Auditoría de gestión de seguridad informática, en entidades públicas y privadas en Loja
Abstract
RESUMEN
Este documento exhibe información sobre normas, estándares y metodologías, utilizados para la gestión de seguridad de un Data Center y Red LAN. Para este trabajo se utilizó el estándar ANSI/TIA/EIA 942 y la norma ISO/IEC 27002, con metodología MAGERIT. Además, se desarrolló un cuadro comparativo, en donde se expone las ventajas y características que ofrece cada una, lo cual permite llegar a la conclusión del por qué aplicarlas. A continuación, se presenta el análisis y evaluación de los riesgos a los que está expuesto el Data Center y la red LAN de entidades públicas y privadas de la ciudad de Loja. La información se obtuvo mediante la aplicación de cuestionarios, entrevistas y formularios a cada persona responsable de las direcciones y subdirecciones tecnológicas, recabando información sobre 19 secciones tales como redes, servidores, etc., las mismas que se especificarán más adelante en el documento. Al finalizar el desarrollo del estudio, se realizó la socialización de los resultados obtenidos con las entidades auditadas, permitiendo con ello validar la evaluación y comunicar los resultados que se obtuvieron, como por ejemplo, la solución para la mitigación de los riesgos asociados a los activos de información, que son propiedad de dichas entidades.
Palabras clave: Activo informático, auditoría informática, gestion de riesgos, seguridades, ISO/IEC 27002, MAGERIT.
ABSTRACT
This paper presents the available information on norms, standards and methodologies used for the management of a Data Center and the security of LAN networks. A comparative table, depicting the advantages and features that each of them offers was developed, and the conclusions that encourage to apply them were formulated. To achieve this, we applied the 942 ANSI/TIA/EIA and ISO/IEC 27002 standards, and the MAGERIT methodology. The manuscript presents thereafter the analysis and evaluation of the risks the Data Center and the LAN networks of public and private entities from the city of Loja are exposed. The information thereto was obtained via the application of questionnaires, interviews and forms to each person responsible for the branches and sections of these institutions. The authors worked with a total of 19 sections. The obtained results were socialized with the audited entities allowing the validation and communication of the results, and the improvement of the mitigation of the risks associated with the information assets that are owned by surveyed entities.
Keywords: Computer asset, computer audit, risk management, securities, ISO/IEC 27002, MAGERIT.
Downloads
Metrics
References
Cadme, C. (2011). Auditoría de seguridad informática ISO 27001 para la empresa de alimentos "Italimentos Cía. Ltda". Disponible en http://dspace.ups.edu.ec/handle/123456789/2644
Espinoza, M. (2007). Auditoría Informática de la Empresa Municipal de Agua Potable y Alcantarillado de Ambato. Disponible en http://repo.uta.edu.ec/bitstream/handle/123456789/214/ t288s.pdf?sequence=1
Joskowicz, J. (2013). Cableado estructurado. Disponible en: https://iie.fing.edu.uy/ense/asign/ ccu/material/docs/Cableado%20Estructurado.pdf
Lucero, A. J., & Valverde, J. O. (2012). Análisis y gestión de riesgos de los sistemas de la Cooperativa de Ahorro y Crédito Jardín Azuayo, utilizando la metodología MAGERIT. Tesis de Pregrado, 175 pp., Universidad de Cuenca, Cuenca, Ecuador.
Polo, N. L. (2012). Diseño de un data center para el ISP READYNET CÍA.LTDA. Fundamento en la norma ANSI/TIA/EIA-942. Tesis de Pregrado, 203 pp. Facultad de Ingeniería Eléctrica y Electrónica, Escuela Politécnica Nacional, Quito, Ecuador.
Downloads
Published
How to Cite
Issue
Section
License
Copyright © Autors. Creative Commons Attribution 4.0 License. for any article submitted from 6 June 2017 onwards. For manuscripts submitted before, the CC BY 3.0 License was used.
You are free to:
Share — copy and redistribute the material in any medium or format |
Adapt — remix, transform, and build upon the material for any purpose, even commercially. |
Under the following conditions:
Attribution — You must give appropriate credit, provide a link to the licence, and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licenser endorses you or your use. |
No additional restrictions — You may not apply legal terms or technological measures that legally restrict others from doing anything the licence permits. |