Metodología de Seguridad de la Información aplicando la Norma ISO/IEC 27002 y herramientas de Análisis de Riesgos para el Ministerio del Trabajo (Ibarra)
Fecha:
07/2021Palabra clave:
políticas de seguridad de la información; norma ISO/IEC 27002; análisis de riesgos; metodología MAGERIT v3; Ministerio del Trabajo; information security policies; ISO/IEC 27002 Standard; risk analysis; MAGERIT v3 methodology; Máster Universitario en Dirección y Gestión de Tecnologías de la Información
Tipo de Ítem:
masterThesis
Resumen:
Toda organización que es consciente del valor de la información para la consecución de sus propósitos y metas, está obligada a consolidar sus procesos, optimizar sus recursos, apoyarse de la tecnología, y mantener un control de los riesgos originados por errores o malas prácticas de las personas, con el fin de mantener los niveles de disponibilidad, integridad, y confidencialidad de sus datos. Sin embargo, este escenario no es común, y gran parte de las altas gerencias o autoridades, consideran de forma errada a la gestión de la seguridad de la información, como un tópico secundario, ajeno a las necesidades propias de la organización y de su personal, especialmente en las tareas vinculadas a su formación y concientización.
De esta manera, el presente estudio se enfoca precisamente en adoptar medidas orientadas a la gestión de las vulnerabilidades asociadas al recurso humano del Ministerio del Trabajo (Ibarra), mediante la declaración y difusión de un conjunto de directrices recogidas en un escrito formal de Políticas de Seguridad, destinadas a los servidores y terceros, vinculados con el tratamiento de su información, dentro del marco normativo de la ISO/IEC 27002. Además, la propuesta se encuentra sustentada y apoyada en un proceso previo de estimación del riesgo mediante la aplicación de la Metodología de origen español MAGERIT v3, con la intención de evaluar la relación existente entre sus recursos de información y su nivel de sensibilidad, frente a las distintas amenazas que tienen la capacidad de afectarlos.
En conclusión, el presente estudio permitió diagnosticar sistemática y metódicamente el estado de seguridad de la organización, se pudo definir acciones organizativas de control para su personal, con el fin de asegurar la correcta manipulación de su información y demás recursos relacionados, y finalmente, se consiguió concientizar transversalmente en cada nivel de gestión, respecto a los lineamientos de seguridad de la información que prescribe esta Cartera de Estado.
Descripción:
Any organization that is aware of the value of information for the achievement of its purposes and goals, is obliged to consolidate its processes, optimize its resources, rely on technology, and maintain control of the risks caused by errors or bad practices of the people, in order to maintain the levels of availability, integrity, and confidentiality of their data. However, this scenario is not common, and a large part of the top management or authorities, mistakenly consider information security management as a secondary topic, unrelated to the organization and staff needs, especially in the tasks related to their training and awareness.
In this way, this study focuses precisely on adopting measures aimed at treating vulnerabilities associated with human resources at Ministerio del Trabajo (Ibarra), through the declaration and dissemination of a set of guidelines contained in a formal document of Policies of Security, intended for employees and third parties, linked to the processing of their information based on ISO/IEC 27002 Standard. In addition, the project is supported by a prior process of risk estimation applying the MAGERIT v3 Methodology, with the intention of evaluating the relationship between its information resources and their level of sensitivity, in the face of the different threats that have the capacity to affect them.
In conclusion, this study made it possible to systematically and methodically diagnose the organization's security status, it was possible to define organizational control actions for its employees, in order to ensure the correct handling of their information and other related resources, and finally, managed to raise awareness globally at each level of management, regarding the information security guidelines established by this institution.
Ficheros en el ítem
