Por favor, use este identificador para citar o enlazar este ítem: http://bibdigital.epn.edu.ec/handle/15000/10653
Título : Modelo de un proceso de la gestión del riesgo de la seguridad de la información en entidades gubernamentales
Autor : Paillacho Arias, Saulo Marcelo
Palabras clave : Gestión de las tecnologías de información y comunicación
Seguridad de la información
ISO/IEC 27005
Fecha de publicación : 2-jun-2015
Editorial : Quito, 2015.
Resumen : Resumen .- El propósito de la presente tesis es conocer el riesgo de los activos a través de un proceso. El modelo cubre las cláusulas de la Norma Técnica Ecuatoriana de Gestión de Riesgo (NTE INEN ISO/IEC 27005). Inicialmente se genera una Matriz de Riesgo Inicial (MRi) de los activos de información con las variables: valor del activo, probabilidad de ocurrencia de una amenaza, valor del impacto cuando la amenaza explota la vulnerabilidad y por supuesto el riesgo del activo, la MRi puede ser aplicada y adaptada a cualquier organización. En la valoración del riesgo se determina el valor de los activos, se identifica las amenazas y vulnerabilidades, se identifica los controles, se evalúa y se prioriza el tratamiento de los riesgos. Como resultado se tiene la MRi valorada con el estado del riesgo de acuerdo al criterio de valoración del riesgo. El tratamiento está sustentado en un plan de tratamiento de riesgo para su implementación a corto o mediano plazo. Posterior al Tratamiento del riesgo viene la aceptación del riesgo que debe estar identificado, documentado y socializado desde los niveles estratégicos hacia los niveles medios y operativos. La comunicación del riesgo la realiza los responsables de la Seguridad de la Información de la Organización, comunicación que es bidireccional y continua. Al final se monitorea y revisa el estado de riesgo de los activos, cambios que son registrados en la matriz de riesgo final (MRf). Al ser un proceso continuo la MRf se considera como una nueva MRi que se irá actualizando periódicamente. Abstract .- The purpose of this thesis is to determine the risk of assets through a process. The model covers the clauses of the Norma Técnica Ecuatoriana of risk management (NTE INEN ISO/IEC 27005). The model begins with the generation of an Initial Risk Matrix (MRi) of information assets, the MRi´s variables are: asset value, occurrence probability of the threat, impact value when the threat exploits the vulnerability and of course the risk of the assets, the MRi can be applied and adapted to any organization with different purpose. In the risk assessment has been determined: assets value, threats, vulnerabilities, controls has evaluated and prioritized the risk. As a result, we have valued the MRi with the risk status about risk criteria. The treatment should be supported by a risk treatment plan for implementing in short or medium term. Then the risk treatment is the accepted risk that must be identified, documented and socialized from strategic levels to the media and operational levels. The risk communication is made by the Information Security Team, the communication is bidirectional and continuous. To close the cycle model is recommended to monitor and review of risk, identify the assets status changes, these changes will record in the Final Risk Matrix (MRf). The model is a continuous process, then the MRf is now the MRi and so periodically.
Descripción : 125 hojas : ilustraciones, 29 x 21 cm + CD-ROM 6286
URI : http://bibdigital.epn.edu.ec/handle/15000/10653
Aparece en las colecciones: Tesis Maestría en Gestión de las Comunicaciones y Tecnologías de la Información (FIS)

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
CD-6286.pdf5,67 MBAdobe PDFVisualizar/Abrir


Este ítem está protegido por copyright original



Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.