maestria en evaluación y auditoria de sistemas tecnológicos tema PDF
Preview maestria en evaluación y auditoria de sistemas tecnológicos tema
MAESTRIA EN EVALUACIÓN Y AUDITORIA DE SISTEMAS TECNOLÓGICOS TEMA: “EVALUACIÓN DE SEGURIDAD DE INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA BASADA EN NORMAS ISO: 27001” AUTORES: PORRAS CABEZAS PAULINA CECILIA SALAZAR FLORES JORGE GIOVANNI DIRECTOR: ING. FIDEL CASTRO, MSc. SANGOLQUÍ 2016 ii UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS CERTIFICADO ING. CASTRO FIDEL, Msc. CERTIFICA Que el trabajo titulado EVALUACIÓN DE SEGURIDAD DE INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA BASADA EN NORMAS ISO: 27001 realizado por PORRAS CABEZAS, PAULINA CECILIA y SALAZAR FLORES JORGE GIOVANNI , ha sido guiado y revisado periódicamente y cumple normas estatuarias establecidas de la Universidad de las Fuerzas Armadas-ESPE. Debido a que el presente trabajo cumple con los objetivos establecidos se recomienda su aplicación y publicación. El mencionado trabajo consta de un documento empastado y disco compacto el cual contiene los archivos en formato portátil de Acrobat (pdf). Autorizan a PORRAS CABEZAS, PAULINA CECILIA y SALAZAR FLORES JORGE GIOVANNI que lo entregue a ING. ARROYO RUBEN, Msc., en su calidad de Director de la Carrera. Sangolquí, Mayo 2014 ING. CASTRO, FIDEL Msc. DIRECTOR iii UNIVERSIDAD DE LA FUERZAS ARMANDAS-ESPE MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS DECLARACIÓN DE RESPONSABILIDAD PORRAS CABEZAS, PAULINA CECILIA SALAZAR FLORES, JORGE GIOVANNI DECLARAMOS QUE: El proyecto de grado denominado EVALUACIÓN DE SEGURIDAD DE INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA BASADA EN NORMAS ISO: 27001, ha sido desarrollado con base a una investigación exhaustiva, respetando derechos intelectuales de terceros, conforme las citas que constan el pie de las páginas correspondiente, cuyas fuentes se incorporan en la bibliografía. Consecuentemente este trabajo es de nuestra autoría. En virtud de esta declaración, nos responsabilizamos del contenido, veracidad y alcance científico del proyecto de grado en mención. Sangolquí, Mayo 2014. _____________________________________ PORRAS CABEZAS, PAULINA CECILIA _____________________________________ SALAZAR FLORES, JORGE GIOVANNI iv UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE MAESTRÍA EN EVALUACIÓN Y AUDITORÍA DE SISTEMAS TECNOLÓGICOS AUTORIZACIÓN Yo, PORRAS CABEZAS, PAULINA CECILIA Yo, SALAZAR FLORES, JORGE GIOVANNI Autorizamos a la UNIVERSIDAD DE LA FUERZAS ARMANDAS-ESPE, la publicación, en la biblioteca virtual de la Institución del trabajo EVALUACIÓN DE SEGURIDAD DE INFORMACIÓN EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA BASADA EN NORMAS ISO: 27001, cuyo contenido, ideas y criterios son de nuestra exclusiva responsabilidad y autoría. Sangolquí, Mayo 2014 _____________________________________ PORRAS CABEZAS, PAULINA CECILIA _____________________________________ SALAZAR FLORES, JORGE GIOVANNI v DEDICATORIA El presente trabajo va dedicado a Dios, pilar fundamental en mi vida, quién me dio la fuerza y sabiduría para culminar este proyecto. A mi hija Ana Paula, fuente de inspiración razón por la cual existo y me esfuerzo cada día, quien me cedió el tiempo que le pertenecía para que yo pudiera cumplir mi sueño, te amo princesa. A mi esposo Carlos Villavicencio, por motivarme a seguir adelante, por su paciencia y afecto durante todo este tiempo. A mi padre Víctor, por su gran ejemplo de tenacidad, constancia. A mi madre Cecilia, por sus sabios consejos, su amor, y por cuidar de mi hija mientras realizaba mis estudios. A mis hermanas Lorena y Sthepannie, por darme la mano cuando más lo he necesitado y por su inmenso cariño. A todos mis familiares, abuelos, tíos, primos, suegros, cuñados, etc., que confiaron en mí, me apoyaron y pusieron su granito de arena para que pudiera cumplir mi meta. Paulina Porras Cabezas A Gloria América y Jorge Orlando por su cariño incondicional, a Jeannett, Erick David y Doménika por su ejemplo de comprensión y paciencia. Giovanni Salazar Flores. vi AGRADECIMIENTO De manera especial, agradecemos al ISSFA (Instituto Nacional de Seguridad Social de las Fuerzas Armadas) y a su Director General el Gral. por darnos las facilidades necesarias para realizar la presente tesis. Agradecemos al Ing. Fidel Castro, nuestro Director de Tesis, y la Ing. Nancy Velásquez, Oponente de Tesis, quienes con su experiencia y conocimientos supieron guiarnos para realizar el presente proyecto. A nuestros maestros, por compartir sus conocimientos, en especial al Ing. Mario Ron B. por su amistad. Paulina Porras Cabezas Giovanni Salazar Flores vii INDICE DE CONTENIDOS CERTIFICADO ....................................................................................................... II DECLARACIÓN DE RESPONSABILIDAD ......................................................... III AUTORIZACIÓN ................................................................................................. IV DEDICATORIA .................................................................................................... IV LISTADOS DE TABLAS ...................................................................................... XI LISTADO DE FIGURAS ..................................................................................... XII RESUMEN .......................................................................................................... XIV ABSTRACT ......................................................................................................... XV CAPITULO I ............................................................................................................1 PROBLEMA ............................................................................................................1 1.1. Generalidades .....................................................................................................1 1.1.1. Visión ............................................................................................................4 1.1.2. Misión ...........................................................................................................4 1.1.3. Organigrama ISSFA ......................................................................................4 1.2. Problema ............................................................................................................5 1.3. Interrogantes de la evaluación técnica informática ..............................................9 1.4. Objetivos ......................................................................................................... 10 1.4.1. Objetivo general .......................................................................................... 10 1.4.2. Objetivos específicos ................................................................................... 