REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES



Documentos relacionados
I INTRODUCCIÓN. 1.1 Objetivos

UNIVERSIDAD TECNICA DE BABAHOYO FACULTAD DE ADMINISTRACION FINANZAS E INFORMATICA ESCUELA DE CONTADURIA, AUDITORIA Y FINANZAS TESIS DE GRADO

Ing. Nicolás Serrano

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

1. Seguridad de la Información Servicios... 4

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

sobre SIGEA Consultora de referencia en ISO 27001

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Security Health Check

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un

UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE CIENCIAS ECONOMICAS TRABAJO DE GRADO TESIS

Proceso: AI2 Adquirir y mantener software aplicativo

CAPÍTULO I INTRODUCCIÓN

UNIVERSIDAD DE OTAVALO CARRERA DE ADMINISTRACIÓN DE EMPRESAS Y TURISMO PROYECTO DE INVESTIGACIÓN

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

REPORTE DE CUMPLIMIENTO ISO 17799

Principales Cambios de la ISO 9001:2015

Soluciones Integrales que brindan Calidad, Seguridad y Confianza

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Sistema de Administración del Riesgos Empresariales


Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

REGLAMENTO INTERNO DE TRABAJO DE GRADUACIÓN GRADO DE LICENCIADO EN CONTABILIDAD Y AUDITORIA

TESORERÍA DE LA SEGURIDAD SOCIAL Año del Centenario del Natalicio de Juan Bosch

C. METODOLOGÍA DE LA INVESTIGACIÓN

CAPÍTULO 1 PLANTEAMIENTO DEL PROBLEMA

TECNOLOGICO DE ESTUDIOS SUPERIORES DE ECATEPEC CALIDAD DE SOFTWARE Guía para Examen Segundo Parcial Grupo 6501

Pontificia Universidad Católica del Ecuador

UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE CIENCIAS ECONÓMICAS

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

AUDITORÍA ADMINISTRATIVA INFORME. 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.

CAPITULO I 1.1. EL TEMA: MODELO DE PLANIFICACIÓN FINANCIERA PARA INCREMENTAR LA RENTABILIDAD EN EL LARGO PLAZO EN LA

MASTER UNIVERSITARIO EN PLANIFICACIÓN Y GESTIÓN DE PROCESOS EMPRESARIALES

DISEÑO Y GESTIÓN DE PROYECTOS

CERTuy. 1er jornada del ciclo de charlas 2014

MAESTRÍA EN ADMINISTRACIÓN DE EMPRESAS CON MENCIÓN EN GERENCIA DE LA CALIDAD Y PRODUCTIVIDAD

IDEA DE NEGOCIO EDUGER LOGISTIC GERMAN EDUARDO BALSERO MORALES PROFESOR: GERARDO ANDRES ARCOS CELIS

Information Security Network Management Solutions

UNIVERSIDAD NACIONAL DE PIURA ESCUELA DE POSTGRADO SECCION CIENCIAS CONTABLES Y FINANCIERAS PROGRAMA DE MAESTRIA EN CIENCIAS CONTABLES Y FINANCIERAS

XIV Teleconferencia del CLAIN Riesgos de TI 04/03/2009

DISEÑO Y GESTIÓN DE PROYECTOS

UNIVERSIDAD TECNICA DE BABAHOYO FACULTAD DE ADMINISTRACION FINANZAS E INFORMATICA ESCUELA DE CONTADURIA, AUDITORIA Y FINANZAS TESIS DE GRADO

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN

Nombre del Trabajo: Control ActiveX que garantiza la seguridad de las aplicaciones desarrolladas para windows.

DEDICATORIA. económicamente; también a: Kleber, Alina, Patricio, Paola y Eliceo que siempre

PUBLICACIÓN PAGINA WEB

RESUMEN EJECUTIVO NOMBRE DEL ESTUDIO. Estudio de Mercado en implementación de sistemas de gestión de calidad ISO 9001 Lima- Callao.

