarar los riesgos informáticos. En la presente monografía se pretende dar solución al problema de cómo emplear la Metodología MAGERIT V.3 en organizaciones tipo Pyme del sector telecomunicaciones. MAGERIT V.3, fue elaborada por la Comisión de Estrategia TIC del Gobierno de España, antes conocida como El Consejo Superior de Administración Electrónica y es considerada como la más completa tanto para organizaciones públicas y privadas. El objetivo principal que abarca la realización de este documento es acercar de una manera un poco más resumida la metodología MAGERIT V.3 a los profesionales en seguridad informática que estén interesados en implementar dicha metodología en pequeñas y medianas empresas del sector de las telecomunicaciones. La metodología consta de 3 libros: Método, Catálogo de Elementos y Guía de Técnicas. Finalmente se realizará una guía de la metodología empleada en pymes del sector de las telecomunicaciones. Por lo tanto, se espera un documento que permita un acercamiento mucho más profundo a la metodología MAGERIT V.3 para precisar los beneficios al ejecutar el análisis y gestión de riesgos relacionados con las tecnologías de la información en Pymes.All organizations define their information security management system (ISMS) according to their pre-established requirements, available resources and management's point of view regarding IT risks. According to this, each organization implements the appropriate controls to mitigate, transfer or address computer risks. This monograph aims to solve the problem of how to use the MAGERIT V.3 Methodology in SME-type organizations in the telecommunications sector. MAGERIT V.3, was prepared by the ICT Strategy Commission of the Government of Spain, formerly known as the Higher Council of Electronic Administration and is considered the most complete for both public and private organizations. The main objective covered by this document is to bring the MAGERIT V.3 methodology closer to professionals in information security who are interested in implementing this methodology in small and medium-sized companies in the telecommunications sector. The methodology consists of 3 books: Method, Catalog of Elements and Guide of Techniques. Finally, a guide will be made on the methodology used in SMEs in the telecommunications sector. Therefore, a document is expected that allows a much deeper approach to the MAGERIT V.3 methodology to specify the benefits when executing the analysis and management of risks related to information technology in SMEs

Seguridad, estandarización, objetivos de control y su cuantificación económica para el sistema transaccional de gestión presupuestaria GEPRE – UNCuyo, en el marco de la gestión de calidad

El crecimiento casi exponencial de los clientes, flujos de datos, tiempos de uso y servicios para los sistemas transaccionales de gestión presupuestaria en la intranet/extranet de la Universidad hace indispensable pensar, a lo menos desde hace más de un quinquenio, se adjudiquen gran parte de los esfuerzos y dineros institucionales a tareas de clasificación, jerarquización y almacenamiento de éste. Así mismo se ha de considerar como uno de los activos con gran valor agregado a la disponibilidad del sistema transaccional para la gestión presupuestaria de la UNCuyo “GEPRE" y como consecuencia del anterior trabajo, respecto a los accesos indebidos y caídas de la seguridad en la intranet de la Facultad de Ciencias Económicas. Aunque con tal crecimiento y auge por el uso de NTIC (Nuevas Tecnologías de la Información y la Comunicación) en la UNCuyo no se ha acompañado el desarrollo de un plan de contingencias ni siquiera establecida una matriz de riesgos que denote las áreas de función de informática susceptibles y por tanto no existe un plan de auditoria. En este sentido no se pretende activar una auditoria en particular sino iniciar una investigación que dispare en un marco más amplio un plan general de auditoria sustentable bajo las normas y estándares de calidad IRAM-ISO 17799 y los objetivos de control para la información y tecnología afines CoBiT. En especial contestar a la pregunta ¿cuál es el coste, para la UNCuyo, por la no estandarización y/o expresión de los objetivos de control en materia de seguridad de seguridad, caídas de servicio y de sistema, etc., en las áreas funcionales en contacto a través de la red?The growing almost exponential of the clients, data flow, use times and services for the transactional of budget conduct in the intranet/extranet of the University makes thinking indispensable, to the least since more than a quinquennium, big art of the efforts and the institutional money to qualification works, ranking and storing of this. The same thing has been considered as one of the active with a big aggregate value to the availability of the transactional system for the budget conduct of the UNCuyo “GEPRE" and as consequence of the anterior work, respecting to the unlawful access and falls of the security in the Faculty of Science Economics. Although, with such growing and supreme for the use of the News Technologies Information and Communication in the UNCuyo hasn’t been accompanied. Even though such increment is due to the use of NTIC in UNCuyo eventually array haven’t been developed or established. That carries out a function in computer science or establishes an audit plan. In this way it doesn’t pretend to activate a particular an audit if not star an investigation that discharges in an extended frame a general plan of sustainable audit under the norms and standards of quality IRAM_ISO 17799 and the objectives of control for the information and technology cognate CoBiT in order to applied MAGERIT methodology. Specially to answer the question which is the cost, for the UNCuyo, in order to don’t standardize and/or expression of the objectives in matter of security, fall of service and system, and so forth., in the functional areas of contact across of the net

