Thesis
Diseño de políticas en seguridad informática y seguridad de la información basado en la norma ISO/IEC 27001 dirigidoa una empresa de equipos de telecomunicaciones.
Fecha
2019-10-15Autor
Parra Enríquez, Juan Pablo
Institución
Resumen
Debido a la necesidad de salvaguardar la información de una empresa de telecomunicaciones que se dedica al comercio de equipos de telecomunicaciones al por mayor y menor en la ciudad de Guayaquil, se ha tomado como referencia la norma ISO/IEC 27001:2013 con el afán deaplicar un diseño de políticas de seguridad de la información e informática en dicha empresa. Primero se realizó un análisis de observación la cual permitióidentificar la falta de aplicación de controles de seguridad en todos los procesos, por ello se entrevistaron a los jefes de cada departamento listando los activos involucrados en todos los procedimientos que llevan a cabo y así priorizarlos según el tipode información que maneja cada activo. Aplicando metodologías de evaluación de riesgo, se desarrolló una matriz en donde se evaluó que amenazas se presentarían por cada activo de prioridad alta para luego calcular el riesgo según el impacto y la probabilidad de ocurrencia. Finalmente, para todos los activos de riesgo alto se elaboraron las políticas requeridas según la información a proteger. Due to the need to safeguard the information of a telecommunications company that is dedicated to the wholesale and retail of telecommunications equipment in the city of Guayaquil, the ISO / IEC 27001: 2013 standard has been taken as a reference with the aim of applying a design of IT security and information policies in that company. First, an observation analysis was carried out which allowed identifying the lack of application of security controls in all processes, so the heads of each department were interviewed listing the assets involved in all the procedures they carry out and thus prioritize them according to the type of information that handles each asset. Applying risk assessment methodologies, a matrix was developed where it was evaluated what threats would be presented for each high-priority asset and then calculate the risk according to the impact and the probability of occurrence. Finally, for all high-risk assets, the required policies were developed according to the information to be protected.