Thesis
Diseño e implementación del sistema de gestión de seguridad de la información para la secretaría de ambiente del DMQ aplicando la familia de normas ISO/IEC 27000
Fecha
2013-09Registro en:
SIS L881d/2013
Autor
López Serrano, Jéssica Carolina
Institución
Resumen
Este proyecto de fin de carrera surgió de la necesidad de remediar las falencias y debilidades referentes a la seguridad de la información en la Secretaría de Ambiente, basada en la falta de conocimiento de los riesgos existentes sobre cada activo de la información, así como la aplicación de controles para evitar la materialización de los mismos. En la primera instancia de la implementación del SGSI, el alcance fue definido tomando en cuenta los aspectos relevantes para el cumplimiento de la misión de la institución, a continuación se tomó como referencia la metodología MAGERIT para realizar la identificación de los activos de la información y su relación de dependencia con otros activos, su valoración y la identificación y probabilidad de ocurrencia de las amenazas y vulnerabilidades, finalmente, con todos los datos recolectados, se calculó el valor de cada activo por la probabilidad de ocurrencia de las amenazas que pueden afectarlo, obteniendo como resultado el riesgo intrínseco de los activos. Dependiendo del valor del riesgo definido, se estableció el plan de tratamiento, donde se definió que acciones necesarias, ya sea eliminar, mitigar, transferir o asumir el riesgo. Si los riesgos debían ser mitigados, se les asignó los controles correspondientes, sin embargo no todos pudieron ser aplicados ya sea por falta de recursos financieros o debido a que ya estaban siendo gestionados por el MDMQ, todos estos motivos fueron determinados en la declaración de aplicabilidad. Posterior al análisis de riesgos se estableció el plan de acción que detalla, según los objetivos de control necesarios, las acciones que se realizaron, recursos necesarios, plazo de implementación, responsable y los documentos que se obtuvieron del proceso de implementación. Además, se definió mediciones de referencia en base al plan de acción, para medir la eficacia de los controles implementados cuando sea pertinente.