Auditoría informática para prevención de ataques informáticos aplicado a los docentes de la Universidad “Laica Eloy Alfaro de Manabí” extensión el Carmen.

Con la finalidad de identificar las fallas, peligros o vulnerabilidades que pudieran poner en riesgo el buen funcionamiento de los equipos de cómputo de los docentes, la actividad planificada consiste en realizar una auditoría informática a la planta docente de la Universidad Laica Eloy Alfaro de Manabí extensión en El Carmen. Previo a la realización de la auditoría, se completó la investigación teórica y bibliográfica correspondiente y su implementación. Los principales hallazgos se utilizaron para desarrollar las directrices basadas en la metodología Magerit y para apoyar el desarrollo de contenidos relacionados con la auditoría informática a nivel de software.In order to identify failures, dangers or vulnerabilities that could jeopardize the proper functioning of teachers' computer equipment, the planned activity consisted of conducting a computer audit of the teaching staff of the Universidad Laica Eloy Alfaro de Manabí extension in El Carmen. Prior to the audit, the corresponding theoretical and bibliographical research and its implementation were completed. The main findings were used to develop guidelines based on the Magerit methodology and to support the development of content related to computer auditing at the software level. Research continued on data collection approaches, strategies and tactics to support the implementation of the audit, such as interview and survey to obtain verifiable data on the status of IT assets. A risk estimation table was implemented to distinguish the level of vulnerability each estimated asset is at. Each asset was tabulated with its risk percentage, where it was possible to specify the different eventualities they present, for which a methodology based on "Magerit" risk analysis and management was used. It could be noted that there are several vulnerabilities within the computer security of teachers, although there are teachers who are able to mediate the situation, there is another part that ignores much about the situation, among the main results obtained were noted the lack of knowledge about the risks that can cause having personal data exposed on the internet, as well as the danger of not having a firewall to help combat attacks on the network. The main assets of teachers that are used as work tools tend to be the most vulnerable to infection or computer attacks due to all the uses that are given such as surfing the web, uploading and downloading files that interact with computer assets

Fundamentos de Auditoría Informática basada en riesgos

El crecimiento exponencial de las tecnologías informáticas y su uso transversal en todo tipo de procesos, productos y servicios en empresas e instituciones, desemboca que en momentos determinados el uso de estas tecnologías se vuelva incontrolable, en ciertos casos llegando a ocasionar diferentes amenazas y vulnerabilidades informáticas intencionales o no intencionales y no identificadas, por lo es necesario tener mecanismos, procedimientos, metodologías, estándares que se enfoquen en la prevención, detección y mitigación de todo tipo de riesgos. Para ello se ha desarrollado el presente libro con la finalidad de que el lector disponga de una base sustancial que nos permita llevar a cabo una auditoría informática vista desde las distintas aristas tecnológicas que se pueden presentar en las empresas o instituciones. Se espera que el lector después de aplicar el presente texto en procesos de auditoria informática basada en riesgos obtenga la información necesaria que le permita implementar exámenes de auditoria informática de una manera técnica y documentada, resultados que le permitan efectuar recomendaciones sustanciales con la finalidad de que se implementen planes de mejora continua.Universidad Técnica del Nort

Propuesta de una auditoria de seguridad para el manejo de vulnerabilidades de la red informática de la Universidad Señor de Sipan

