Diseño del sistema de gestión de seguridad de la información para la Empresa Comfenalco Quindío.

Baquero Cardona, Magda Mayery

dc.contributor.advisor	Zambrano Hernández, Luis Fernando
dc.coverage.spatial	ccav_-_dosquebradas	spa
dc.creator	Baquero Cardona, Magda Mayery
dc.date.accessioned	2020-02-08T00:35:01Z
dc.date.available	2020-02-08T00:35:01Z
dc.date.created	2020-05-06
dc.identifier.uri	https://repository.unad.edu.co/handle/10596/31454
dc.description.abstract	La Caja de Compensación Familiar del Quindío, Comfenalco Quindío, es la única Caja de Compensación Familiar y una de las empresas más grandes y de las mayores generadoras de empleo en el departamento del Quindío, Colombia. El objeto misional de la organización es el pago de subsidio familiar a los trabajadores afiliados a la Caja con categorías A y B, proceso a través del cual recoge gran parte de información confidencial tanto de las empresas afiliadas como de sus trabajadores y beneficiarios, información que se recibe y procesa tanto de manera física como digital, la cual reviste vital importancia para la organización, dado que dicha información se constituye como soporte principal para las gestiones de la misma y su manejo y custodia es responsabilidad de la entidad. En este trabajo se describen los objetivos, el alcance y el diseño de un Sistema de Seguridad de la Información para Comfenalco Quindío fundamentado en la norma NTC/ISO 27001:2013 dirigido hacia los procesos considerados críticos para la empresa desde la perspectiva de su Misión y Visión. En este orden de ideas, se realiza un diagnóstico de la situación mediante la aplicación de un análisis diferencial respecto a la norma seguido de la identificación de amenazas y vulnerabilidades en el contexto de la metodología de análisis y gestión de riesgos MAGERIT y finalmente se diseñan los documentos base que puedan servir a la Caja para llevar a cabo los planes de tratamiento de riesgos. En razón a lo anterior y dado que la empresa cuenta con la certificación en la NTC ISO 9001:2008, se definió elaborar para dicha organización un DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA COMFENALCO QUINDÍO. Para la elaboración de dicho modelo se tuvo en cuenta: La NTC/ISO 27001:2013. La cual proporciona las herramientas necesarias para el establecimiento de un Sistema de Gestión de la Seguridad Informática, además de que cuenta con el anexo A, el cual recoge los objetivos de control y controles que las empresas deben implementar a fin de minimizar el impacto ante la eventual materialización de una amenaza informática, dando como resultado la Política General de Seguridad de la Información, teniendo en cuenta los objetivos de control y controles seleccionados para la organización. La metodología de análisis y gestión de riesgos MAGERIT. MAGERIT proporciona una metodología para la elaboración del análisis y gestión de riesgos de la organización. Dicha metodología resulta ser de fácil entendimiento y aplicación, además de que se adapta fácilmente a organizaciones pequeñas, medianas y grandes. Resultado de este análisis se proporcionan las salvaguardas necesarias para minimizar el impacto ante la eventual materialización de una amenaza informática.	spa
dc.format	pdf
dc.title	Diseño del sistema de gestión de seguridad de la información para la Empresa Comfenalco Quindío.
dc.type	Proyecto aplicado
dc.subject.keywords	Sistemas de Gestión de la Seguridad de la Información (SGSI), Norma ISO/IEC 27001:2013, Seguridad informática, Tecnologías de la Información, Riesgo	spa
dc.description.abstractenglish	The Quindío Family Compensation Fund, Comfenalco Quindío, is the only Family Compensation Fund and one of the largest and largest employment generating companies in the department of Quindío, Colombia. The missionary purpose of the organization is the payment of family subsidy to workers affiliated to the Fund with categories A and B, a process through which it collects a large part of confidential information from both affiliated companies and their workers and beneficiaries, information that it is received and processed both physically and digitally, which is of vital importance to the organization, given that this information is constituted as the main support for the management of the same and its management and custody is the responsibility of the entity. This paper describes the objectives, scope and design of an Information Security System for Comfenalco Quindío based on the norm NTC / ISO 27001: 2013 directed towards the processes considered critical for the company from the perspective of its Mission and View. In this order of ideas, a diagnosis of the situation is made through the application of a differential analysis with respect to the standard followed by the identification of threats and vulnerabilities in the context of the MAGERIT risk analysis and management methodology and finally the base documents that can be used by the Fund to carry out the risk treatment plans. Due to the above and given that the company has the certification in the NTC ISO 9001: 2008, it was defined to prepare for this organization an DESIGN OF THE INFORMATION SECURITY MANAGEMENT SYSTEM FOR COMFENALCO QUINDIO COMPANY. For the elaboration of said model, the following was taken into account: I. The NTC / ISO 27001: 2013. Which provides the necessary tools for the establishment of a Informatic Security Management System, in addition to having the Annex A, which includes the control and control objectives that companies must implement in order to minimize the impact to the eventual materialization of a computer threat, resulting in the General Information Security Policy, taking into account the control objectives and controls selected for the organization. II. The methodology of risk analysis and management MAGERIT. MAGERIT provides a methodology for the organization's analysis and risk management. This methodology turns out to be easy to understand and apply, as well as being easily adapted to small, medium and large organizations. The result of this analysis is to provide the necessary safeguards to minimize the impact of the possible materialization of a computer threat.	spa
dc.subject.category	Seguridad Informática	spa