Auditoría de gestión de seguridad informática, en entidades públicas y privadas en Loja
Resumen
RESUMEN
Este documento exhibe información sobre normas, estándares y metodologías, utilizados para la gestión de seguridad de un Data Center y Red LAN. Para este trabajo se utilizó el estándar ANSI/TIA/EIA 942 y la norma ISO/IEC 27002, con metodología MAGERIT. Además, se desarrolló un cuadro comparativo, en donde se expone las ventajas y características que ofrece cada una, lo cual permite llegar a la conclusión del por qué aplicarlas. A continuación, se presenta el análisis y evaluación de los riesgos a los que está expuesto el Data Center y la red LAN de entidades públicas y privadas de la ciudad de Loja. La información se obtuvo mediante la aplicación de cuestionarios, entrevistas y formularios a cada persona responsable de las direcciones y subdirecciones tecnológicas, recabando información sobre 19 secciones tales como redes, servidores, etc., las mismas que se especificarán más adelante en el documento. Al finalizar el desarrollo del estudio, se realizó la socialización de los resultados obtenidos con las entidades auditadas, permitiendo con ello validar la evaluación y comunicar los resultados que se obtuvieron, como por ejemplo, la solución para la mitigación de los riesgos asociados a los activos de información, que son propiedad de dichas entidades.
Palabras clave: Activo informático, auditoría informática, gestion de riesgos, seguridades, ISO/IEC 27002, MAGERIT.
ABSTRACT
This paper presents the available information on norms, standards and methodologies used for the management of a Data Center and the security of LAN networks. A comparative table, depicting the advantages and features that each of them offers was developed, and the conclusions that encourage to apply them were formulated. To achieve this, we applied the 942 ANSI/TIA/EIA and ISO/IEC 27002 standards, and the MAGERIT methodology. The manuscript presents thereafter the analysis and evaluation of the risks the Data Center and the LAN networks of public and private entities from the city of Loja are exposed. The information thereto was obtained via the application of questionnaires, interviews and forms to each person responsible for the branches and sections of these institutions. The authors worked with a total of 19 sections. The obtained results were socialized with the audited entities allowing the validation and communication of the results, and the improvement of the mitigation of the risks associated with the information assets that are owned by surveyed entities.
Keywords: Computer asset, computer audit, risk management, securities, ISO/IEC 27002, MAGERIT.
Descargas
Métricas
Citas
Cadme, C. (2011). Auditoría de seguridad informática ISO 27001 para la empresa de alimentos "Italimentos Cía. Ltda". Disponible en http://dspace.ups.edu.ec/handle/123456789/2644
Espinoza, M. (2007). Auditoría Informática de la Empresa Municipal de Agua Potable y Alcantarillado de Ambato. Disponible en http://repo.uta.edu.ec/bitstream/handle/123456789/214/ t288s.pdf?sequence=1
Joskowicz, J. (2013). Cableado estructurado. Disponible en: https://iie.fing.edu.uy/ense/asign/ ccu/material/docs/Cableado%20Estructurado.pdf
Lucero, A. J., & Valverde, J. O. (2012). Análisis y gestión de riesgos de los sistemas de la Cooperativa de Ahorro y Crédito Jardín Azuayo, utilizando la metodología MAGERIT. Tesis de Pregrado, 175 pp., Universidad de Cuenca, Cuenca, Ecuador.
Polo, N. L. (2012). Diseño de un data center para el ISP READYNET CÍA.LTDA. Fundamento en la norma ANSI/TIA/EIA-942. Tesis de Pregrado, 203 pp. Facultad de Ingeniería Eléctrica y Electrónica, Escuela Politécnica Nacional, Quito, Ecuador.
Descargas
Publicado
Cómo citar
Número
Sección
Licencia
Copyright © Autors. Creative Commons Attribution 4.0 License para cualquier artículo enviado a partir del 6 de junio de 2017. Para los manuscritos presentados anteriormente, se utilizó la licencia CC BY 3.0.
Usted es libre de:
Compartir — compartir y redistribuir el material publicado en cualquier medio o formato. |
Adaptar — combinar, transformar y construir sobre el material para cualquier propósito, incluso comercialmente. |
Bajo las siguientes condiciones:
Atribución — Debe otorgar el crédito correspondiente, proporcionar un enlace a la licencia e indicar si se realizaron cambios. Puede hacerlo de cualquier manera razonable, pero de ninguna manera que sugiera que el licenciador lo respalda a usted o a su uso. |
Sin restricciones adicionales: no puede aplicar términos legales o medidas tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita la licencia. |
Mayor información sobre este acuerdo de autoría y licencia, transferencia de derechos o solicitudes de reproducción, pueden ser consultados en este enlace.