Análisis de riesgos y vulnerabilidades al área de TI de la empresa Fundación el Alcaraván bajo la Norma ISO 27001:2013

Universidad Cooperativa de Colombia; Millan Farfan, Darlyn Geovany; Gandias Morales, José Pascual

Análisis de riesgos y vulnerabilidades al área de TI de la empresa Fundación el Alcaraván bajo la Norma ISO 27001:2013

dc.contributor.advisor	Puentes Figueroa, Carlos Eduardo
dc.contributor.author	Universidad Cooperativa de Colombia
dc.creator	Millan Farfan, Darlyn Geovany
dc.creator	Gandias Morales, José Pascual
dc.creator.mail	darlyn.millanf@campusucc.edu.co	es
dc.date.accessioned	2021-12-14T14:31:10Z
dc.date.available	2021-12-14T14:31:10Z
dc.date.issued	2021-12-09
dc.description	Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información. (Anonimo, 2012) El presente proyecto permite realizar un Análisis de Riesgos y Vulnerabilidades de la Infraestructura Tecnológica de la fundación el Alcaraván, utilizando metodologías de MAGERIT y el estándar ISO/ IEC 27001: 2013, con el propósito de determinar si existe un entorno seguro para los sistemas y servicios que ofrece la fundación, así como planes de mitigación de riesgos tecnológicos. La metodología MAGERIT elegida para este proyecto inicia con la identificación de riesgos, la cual se divide en identificación de activos o puntos de acceso e identificación y búsqueda de vulnerabilidades, esta última es la fase se efectúan las pruebas de testeo de seguridad, las cuales se identifican las vulnerabilidades presentes en cada una de las entidades de evaluación definidas por la metodología; luego se realiza el análisis de riesgos, en segunda instancia la evaluación y valoración de riesgo, finalmente se procede con el análisis de impacto técnico e impacto de negocio. Todo esto a su vez apoyados en la norma ISO/ IEC 27001:2013 que nos brinda los controles de seguridad de la información	es
dc.description.abstract	As part of the Information Security Management System, it is necessary for the company to carry out adequate risk management that allows it to know which are the main vulnerabilities of its information assets and which are the possible ones to exploit the vulnerabilities. To the extent that the company is clear about this risk identification, it will be able to establish viable preventive and corrective measures that guarantee higher levels of security in your information. (Anonimo, 2012) Is project allows to carry out a Risk and Vulnerability Analysis of the Technological Infrastructure of the El Alcaraván Foundation, using MAGERIT methodologies and the ISO / IEC 27001: 2013 standard, in order to determine if there is a safe environment for the systems and services. offered by the foundation, as well as technological risk mitigation plans. The MAGERIT methodology chosen for this project begins with the identification of risks, which is divided into identification of assets or access points and identification and search for vulnerabilities, the latter is the phase of security testing tests, which are carried out. identify the vulnerabilities present in each of the evaluation entities defined by the methodology; then the risk analysis is performed, in the second instance the risk assessment and assessment, finally the technical impact and business impact analysis is carried out. All this in turn supported by the ISO / IEC 27001: 2013 standard that provides us with information security controls	es
