Please use this identifier to cite or link to this item: http://repository.ucc.edu.co/handle/ucc/304
Title: Auditoria de seguridad de la información e infraestructura de ti de la empresa de energía de Arauca Enelar e.s.p. del departamento de Arauca
Author: Mina Calderón, Luz Marina
Email autor: minac@campusucc.edu.co
Issue Date: 18-Nov-2015
Advisor / Validator: Puentes Figueroa, Carlos Eduardo
Fuentes Galvis, Anival ( Asesor Externo)
Keywords: Auditoria;análisis de riesgos;ISO/IEC 27002:2013;seguridad de la información y políticas de seguridad de la información.
Description: En la actualidad, los sistemas de información apoyan en gran medida la actividad gerencial y la toma de decisiones en las empresas; incluso, la propia información y el acceso a la misma, los productos y servicios que se intercambian se han convertido en sus principales activos. Por ello, la gestión de la información no sigue siendo concebida como el resultado de un accionar para preservar los otros activos de la empresa, sino que se ha transformado en un condicionante estratégico para operar y/o competir en los sectores productivos y de esta manera generar valor para la misma. Es por eso, que cada vez existe mayor conciencia y consenso de la importancia de la Seguridad de la Información y de las redes de datos en empresas y Organizaciones, cualquiera que sea el rol en la sociedad que éstas desempeñen. Sin embargo, existen estructuras empresariales que requieren que estos temas sean analizados con una estrategia diferente, ya sea por la criticidad de la información que manejan, su dimensión o su estructura empresarial. Por ende, la mejor opción es establecer controles de seguridad en base a los requerimientos de cada empresa, de tal manera que se garanticen la integridad, disponibilidad y confidencialidad de la información y evaluarlos periódicamente con el objeto de evidenciar su nivel de eficiencia. Este proceso de evaluación se puede realizar a través de una auditoria de seguridad de la información con la cual, se podrá determinar las vulnerabilidades del sistema y en base a estos resultados los directivos podrán tomar decisiones y establecer las mejores medidas para dar solución a los inconvenientes de seguridad.
Abstract: Este proyecto de práctica social, empresarial o solidaria efectuado en la empresa de Energía de Arauca ENELAR E.S.P., tuvo como fin la realización de una auditoria en seguridad de la información con la cual se pudo identificar los riesgos a los que se encuentran expuestos los activos de información de la empresa a causa de factores humanos, ambientales, internos, externos, deliberados e involuntarios, entre otros. Este proceso de identificación de riesgos se realizó mediante el uso de la metodología de análisis y gestión de riesgos de sistemas de información “MAGERIT”, así mismo, se utilizó el método de observación y herramientas de recolección de información como el checklist, para identificar los controles o medidas existentes desplegados por la empresa para proteger la información, a partir de estos métodos se pudo identificar los activos de información, sus vulnerabilidades y las amenazas bajo las cuales se encontraban expuestos. De igual manera, a través de la auditoria se pudo evaluar el grado de cumplimiento de la empresa en base a los controles de la norma ISO/IEC 27002:2013, mediante la aplicación de un checklist en el cual se abordaron algunos controles establecidos dentro de los dominios, entre ellos: políticas de seguridad de la información, gestión de activos, control de acceso, seguridad física y ambiental, seguridad en la operativa, seguridad en las telecomunicaciones, adquisición, desarrollo y mantenimiento de los sistemas de información. A partir de los resultados obtenidos en el análisis de riesgos y la evaluación de los controles de la norma ISO/IEC 27002:2013, se elaboraron unas políticas de seguridad de la información en las cuales se establecieron una serie de controles que permiten a la empresa mitigar los riesgos y a su vez gestionar adecuadamente sus activos de información, garantizándoles su confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.
Table Of Contents: Resumen 9 Abstract 10 Introducción 11 Capítulo 1: Presentación del proyecto de grado 13 1.1 Planteamiento del problema 14 1.1.1 Descripción del problema 14 1.1.2 Formulación del problema 16 1.2 Justificación 16 1.3 Objetivos 17 1.3.1 Objetivo general 17 1.3.2 Objetivos específicos 18 1.4 Metodología 18 1.4.1 Tipos de investigación 18 1.4.2 Población 19 1.4.3 Muestra 19 1.4.4 Instrumento de recolección de la información 20 Capítulo 2: Marco Referencial 21 2.1 Marco legal 22 2.2 Marco conceptual 23 2.3 Marco Teórico 24 2.4 Marco contextual 34 2.4.1 Misión 34 2.4.2 Visión 34 2.4.3 Valores corporativos 35 2.4.4 Estructura organizacional 36 Capítulo 3: Análisis de Riesgos Asociados a las TI en la Empresa de Energía de Arauca 37 3.1 Identificación y clasificación de los activos 38 3.2 Determinación de activos críticos 40 3.3 Identificación de salvaguardas existentes aplicadas a los activos críticos 42 6 3.4 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos 43 3.5 Determinación del riesgo 44 3.6 Identificación y clasificación de los activos de información del Centro de Control 47 3.7 Determinación de activos críticos de información del Centro de Control 48 3.8 Identificación de salvaguardas existentes aplicadas a los activos críticos de información del Centro de Control 49 3.9 Determinación de vulnerabilidades y amenazas asociadas a los activos críticos de información del Centro de Control 49 3.10 Determinación del riesgo de los activos críticos de información del Centro de Control 50 Capítulo 4: Evaluación de Cumplimiento de los controles de la Norma ISO/IEC 27002:2013 en la Empresa de Energía de Arauca 53 4.1 Elaboración del checklist en base a la Norma ISO/IEC 27002:2013 54 4.2 Evaluación de cumplimiento de los controles de la norma ISO/IEC 27002:2013 54 4.3 Relación de Fichas de No conformidades y recomendaciones 57 4.4 Presentación de resultados 59 Capítulo 5: Políticas de seguridad de la información de Enelar E.S.P. 61 5.1 Políticas de seguridad de la información de Enelar E.S.P. 62 5.1.1 Política de seguridad de la información 62 5.1.2 Gestión de activos 62 5.1.3 Control de acceso 63 5.1.4 La seguridad física y ambiental 63 5.1.5 Seguridad en la operativa 64 5.1.6 Seguridad en las telecomunicaciones 64 5.1.7 Adquisición, desarrollo y mantenimiento de los sistemas de información 64 5.1.8 Cumplimiento 65 6. Conclusiones 66 7. Recomendaciones 67 8. Cronograma de actividades 69 Referencias bibliográficas 70 Anexos 73
Program: Ingeniería de Sistemas
Headquarters: Arauca
Publisher: Universidad Cooperativa de Colombia, Facultad de Ingenierías, Programa de Ingeniería de Sistemas, Arauca?, Colombia, 21101
Type: Reportes de investigación
CC Licence: Licencia CC
Citation: Mina Calderón, Luz Marina.Auditoria de seguridad de la información e infraestructura de ti de la empresa de energía de Arauca Enelar e.s.p. del departamento de Arauca
Resource reference: No
Appears in Collections:Ingeniería de Sistemas



Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.