1. Repositorio Institucional UNAD
Please use this identifier to cite or link to this item: https://repository.unad.edu.co/handle/10596/47673
Full metadata record
DC FieldValueLanguage
dc.contributor.advisorAngulo Rivera, Christian Reynaldo
dc.coverage.spatialceres_-_la_plata
dc.creatorTrujillo Alvira, Jefferson Oswaldo
dc.date.accessioned2024-02-25T21:19:10Z
dc.date.available2024-02-25T21:19:10Z
dc.date.created2024-12-23
dc.identifier.urihttps://repository.unad.edu.co/handle/10596/47673
dc.description.abstractEn el presente proyecto aplicado se realiza una auditoría a los sistemas de información de la entidad QWERTY S.A. se descubre que tienen un sistema de seguridad ya implementado, pero no cumple con los estándares de seguridad de la información. Para la implementación de los mecanismos de seguridad y configuración correcta de los distintos dispositivos de seguridad se utiliza la norma ISO 27001. Como primer paso se crea un plan de ejecución donde se determina los tiempos de implementación de la auditoría y los documentos a generar. Se realiza el plan de seguridad donde se define los activos más importantes, la situación actual de la entidad, donde se da un breve reconocimiento a la organización, las personas responsables de la parte administrativa, oficina de sistemas y a que se dedica cada área. De igual manera, se crea el alcance del plan de ejecución que abarca toda la empresa. Para la identificación de todos los activos y los riesgos, se emplea la metodología MAGERIT, la cual es compatible con la norma ISO 27001; de igual manera, da una guía para la valoración y calificación de las amenazas. Al momento de la valoración final se determina la importancia y alta ocurrencia de las amenazas, por ende, se implementa los controles que se encuentra en la metodología y son pertenecientes a la norma ISO 27002 y el objetivo es minimizar la ocurrencia de dichas vulnerabilidades en los sistemas de información. Al obtener los resultados se evidencia que casi el 98% de los activos presentan probabilidades altas de que ocurra una amenaza a la seguridad, esto quiere decir que ninguno de los métodos que se encuentran ejecutados funciona correctamente o no están configurados. Se debe determinar que controles son actos para minimizar los riesgos y se crea el plan de tratamiento donde se tiene en cuenta cada control que existe en la norma ISO 27002, esto con el objetivo de verificar que riesgos minimizan correctamente y a que activos se pueden aplicar sin inconvenientes, de igual manera puede ayudar la metodología MAGERIT que en su libro número 3 se encuentran categorizados los tipos de activos con su debido control. Al aplicar correctamente el control es indispensable realizar las debidas configuraciones a los mecanismos de seguridad, e implementar los dispositivos adicionales, es de suma importancia la capacitación a todo el personal para que se enteren de los procedimientos que se deben seguir para que la seguridad sea efectiva, además, hay que informar a los empleados los métodos que pueden existir para obtener información y como identificar ataques cibernéticos para la obtención de información, puesto que el personal es el principal objetivo para la obtención de información. Una vez implementado el plan de tratamiento y las políticas de seguridad se evalúan los distintos controles, esto con el objetivo de verificar si cumplen con los objetivos propuestos y aseguran correctamente los activos de información. Como primer paso se ejecuta de nuevo la metodología MAGERIT; para la verificación de los activos y los controles, esto para determinar si hay nuevas vulnerabilidades o se realizaron correctamente las configuraciones. Por último, se realiza una valoración de los controles para verificar si es óptimo, si el resultado de la valoración y verificación no son óptimos se debe verificar el problema y corregir el inconveniente, sino es posible se debe cambiar el control, estos cambios se deben registrar y llevar un acta de cambio, esto para tener todo debidamente documentado y registrado, se deben crear un acta firmar. Se recomienda evaluar periódicamente los controles teniendo en cuenta los procedimientos descriptos en la norma ISO 27001, puesto que da los parámetros para la mejora continua de los procedimientos enfocados en la automatización y seguridad de la información, todos los cambios pertinentes se deben documentar en las políticas de seguridad y anexar los cambios realizados.
dc.formatpdf
dc.titleDiseñar estrategias complementarias para mejorar la seguridad informática y de la información en la compañía QWERTY S.A. utilizando la norma ISO 27001
dc.typeProyecto aplicado
dc.subject.keywordsAtaque informático Amenaza informática Riesgo Seguridad de la información Vulnerabilidad
dc.description.abstractenglishIn the present applied project an audit of the information systems of the QWERTY S.A. entity is carried out. It is discovered that they have a security system already implemented, but it does not comply with the information security standards. For the implementation of the security mechanisms and correct configuration of the different security devices, the ISO 27001 standard is used. As a first step, an execution plan is created where the implementation times of the audit and the documents to be generated are determined. The security plan is made where the most important assets are defined, the current situation of the entity, where a brief recognition of the organization is given, the people responsible for the administrative part, systems office and what each area is dedicated to. Likewise, the scope of the execution plan is created, which covers the entire company. For the identification of all assets and risks, the MAGERIT methodology is used, which is compatible with the ISO 27001 standard; likewise, it provides a guide for the assessment and qualification of threats. At the time of the final assessment, the importance and high occurrence of threats is determined, therefore, the controls found in the methodology are implemented, which belong to the ISO 27002 standard and the objective is to minimize the occurrence of such vulnerabilities in the information systems. The results show that almost 98% of the assets have a high probability of a security threat occurring, which means that none of the methods implemented are working correctly or are not configured. It is necessary to determine which controls are used to minimize risks and create a treatment plan that takes into account each control that exists in the ISO 27002 standard, in order to verify which risks are correctly minimized and to which assets they can be applied without inconveniences. When applying the control correctly it is essential to make the proper configurations to the security mechanisms, and implement additional devices, it is of utmost importance to train all staff to learn the procedures to be followed for security to be effective, in addition, employees must be informed of the methods that may exist to obtain information and how to identify cyber attacks to obtain information, since the staff is the main target for obtaining information. Once the treatment plan and security policies have been implemented, the different controls are evaluated to verify if they comply with the proposed objectives and correctly secure the information assets. As a first step, the MAGERIT methodology is run again to verify the assets and controls, in order to determine if there are new vulnerabilities or if the configurations were performed correctly. Finally, an assessment of the controls is performed to verify if it is optimal, if the result of the assessment and verification are not optimal, the problem must be verified and the problem must be corrected, if it is not possible, the control must be changed, these changes must be recorded and a record of change must be taken, this to have everything properly documented and recorded, a record must be created and signed. It is recommended to periodically evaluate the controls taking into account the procedures described in the ISO 27001 standard, since it provides the parameters for the continuous improvement of the procedures focused on automation and information security, all relevant changes should be documented in the security policies and the changes made should be annexed.
dc.subject.categorySeguridad informática
Appears in Collections:Especialización en Seguridad informática

Files in This Item:
File Description SizeFormat 
jotrujilloa.pdf1.42 MBAdobe PDFThumbnail
View/Open
Show simple item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.