La presente tesis, propuesta de una auditoria de seguridad para el manejo de vulnerabilidades de la red informática de la universidad señor de sipan., tiene por objetivo un manejo adecuado de vulnerabilidades de la red informática utilizando la herramienta pilar BASIC con una licencia de evaluación de 30 días que se usara para derrollarla realizando un análisis cualitativo de los activos dando lugar a la aplicación del modelo MAGERIT -Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, la cual contribuirá a que la red posea un conocimiento claro sobre las vulnerabilidades que pueden presentarse. MAGERIT fue desarrollado por el Consejo Superior de Administración Electrónica de España, como respuesta al crecimiento acelerado de la tecnología de información y al mayor uso que hacen las Organizaciones, con la finalidad de concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de mitigarlos a tiempo. Conclusión En el presente trabajo Se realizó un análisis de riesgos e impactos para ver las vulnerabilidades de la red informática además se describe los conceptos e importancia relacionada en la auditoria informática de seguridad de los diversos equipos, servicios y personal del área de TI con el uso de la herramienta pilar utilizando la metodología Magerit enfocándose en los activos de toda la red para ver y diagnosticar su estado actual. Se recomienda realizar anualmente una auditoria para ver el estado actual de los equipos y su funcionamiento para que brinden un correcto servicio y que no estén vulnerables a los daños tanto físicos como lógicos por lo tanto se, logra así tener todo bajo control y toda la seguridad de su base de datosTesi

El análisis de riesgos dentro de una auditoría informática : pasos y posibles metodologías

El presente trabajo se ha estructurado fundamentalmente en dos partes bien diferenciadas. La primera parte comprende desde el capítulo II hasta el capítulo VI y la segunda parte incluye los capítulos VII, VIII y IX. En la primera parte se ha llevado a cabo un estudio teórico sobre las áreas de conocimiento que están involucradas en este trabajo, es decir, sobre la auditoría informática y el análisis de riesgos. Para ello hemos recurrido a los trabajos publicados por varios autores de reconocido prestigio que nos han permitido estudiar diferentes tipos y modelos de auditoría para diferentes campos de la informática, así como presentar una primera aproximación metodológica al desarrollo de una auditoría. Así mismo, hemos realizado un estudio de las principales metodologías, normas y marcos de trabajo existentes en el campo de la Auditoría de Sistemas de Información; hemos repasado la familia ISO 2700 (incluyendo la ISO 27001, la 27002, la 27004 y la 27007), la ISO/IEC 38500, las normas de auditoría de ISACA, ITIL y por supuesto el marco COBIT. Con relación al análisis de riesgos, hemos seguido un desarrollo similar al expresado anteriormente para la auditoría. Primero hemos planteado un estudio teórico sobre el concepto de análisis y gestión del riesgo, para a continuación llevar a cabo un estudio de las diferentes metodologías y estándares existentes en el mercado para llevar a cabo un análisis de riesgos. Nos hemos centrado en las siguientes: AS/NZS ISO 31000:2009, UNE 71504:2008, OCTAVE, ISO/IEC 27005:2011, MEHARI, CRAMM y, por supuesto, MAGERIT, que luego hemos utilizado como base en nuestra propuesta metodológica como más adelante explicaremos. Lo anteriormente expuesto formaría lo que hemos denominado marco teórico de trabajo. A continuación expondremos la segunda parte o propuesta de metodología propia para llevar a cabo una auditoría informática utilizando un análisis de riesgos. Para ello, lo primero que hemos realizado ha sido unos análisis comparativos de los estándares, marcos de trabajo y guías y normas de la auditoría informática, por una parte y, por otra parte, un análisis comparativo de estándares y metodologías de análisis de riesgos. Finalmente, hemos realizado una propuesta metodológica para llevar a cabo una auditoría soportada en el análisis de riesgos, que entendemos susceptible de ser utilizado en entidades pequeñas y medianas. Hemos completado dicha propuesta con unas plantillas en Excel y una página web que podrá servir de mecanismo rápido de consulta para el auditor. __________________________________________________________________________________________________________________________This work has been structured mainly in two different parts. The first part covers from chapter II to chapter VI and the second part includes chapters VII, VIII and IX. In the first part, a theoretical study has been carried out on the areas of knowledge that are involved in this work, i.e., on the information technology audit and risk analysis. For this purpose we have resorted to papers published by several renowned authors which have enabled us to study different types and models of audit for different fields of computer science, as well as presenting a first methodological approach to the development of an audit. Likewise, we have carried out a study of the main methodologies, standards and frameworks existing in the field of the information systems audit: we have reviewed the ISO 2700 family (including ISO 27001, 27002, 27004 and 27007), ISO/IEC 38500, the auditing standards of ISACA, ITIL and, of course, the COBIT framework. Regarding risk analysis, we have followed a similar development to the one explained previously for the audit. We have first planned a theoretical study on the concept of risk management and analysis, then carried out a research of the different methodologies and standards existing in the market to carry out a risk analysis. We have focused on the following: AS/NZS ISO 31000: 2009, UNE 71504: 2008, OCTAVE, ISO/IEC 27005: 2011, MEHARI, CRAMM and, of course, MAGERIT, that then we have used as a base in our methodological proposal, as explained later. The above would be what we call theoretical framework. Then, we will expose the second part or proposal of methodology to carry out an information technology audit using a risk analysis. To do this, we have made several comparative analyses of standards, frameworks and guides and computer auditing standards on the one hand and, on the other hand, a comparative analysis of standards and risk analysis methodologies. We have finally made a methodological proposal to carry out an audit based on risk analysis, which we believe that can be used in small and medium-sized entities. We have completed the proposal with a few Excel templates and a web page that can serve as a quick reference for the auditor.Ingeniería Técnica en Informática de Gestió