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

AUDITORIA INFORMATICA

Mestrado em Tecnologia da Informação. Segurança da Informação

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

AGRADECIMIENTOS. A Nuestros Padres y Familiares, por el apoyo recibido durante la elaboración de este trabajo

ANEXO TÉCNICO SERVICIO DE ANÁLISIS DE RIESGO DE PROCESOS DE NEGOCIO Y ANÁLISIS DE BRECHAS DE LA ESTRATEGIA DE CONTINUIDAD CONTENIDO


Fundamentos de. Estrategia de Gobierno de TI: Control sobre la Información y Generación de Valor para la Organización

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO

LICENCIATURA EN CONTADURIA PUBLICA LISTADO DE MATERIAS CONTENIDO PLAN:

PRESENTACIÓN IMPLEMENTA CONSULTORES

ALCALDÍA MUNICIPAL DE ANGOSTURA ANTIOQUIA VERIFICACIÓN DE CUMPLIMIENTO NORMAS DE USO SOFTWARE, DERECHOS DE AUTOR Y LOS DERECHOS CONEXOS INFORME

Sistema de Control Interno

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R

Ingeniería de Sistemas de Información. Línea Salud. Gestión Estratégica de la Línea Salud: Organización y Modelamiento Empresarial

ESCUELA POLITÉCNICA DEL EJÉRCITO DEPARTAMENTO DE CIENCIAS ADMINISTRATIVAS, ECONÓMICAS Y DE COMERCIO

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

PRINCIPALES HALLAZGOS BENCHMARK DE PRESUPUESTO TI 2014

GESTIÓN DE LA CALIDAD

UNIVERSIDAD FRANCISCO GAVIDIA FACULTAD DE CIENCIAS ECONÓMICAS TRABAJO DE GRADO

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

PLAN DE ACCIÓN COMERCIAL PRODUCTIVO RECURSO HUMANO AREAS DE APOYO CONTABILIDAD Y ADMINISTRACION DE IMPUESTOS

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

Durante la determinación del problema dentro de los procesos de mercadeo de R & S Training se pudo notar notables deficiencias en las relaciones con

El largo camino de un Plan Director de Seguridad de la Información

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Mejora de la Seguridad de la Información para las Pymes Españolas

Consultor especialista en SRHR y en incidencias pública

Empresa Financiera Herramientas de SW Servicios

A nuestro señor Jesucristo por permitirme elaborar el presente libro.

Proyectos de inversión y planes de negocio

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS

R E S U M E N E J E C U T I V O

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

PROGRAMA DE GESTIÓN DOCUMENTAL

PROCEDIMIENTO AUDITORÍA INTERNA

LINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG

PROYECTO MEJORA DE LAS ESTRATEGIAS LEGALES PARA LOS MÁS POBRES

Corporación Universitaria TALLER 5

DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013

Módulo 7: Los activos de Seguridad de la Información

IMF PROGRAMA INTEGRAL DE FORMACION, CAPACITACION Y CONSULTORIA PARA PRODUCTORES E INTERMEDIARIOS FINANCIEROS RURALES

VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN

Exsis Software & Soluciones S.A.S

INFORME TECNICO ESTANDARIZACION DE SERVICIOS

Transcripción:

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL S.A. Tesis presentada como requisito para optar al Grado de Magíster en Alta Gerencia Autor: Ing. Mercedes Torres Bueno Asesora: Dra. Mónica Urigüen, Ph.D. Quito, octubre 2007

DEDICATORIA A Dios, por siempre estar cuidándome A mis hijos Mateo y Sebastián, inspiración de mi esfuerzo, que con su infinito cariño me impulsan a ser cada vez mejor A mi querida madre Mercedes que siempre esta acompañándome en todo momento y a memoria de mi Padre Ángel Arturo. A todos mis familiares, amigos y compañeros, que en algún momento me apoyaron con su amistad en el proceso de estudios y trayecto de la maestría. ii

AGRADECIMIENTO A la Empresa de telecomunicaciones ANDINATEL S.A. A los compañeros de las áreas de Sistemas e Interconexión Al Instituto de Altos Estudios Nacionales A mi asesora, Mónica Urigüen iii

