masterThesis
Metodología de Seguridad de la Información aplicando la Norma ISO/IEC 27002 y herramientas de Análisis de Riesgos para el Ministerio del Trabajo (Ibarra)
Autor
Cevallos-Michilena, Mario Andrés
Institución
Resumen
Toda organización que es consciente del valor de la información para la consecución de sus propósitos y metas, está obligada a consolidar sus procesos, optimizar sus recursos, apoyarse de la tecnología, y mantener un control de los riesgos originados por errores o malas prácticas de las personas, con el fin de mantener los niveles de disponibilidad, integridad, y confidencialidad de sus datos. Sin embargo, este escenario no es común, y gran parte de las altas gerencias o autoridades, consideran de forma errada a la gestión de la seguridad de la información, como un tópico secundario, ajeno a las necesidades propias de la organización y de su personal, especialmente en las tareas vinculadas a su formación y concientización.
De esta manera, el presente estudio se enfoca precisamente en adoptar medidas orientadas a la gestión de las vulnerabilidades asociadas al recurso humano del Ministerio del Trabajo (Ibarra), mediante la declaración y difusión de un conjunto de directrices recogidas en un escrito formal de Políticas de Seguridad, destinadas a los servidores y terceros, vinculados con el tratamiento de su información, dentro del marco normativo de la ISO/IEC 27002. Además, la propuesta se encuentra sustentada y apoyada en un proceso previo de estimación del riesgo mediante la aplicación de la Metodología de origen español MAGERIT v3, con la intención de evaluar la relación existente entre sus recursos de información y su nivel de sensibilidad, frente a las distintas amenazas que tienen la capacidad de afectarlos.
En conclusión, el presente estudio permitió diagnosticar sistemática y metódicamente el estado de seguridad de la organización, se pudo definir acciones organizativas de control para su personal, con el fin de asegurar la correcta manipulación de su información y demás recursos relacionados, y finalmente, se consiguió concientizar transversalmente en cada nivel de gestión, respecto a los lineamientos de seguridad de la información que prescribe esta Cartera de Estado.