Diseño de un sistema de gestión de seguridad de la información con base en la gestión de riesgos y el manejo de incidentes, que se ajuste a las necesidades de una empresa del sector público de la ciudad de Quibdó
QRCode
Share this
Date
2021Author
Advisor
Citation
Metadata
Show full item recordPDF Documents
Title
Design of a management system of information security based on risk management and handling incidents, tailored to the needs of a public sector company Quibdo city
Abstract
Este proyecto de investigación fue desarrollado en cuatro fases con el objetivo principal
de diseñar un sistema de gestión de seguridad de la información basado en la gestión de
riesgos, que, ajustado a las necesidades de una empresa del sector público, permita el
manejo de incidentes de seguridad y la mitigación de los riesgos en la afectación de la
información, la contextualización del documento se da a través del marco teórico y el
estado del arte, los cuales brindan los cimientos para la estructuración de la metodología.
Luego, se consolida el segundo capítulo correspondiente a la metodología, el cual
comprende cuatro fases, estas inician con un diagnóstico inicial implementado en la
entidad, se realiza la identificación del inventario de activos, entrevista a los funcionarios
y un análisis de brecha; en la fase 2,se caracterizan las metodologías para la determinación
del riesgo tecnológico, registrando el estudio de los atributos seleccionados,
indispensables en la gestión y se realiza un análisis de las ocho metodologías que son
trasversales y que fueron tomadas como referencia; en la fase 3 se conforma la
metodología propuesta, la cual consta de siete pasos (alcance, identificación de activos,
vulnerabilidades, amenazas, riesgos, controles y manejo de incidentes); finalmente se lleva
a cabo la fase 4 en donde se socializa la metodología a los funcionarios encargados de la
TIC y se realiza una encuesta de satisfacción. Como resultado final, se podrá observar el
diseño de un SGSI riesgo para una entidad gubernamental del departamento del Chocó
con el objetivo de minimizar los riesgos, amenazas o vulnerabilidades entre otros que se
pueden presentar.
Abstract
This research project was carried out in four phases to design an information security
management system based on risk management. This design, adjusted to the needs of a
public sector company, looks forward to manage security incidents and mitigate the risks
that impact information. This design is based on the risk management applied to a public
organization. This document is put into a context through the theoretical framework and
the state of the art, which provide the foundation to structure the methodology. The
second chapter corresponds to the methodology used to build the methodology used for
the design. It comprises four phases, which begin with an initial diagnosis implemented in
the entity, followed by the identification of the asset inventory, then an interview with the
officials and a gap analysis. In phase 2, eight of the available methodologies for
determining technological risk are summarized to find and identify attributes to be
considered in the analysis, in order to select the components to be used in the
methodology to be designed. In phase 3 the proposed methodology is developed, it
comprises six steps (scope definition, asset’s inventory, vulnerabilities identification,
threats valuation, risks evaluation and controls definition); finally, in phase four the
methodology is shared with the officials in charge of ICT and a satisfaction survey is carried
out. The final result is the design of a ISMS (Information security management system)
applied in a government office in Choco, which will provide tools that looks forward to
reduce the risks, threats or vulnerabilities that may arise.