INDICE GENERAL DEDICATORIA AGRADECIMIENTO LISTA DE CUADROS Y MATRICES LISTA DE ANEXOS RESUMEN EJECUTIVO ii iii v vi vii CAPITULO I ANTECEDENTES 1 1. INTRODUCCION 1 2. JUSTIFICACIÓN DE LA TESIS 3 3. PLANTEAMIENTO DEL PROBLEMA 7 4. DESCRIPCION DE LA EMPRESA 7 CAPITULO II REVISIÓN DE LITERATURAS 13 1. INTRODUCCION 13 2. EVALUACION Y ANALISIS DE RIESGO 13 3. NORMA ISO 17799:2005 16 4. EXPERIENCIA INTERNACIONAL 24 5. RIESGOS E INCIDENTES 27 CAPITULO III METODOLOGIA DE LA INVESTIGACION 32 1. INTRODUCCION 32 2. PREGUNTAS QUE HAN GUIADO LA INVESTIGACION 35 3. LEVANTAMIENTO DE LA INFORMACION 36 CAPITULO IV TRATAMIENTO DE LOS HALLAZGOS 44 1. INTRODUCCION 44 2. RESULTADOS GENERALES DE LA INVESTIGACION 48 3. PRESENTACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACION 56 CAPITULO V CONCLUSIONES Y RECOMENDACIONES 111 1. CONCLUSIONES 111 2. RECOMENDACIONES 112 3. BIBLIOGRAFIA 114 4. ANEXOS 116 iv

LISTA DE CUADROS Y MATRICES Orígenes de los crímenes 02 Clientes de Andinatel S.A. 10 Empresas certificadas en el mundo 26 Riesgos e Incidentes 27 Matriz procesos críticos (01) 39 Matriz procesos críticos (02) 40 Matriz procesos críticos (03) 41 Matriz procesos críticos (04) 42 Actual nivel de madurez de seguridad Vicepresidencia de 44 Sistemas Organigrama Vicepresidencia de Sistemas ANDINATEL S.A. 59 Componentes de la gestión de riesgos de TI 67 Componentes de Ti (Metodología COBIT y Vicepresidencia de 69 Sistemas Metodología resumen de implementación del plan 70 Combinación de valores marcados para los criterios de 73 clasificación de activos Evaluación cualitativa probabilidad 75 Evaluación cualitativa impacto 76 Matriz de análisis cualitativo de riesgos nivel de riesgos 77 Matriz ilustrada de evaluación de riesgos 78 Matriz de inventario de comunicaciones 83 Matriz inventario de servidores 85 Matriz inventario de periféricos 86 Matriz de inventario de equipos de protección eléctrica 87 Matriz de inventario de software base por sistemas operativos 88 Matriz de inventario de software base por motor base de datos 89 Matriz de inventario de software base por ofimática 90 Matriz de inventario de software base de desarrollo 91 Matriz de inventario de software base por antivirus 92 Matriz de inventario de software base por aplicativos de propósito 93 específico Matriz evaluación de riesgos de TI 97 Matriz de sensibilidad de la información 101 Seguimiento de actividades y tareas 102 v

LISTA DE ANEXOS Anexó 01: Inducción de seguridad de la información Anexo 02: Cronograma de implementación del plan de seguridad de la información, recomendaciones, actividades, controles, tiempos de ejecución. Anexo 03: Oficio de ANDINATEL S.A., Gerencia de Control informático de la Vicepresidencia de Sistemas. (certifica ejecución de implementación del presente plan). vi

Quito 08 de octubre del 2007 Señores IAEN Presente De mi consideración Por medio del presente me permito informar, que el contenido de la tesis titulada PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACION BAJO LA NORMA ISO 17799:2005, EN ANDINATEL S.A., contiene Información confidencial y sensible de ANDINATEL S.A., por lo tanto no se autoriza su publicación. Segura de contar con su comprensión, anticipo mi agradecimiento. Atentamente, Ing. Mercedes Torres Bueno vii

RESUMEN EJECUTIVO ANTECEDENTES Andinatel S.A., ha logrado ubicarse en una posición alta dentro de las mejores empresas del país, lo que nos compromete a seguir apuntalando a su desarrollo, con eficiencia y optimización de recursos, que nos permita seguir contribuyendo en su crecimiento y productividad; siendo más competitivos en un mundo globalizado, adoptando estándares internacionales, que además de mejorar internamente como empresa, nos permita enfrentar competitivamente el avance de la tecnología y a la vez sus riesgos, en función de brindar un servicio que gane la satisfacción de nuestros clientes, su fidelidad e imagen corporativa. Considerando que la Vicepresidencia de Sistemas es responsable de la administración de la información de la empresa, es necesario solventar y dar solución definitiva a la problemática por falta de la aplicación de normas de seguridad de la información. luego de un análisis que se realiza de la situación actual a través de entrevistas, auditorias y observando las recomendaciones de estas, se llega a generar un plan de trabajo para la implementación de normativas en base a la ISO 17799:2005, que nos permitirá en el menor tiempo posible, enfrentar los riesgos y corregir las vulnerabilidades, generando soluciones definitivas, de fondo y coordinadas, apuntalando los objetivos empresariales y productivos de Andinatel S.A., optimizando recursos técnicos, económicos y humanos. Como se indica en la norma ISO 17799, la información, sus procesos, sistemas, comunicaciones y redes constituyen importantes recursos de la empresa; su disponibilidad, integridad y confidencialidad son esenciales para mantener la competitividad, flujo de fondos, rentabilidad, cumplimiento de la legalidad e imagen comercial. viii