10 1.5. Justificación ..................................................................................................... 11 viii 1.6. Alcance ............................................................................................................ 11 1.7. Metodología de aplicación ............................................................................... 11 1.7.1. Metodología y técnicas de evaluación y auditoria. ....................................... 11 1.7.2. Métodos ...................................................................................................... 12 1.7.3. Técnicas ...................................................................................................... 12 CAPITULO II ......................................................................................................... 13 MARCO TEÓRICO ............................................................................................... 13 2.1. Introducción ..................................................................................................... 13 2.2. Tecnologías de la información .......................................................................... 13 2.3. Seguridad de la información ............................................................................. 15 2.3.1. Seguridad física ........................................................................................... 18 2.3.2. Seguridad lógica .......................................................................................... 20 2.4. Introducción a la auditoria informática ............................................................. 21 2.4.1. Conceptos sobre auditoría ............................................................................ 21 2.4.2. Campo de auditoría informática ................................................................... 27 2.4.3. Normas ISO 27000 ...................................................................................... 28 2.4.4. Sistema de gestión de seguridad de la información (SGSI)........................... 31 2.5. Metodologías y/o modelos de control utilizados en la auditoría de seguridad de la información ......................................................................................................... 42 CAPITULO III ....................................................................................................... 52 PROGRAMA DE EVALUACIÓN TÉCNICA DE SEGURIDAD DE INFORMACÍON EN EL PROCESO DE SEGUROS PREVISIONALES ............... 52 ix 3.1. Proceso de seguros previsionales del ISSFA .................................................... 52 3.1.1. Gestión de afiliación y cotización ................................................................ 53 3.1.2. Gestión de prestaciones ............................................................................... 82 3.2. Conocimiento y compresión de las actividades de la gerencia de tecnologías de la información dentro del ISSFA ...................................................................... 110 3.2.1. Estructura de la UTIC ................................................................................ 111 3.2.1. Organigrama funcional de la institución..................................................... 111 3.3. Aplicación de las Normas ISO/ISEC: 27001 ................................................... 113 Análisis de Riesgos Basado en ISO/IEC:27005:2012 ..................................... 114 3.4. Planificación del programa de evaluación ....................................................... 123 3.4.1. Objetivo .................................................................................................... 123 3.4.2. Alcance ..................................................................................................... 123 3.4.3. Productos a entregar .................................................................................. 124 3.4.4. Herramientas a utilizar ............................................................................... 124 3.5. Investigación de campo .................................................................................. 124 3.5.1. Identificación de activos de la información ................................................ 124 3.5.2. Asignación de los activos de información a subprocesos ............................ 127 3.5.3. Calificación de activos de información ...................................................... 128 3.5.4. Asignación de amenazas a activos de información ..................................... 133 3.5.5. Análisis de riesgos ..................................................................................... 140 3.5.5.2. Determinación del impacto en el proceso del negocio analizado (BIA) . 143 3.5.5.3. Determinación de la probabilidad ......................................................... 147 x 3.5.5.4. Cálculo del riesgo ................................................................................. 147 3.5.5.5. Evaluación de riesgos ........................................................................... 148 3.5.5.6. Tratamiento del riesgo .......................................................................... 148 3.6. Utilización de controles de la Norma ISO/IEC 27002:2005 ............................ 151 3.7. Sistema informático para el análisis de riesgos ............................................... 152 3.8. Plan de tratamiento del riesgo ........................................................................ 156 3.9. Declaración de aplicabilidad de controles o SOA (Statement Of Aplicability) 166 CAPITULO IV ..................................................................................................... 167 INFORME FINAL DE LA EVALUACION TECNICA DE SEGURIDAD DE INFORMACION EN EL PROCESO DE SEGUROS PREVISIONALES DEL ISSFA ................................................................................................................... 167 4.1. Alcance .......................................................................................................... 167 4.2. Enfoque ......................................................................................................... 167 4.3. Plan de acción ................................................................................................ 258 CAPITULO V ...................................................................................................... 265 5.1. Conclusiones .................................................................................................. 265 5.2. Recomendaciones .......................................................................................... 267 5.3. Bibliografía .................................................................................................... 269 5.4. Listado de anexos ........................................................................................... 271
Description:The list of books you might like