Gestión de riesgos informáticos aplicando una metodología de análisis para verificar la seguridad de la información en una Empresa de Auditoría, Consultoría y Capacitación

Gestionar los riesgos informáticos aplicando una metodología de análisis para verificar la seguridad de la información en una empresa de auditoría, consultoría y capacitación.Este trabajo investigativo tiene como finalidad gestionar los riesgos informáticos aplicando una metodología de análisis para verificar la seguridad de la información para una empresa de auditoria, consultoría y capacitación. Para cumplir con los objetivos se realizó la búsqueda de la metodología que se apegue más al enfoque y a la realidad de la falta de experiencia en el campo que se engloba este trabajo. El capítulo uno define un marco teórico para poder entender y encaminar este trabajo, para poder tener una visión clara de los conceptos que engloba la Seguridad de la Información y la Gestión de Riesgos Informáticos en entidades que están implicadas en esta área. El capítulo dos se usa el método Delphi para comparar la metodología Magerit e ISO 27005 dicho método se basa en consultar a un grupo de expertos en el área y escoger la que al final del proceso sea la adecuada. El capítulo tres muestra la aplicación en todo su contexto de la metodología Magerit que salió ganadora de la comparación, para aplicar dicha metodología se usa la herramienta Pilar que es desarrollada en base a Magerit.Ingenierí

Adaptación de una empresa tecnológica a UNE-ISO/IEC 27001 (versión 2013)

En la primera parte de este trabajo se detalla la introducción y los objetivos del proyecto. También se ahonda en las bases de lo que es un Sistema de Gestión de la Seguridad de la Información, lo que representa, que objetivos, recomendaciones y requerimientos son necesarios tener definidos, así como algunos ejemplos de políticas de seguridad. Se expone el sistema CIA y su importancia en un SGSI. Todos estos conceptos, se completan con una breve descripción de algunas de las normas internacionales ISO más representativas, haciendo especial énfasis en la norma 27001, que es la base del proyecto. Para la segunda parte y como centro del proyecto, se ha creado una guía que puede servir de referencia a una empresa que desee certificarse en la norma ISO 27001, ya que se ha desarrollado un manual de seguridad siguiendo la estructura de la norma 27001:2013, en la que se describe, punto por punto, todos los requisitos que impone dicha norma, así como todos los registros y documentos que hay que crear para poder obtener la certificación.On the first part of the Project it is detailed the abstract, and purpose of it. It also deepens on the fundamentals of what an ISMS is, what it represents and the goals, recommendations, and requirements that must be defined as well as security policies that are implied. It is explained the CIA system, and it´s importance on a ISMS. All these concepts are completed with some short descriptions on some of the most relevant international ISO Standards focusing on the 27001 Standard, which is the core of the project. For the second part and as the center of the Project it has been created a manual that may be used as a handbook for an enterprise that is willing to get certified on the ISO 27001, given that it has been created following the 27001:2013 guidelines. The final result is a guide that will serve as complete assistance to get all the registries, tasks and requirements that getting certified demands.Ingeniería Técnica en Informática de Gestió

Documentación de un Sistema de Gestión de seguridad de la información (SGSI) para la empresa Don Pollo S.A.S. Armenia.

Introducción: La información es un valioso activo del que depende el buen funcionamiento de La empresa, mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de negocio. En la actualidad el desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios e interactuar con la sociedad, a la vez que ha aumentado los riesgos para las empresas, exponiéndolas a nuevas amenazas. Es por esto que ha sido importante desde tiempos inmemorables implementar los medios necesarios para evitar el robo y manipulación de los datos confidenciales. Es así como la Empresa Don Pollo SAS Armenia empezará un proceso de diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) lo cual otorgará un beneficio en la implantación de las políticas y controles resultado de este proyecto..