El negocio de Andinatel S.A., se encuentra apoyado por tecnología informática quienes manejan los medios de transmisión de la información interna de la empresa, le área técnica de operaciones y comunicaciones son núcleo del desarrollo del producto del negocio, cuenta también con el apoyo de la otra parte funcional, encontrándose las áreas administrativa, financiera y comercial, a estas también apoya el área informática de Andinatel para la gestión y procesamiento de la información; la norma trabaja sobre estos campos tanto funcional y técnico brindando asesoramiento para un mejor control, cerrando las brechas de seguridad y minimizando los riesgos del negocio, sin obstaculizar su desenvolvimiento y desarrollo. El contenido de la presente tesis se encuentra organizado en cinco capítulos, que contiene los siguientes temas: antecedentes del tema de tesis, la revisión de literaturas, la metodología de toda la investigación realizada, tratamiento y hallazgos de la información en forma general, resultados de los hallazgos, incluye además el desarrollo del plan de seguridad de la información basado en normas y estándares internacionales, como parte final se encuentra las conclusiones y recomendaciones de la investigación. CAPITULO I En este capítulo se da a conocer sobre la importancia de la seguridad de la información de las impresas. La justificación de la tesis que se desarrolla las presuntas que guiarán la investigación. En breve se da a conocer la problemática de ANDINATEL S.A., referente a incidentes de seguridad de la información. Se da una breve descripción de ANDINATEL S.A. y la Vicepresidencia de Sistemas, específicamente. CAPITULO II En este capítulo se da a conocer una breve descripción de la Norma ISO 17799:2005. ix

La temática de la normativa en general dentro del país y en otros países, además, se inicia con temas que abordan el análisis de riesgos, su importancia y una ligera descripción de cada uno de los dominios que componen la norma ISO 17799:2005. CAPITULO III En este capítulo se incida la forma que como se ha realizado la investigación, la recopilación de la información que sirvió para el análisis y proceso que se daría a esta, hasta llegar a los hallazgos y resultados, hasta llegar a la generación de un plan que contempla el cronograma con recomendaciones, actividades, identificación de controles y tiempos de ejecución, que se detalla en el capítulo siguiente. CAPITULO IV Se presentan los resultados de la investigación, enfocados en los once dominios de la norma ISO 17799:2005 y sus controles, además considerando también recomendaciones de Contraloría Interna y su auditoría bajo la metodología COBIT aplicado tomando en cuenta algunos de sus procesos y controles. Como parte de los resultados, en este capítulo se encuentra el plan de seguridad de la información, desarrollado en base a esta investigación, que contempla, un modelo para análisis de riesgo, metodología de implementación según la Norma ISO 17799, que se seguirá para mitigar los riesgos de seguridad; se encuentra además, el cronograma detallado que contiene las recomendaciones según la Norma ISO 17799:2005 y las recomendaciones de Contraloría Interna basados en la auditoría bajo COBIT y algunos de sus procesos, se indican las actividades que se debe realizar para mitigar cada riesgo o ejecutar cada recomendación, los controles que se deben implementar que a su vez nos sirven de indicadores de gestión de seguridad, todo esto bajo tiempos y fechas de ejecución con sus respectivos responsables, según el equipo que conforma el área de Seguridad de Sistemas de la Gerencia de Control Informático. x

CAPITULO V En este capítulo, indican las conclusiones que nos ha llevado la investigación, a su vez las recomendaciones que se llega como resultado de un conocimiento completo de la problemática enfocada a la seguridad de la información de ANDINATEL S.A. El plan desarrollado en esta tesis fue conocida y evaluada por los directivos de Andinatel S.A., Vicepresidenta de Sistemas, Gerente de control informático, quienes a través de documentos adjuntos, indican que se está ejecutando este plan de implementación de seguridad de la información y además se lo remite a Contraloría Interna, en cumplimiento a sus recomendaciones. En último punto de esta capítulo se encuentra la bibliografía que sirvió como guía para el desarrollo de la presente tesis. xi

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback