Por favor, use este identificador para citar o enlazar este ítem: http://hdl.handle.net/10596/14249
Registro completo de metadatos
Campo DC Valor Lengua/Idioma
dc.contributor.advisorGonzález García, Salomón-
dc.coverage.spatialcead_-_ocañaspa
dc.creatorQuintero González, Libardo Andrey-
dc.date.accessioned2018-01-04T02:23:04Z-
dc.date.available2018-01-04T02:23:04Z-
dc.date.created2017-12-15-
dc.identifier.other1091659463spa
dc.identifier.urihttp://hdl.handle.net/10596/14249-
dc.description.abstractEl CEDIT no cuenta con una política que le permita establecer los mecanismos para salvaguardar la información y los recursos tecnológicos que tienen a su cargo, tampoco se cuenta con una metodología formalmente establecida con la que sus miembros entiendan y tengan claro los riesgos a los que exponen la información que generan. La pérdida o duplicidad de la información y el acceso de usuarios no autorizados a la información clasificada de los diferentes proyectos que se generan y gestionan dentro de la institución, son los problemas que se detectan y se pretenden corregir al realizar un análisis y evaluación de los riesgos existentes en el Centro de Desarrollo e Innovación Tecnológica – CEDIT, dependencia de la Universidad Francisco de Paula Santander Ocaña. Se logra hacer un levantamiento del inventario de los activos presentes en el CEDIT y de acuerdo a la clasificación que se le da a cada uno, se identifican 58 activos principales, estos son: físicos, lógicos, de personal, de infraestructura e intangibles, correspondientes a activos esenciales, arquitectura del sistema, datos e información, claves criptográficas, servicios, aplicaciones, equipos informáticos, soportes de información, equipamiento auxiliar, instalaciones y personal, valorándolos de tal manera que cada uno puede ocasionar una falla grave de acuerdo a su importancia dentro de los procesos que se ejecutan a diario en el CEDIT, la ausencia de alguno de ellos puede convertirse en un fallo o interrupción del servicio, por lo cual se afirma la importancia de este proyecto. Basándose en la metodología Magerit que a pesar de ser más extensa, ayuda a adaptar mejor las actividades a desarrollar en la empresa para lograr el fin deseado, a través de la aplicación de dicha metodología se logra recopilar la información necesaria y obtener resultados que permitieron identificar los riesgos y vulnerabilidades existentes, dentro de las que se destacan: indisponibilidad del personal, fugas de información, errores de monitorización, fallo de servicios de comunicaciones, pérdida de equipos, difusión de software dañino, manipulación de la configuración de las estaciones de trabajo, caída del sistema por agotamiento de recursos, entre otros; con esta información se procede a definir  los mecanismos de control y gestión que ayuden a la minimización de dichas amenazas, para ello se aplicó una lista de chequeo con el fin de identificar los controles existentes para posteriormente hacer un diagnóstico que permitiera definir el grado de cumplimiento de la política y de esa manera determinar nuevos controles. Concluido todo el proceso descrito se celebra una reunión ejecutiva con la alta dirección de la Universidad Francisco de Paula Santander Ocaña, contando con la presencia de los directamente implicados en la dirección y supervisión del CEDIT, a los que se les presentan los hallazgos determinado con el análisis y evaluación de riesgos a ellos se les exponen y plantean las correspondientes opciones de mejora. Primeramente se les socializan temas de auditoria mostrándoles que  no se tiene un sistema establecido para hacer seguimiento a la actividad diaria ni al momento de presentarse un incidente, tampoco se cuenta con un plan de continuidad del negocio que permita la recuperación en caso de un grave incidente de seguridad. Se les evidencia que en la red de datos no se aplican procesos para protegerla, cualquier persona puede conectarse a un punto de red y obtiene acceso a ella, la red inalámbrica también es de fácil acceso y los dispositivos activos de red se encuentran a la vista y sus condiciones no son las más óptimas. Así mismo se da a conocer los resultados donde se evidencia que no se tiene el control apropiado sobre los activos intangibles que se producen, a pesar que el material se genera y se publica en el CEDIT y allí queda toda la trazabilidad de cada proyecto y el producido final, cualquier persona puede llevarse esa información de manera abusiva o compartirla a través de la web, y este es uno de los puntos en los que más se falla, pues la falta de controles y mecanismos de protección permiten que esto suceda. Se encuentra también que no están establecidas las políticas de uso de los dispositivos de cómputo, el personal que hace uso de ellos puede hacer e instalar prácticamente lo que desee, por lo que se les recomienda establecer la política de uso, mantenimiento y prevención de instalación de software, cambio de configuraciones y acceso al hardware de los equipos. Al tratarse de políticas de seguridad se evidencia que no se cuenta con procedimientos de manejo de niveles de acceso que se otorgan  a los usuarios y empleados, se evidenció que todos los equipos de cómputo poseen un usuario administrador en el que cualquiera puede entrar y hacer uso completo de las máquinas, no se da un manejo adecuado de contraseñas,  ni a los usuarios externos ni a los mismos empleados se les instruye en el uso de contraseñas seguras. Aunque se cuenta con una red sólida y regida por algunos estándares, el nivel de aseguramiento de los servidores y demás equipos importantes no es la mejor a nivel físico y lógico, pues no existen mecanismos solidos que ayuden a proteger estos equipos contra accesos no autorizados e incluso ataques informáticos, la información se encuentra expuesta, con un mínimo de conocimiento básico en seguridad informática se puede llegar a ella, vulnerando fácilmente algunos controles con los que se cuenta actualmente.spa