dc.description.tableOfContents	1. Introducción -- 1.1. Abstract -- 2. Planteamiento del problema -- 2.1. Identificación del problema -- 2.2. Árbol del problema -- 2.3. Descripción del problema – 3. Justificación -- 4. Objetivos -- 4.1. Objetivo general -- 4.2. Objetivos específicos -- 5. Marco teórico y estado del arte -- 5.1. Revisión bibliográfica -- 6. Metodología -- 7. Diseño -- 8. Instrumentos -- 9. Desarrollo -- 9.1. Contextualización de la fundación el alcaraván -- 9.2.Caracterización de los activos de la infraestructura tecnológica (objetivo 1) -- 9.3. Análisis y evaluación del riesgo (objetivo 2) -- 9.3.1.Valoración de activos -- 9.3.2. Identificación de las amenazas -- 9.3.3. Valoración de amenazas -- 10. Controles evaluados (objetivo 3) -- 10.1. Evaluación de los controles -- 11.Salvaguardas dispuestas por la entidad -- 12. Plan de estrategias para el mejoramiento del control de acceso (objetivo 4) -- 13. Resultados -- 14. Conclusiones -- 15. Referentes bibliográficos -- 16. Anexos -- 16.1. Anexo a: caracterización de activos de la fundación el alcaraván -- 16.2. Anexo b: checklist -- 16.3. Anexo c: plan de estrategias para el mejoramiento del control de acceso.	es
dc.format.extent	60 p.	es
dc.identifier.bibliographicCitation	Gandias Morales, J. P.y Millan Frafan, D. G. (2021). Análisis de riesgos y vulnerabilidades al área de ti de la empresa Fundación el Alcaraván bajo la norma ISO 27001:2013. [Tesis de pregrado, Universidad Cooperativa de Colombia]. Repositorio Institucional Universidad Cooperativa de Colombia.	es
dc.identifier.uri	http://hdl.handle.net/20.500.12494/41151
dc.publisher	Universidad Cooperativa de Colombia, Facultad de Ingenierías, Ingeniería de Sistemas, Arauca	es
dc.publisher.department	Arauca	es
dc.publisher.program	Ingeniería de Sistemas	es
dc.rights.accessRights	openAccess	es
dc.rights.license	Atribución – Sin Derivar	es
dc.source.bibliographicCitation	American Psychological Association. (2010). Manual de publicaciones de la American Psychological Association. México: Manual Moderno	es
dc.source.bibliographicCitation	Anonimo. (Agosto de 2012). Welivesecurity. Obtenido de https://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/#:~:text=tenga%20clara%20esta-,Como%20parte%20del%20Sistema%20de%20Gesti%C3%B3n%20de%20Seguridad%20de%20la,que%20podr%C3%ADan%20explotar%20las%20vulnerabildades.	es
dc.source.bibliographicCitation	CCN. (29 de Julio de 2020). ccn-cert. Obtenido de https://www.ccn-cert.cni.es/comunicacion-eventos/comunicados-ccn-cert/10388-nuevo-portal-de-pilar-la-solucion-de-analisis-y-gestion-de-riesgos-del-ccn.html#:~:text=La%20soluci%C3%B3n%20PILAR%20es%20una,de%20los%20Sistemas%20de%20Informaci%C3%B3n).	es
dc.source.bibliographicCitation	Fundación el Alcaraván. (s.f.). alcaravan.org.co. Recuperado el 12 de Abril de 2021, de http://www.alcaravan.org.co/la-fundacion	es
dc.source.bibliographicCitation	Fundación Universitaria Konrad Lorenz. (10 de Julio de 2014). Para Autores: Revista Latinoamericana de Psicología. Obtenido de http://publicaciones.konradlorenz.edu.co/index.php/rlpsi/about/submissions#onlineSubmissions	es
dc.source.bibliographicCitation	Hernández, R., Fernández, C., & Baptista, P. (2006). Metodología de la investigación. México: MacGraw-Hill.	es
dc.source.bibliographicCitation	IsoTools. (8 de Marzo de 2018). IsoTools. Obtenido de https://www.isotools.org/2018/03/08/que-es-un-checklist-y-como-se-debe-utilizar/	es
dc.source.bibliographicCitation	Ministerio de Hacienda y Administraciones Públicas. (Octubre de 2012). ccn-cert.cni.es. Obtenido de https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html	es
dc.source.bibliographicCitation	UNE 71504. (2008). UNE Normalización Española. Obtenido de https://www.une.org/encuentra-tu-norma/busca-tu-norma/norma/?c=N0041430	es
dc.subject	Activos	es
dc.subject	Amenazas	es
dc.subject	Análisis	es
dc.subject	Controles	es
dc.subject	Seguridad	es
dc.subject.other	Assets	es
dc.subject.other	Threats	es
dc.subject.other	Analysis	es
dc.subject.other	Controls	es
dc.subject.other	Security	es
dc.title	Análisis de riesgos y vulnerabilidades al área de TI de la empresa Fundación el Alcaraván bajo la Norma ISO 27001:2013	es
dc.type	Trabajos de grado - Pregrado	es