dc.formatpdfspa
dc.titleAnálisis y evaluación de riesgos en el Centro de Desarrollo e Innovación Tecnológica – CEDIT de la Universidad Francisco de Paula Santander Ocaña.spa
dc.typeProyecto Aplicado o Tesisspa
dc.subject.keywordsDiagnóstico – Activos de Informaciónspa
dc.subject.keywordsRiesgos – Amenazas Informáticasspa
dc.subject.keywordsSeguridad de la Informaciónspa
dc.subject.keywordsVulnerabilidadspa
dc.description.abstractenglishCEDIT does not have a policy that allows it to establish mechanisms to safeguard the information and technological resources that are in charge of it, nor does it have a formally established methodology with which its members understand and are clear about the risks they expose. the information they generate. The loss or duplication of information and the access of unauthorized users to the classified information of the different projects that are generated and managed within the institution, are the problems that are detected and intended to be corrected when performing an analysis and evaluation of the existing risks in the Center for Development and Technological Innovation - CEDIT, dependency of the Francisco de Paula University Santander Ocaña. It is possible to do an inventory survey of the assets present in the CEDIT and according to the classification that is given to each one, 58 main assets are identified, these are: physical, logical, personnel, infrastructure and intangibles, corresponding to essential assets, system architecture, data and information, cryptographic keys, services, applications, computer equipment, information supports, auxiliary equipment, facilities and personnel, valuing them in such a way that each can cause a serious failure according to its importance Within the processes that are executed daily in the CEDIT, the absence of any of them can become a failure or interruption of the service, for which the importance of this project is affirmed.Based on the Magerit methodology, although it is more extensive, it helps to better adapt the activities to be developed in the company to achieve the desired goal, through the application of this methodology it is possible to gather the necessary information and obtain results that allowed to identify existing risks and vulnerabilities, among which stand out: personnel unavailability, information leaks, monitoring errors, failure of communications services, loss of equipment, dissemination of harmful software, manipulation of the configuration of work stations, system crash due to depletion of resources, among others; With this information, we proceed to define the control and management mechanisms that help to minimize these threats, for which a checklist was applied in order to identify the existing controls and then make a diagnosis that would allow us to define the degree of compliance of the policy and in this way determine new controls. Once the process described has been completed, an executive meeting is held with the senior management of the Francisco de Paula Santander Ocaña University, with the presence of those directly involved in the direction and supervision of CEDIT, to whom the findings are presented, determined with the analysis and evaluation of risks to them are exposed and propose the corresponding improvement options. First they are socialized audit topics showing that there is no established system to monitor the daily activity or when an incident occurs, there is also a business continuity plan that allows recovery in case of a serious incident of security. They are shown that in the data network there are no processes to protect it, anyone can connect to a network point and get access to it, the wireless network is also easily accessible and active network devices are in sight and their conditions are not the most optimal. Likewise, the results are disclosed where it is evident that there is no appropriate control over the intangible assets that are produced, although the material is generated and published in the CEDIT and there remains all the traceability of each project and the produced final, any person can take that information in an abusive way or share it through the web, and this is one of the points in which it fails the most, because the lack of controls and protection mechanisms allow this to happen. It is also found that the policies for the use of computing devices are not established, the staff that makes use of them can do and install practically what they want, so it is recommended to establish the policy of use, maintenance and prevention of installation. of software, change of configurations and access to equipment hardware. When dealing with security policies it is evident that there are no procedures for managing access levels that are granted to users and employees, it was evidenced that all computers have an administrator user in which anyone can enter and make use of full of the machines, there is no proper handling of passwords, neither external users nor the employees themselves are instructed in the use of secure passwords.Although it has a solid network and governed by some standards, the level of assurance of servers and other important equipment is not the best at a physical and logical level, as there are no solid mechanisms to help protect these equipment against unauthorized access and even computer attacks, the information is exposed, with a minimum of basic knowledge in computer security can be reached, easily violating some controls that are currently available.spa
dc.subject.categoryEspecialización en Seguridad Informáticaspa
Aparece en las colecciones: Seguridad informática

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
1091659463.pdfAnálisis y evaluación de riesgos en el Centro de Desarrollo e Innovación Tecnológica – CEDIT de la Universidad Francisco de Paula Santander Ocaña.2.08 MBAdobe PDFVisualizar/Abrir


Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.