Por favor, use este identificador para citar o enlazar este ítem: http://bibdigital.epn.edu.ec/handle/15000/21384
Título: Propuesta de un ciclo de gestión de riesgos utilizando modelos de amenazas y controles de seguridad ISO/EC 27002 / EGSI / RGPD
Autor: Perugachi Cartagena, Ricardo Alcibiadis
Palabras clave: GESTIÓN DE RIESGOS
SEGURIDAD DE LA INFORMACIÓN
NORMAS ISO
Fecha de publicación: 19-ene-2021
Editorial: Quito, 2021.
Citación: Perugachi Cartagena, R. A. (2021). Propuesta de un ciclo de gestión de riesgos utilizando modelos de amenazas y controles de seguridad ISO/EC 27002 / EGSI / RGPD. 173 hojas. Quito : EPN.
Resumen: At present, a greater number of information systems consume and store sensitive data of their different actors, considering that information is a valuable asset, every day there are more attacks that try to steal this data, thus violating not only the systems, but also also the privacy of people. Faced with this reality, it is necessary to carry out adequate risk management, which considers the privacy of the information and allows organizations to protect the sensitive data they possess. The objective of this Master's thesis is to propose a "Risk Management Cycle", which makes use of the guidelines provided by the ISO 27005 standard, taking into consideration the controls proposed by the international standard ISO 27002, as well as the guidelines of the "Government Information Security Scheme” of the Ecuadorian state and finally considering the European “General Data Protection Regulation” in order to ensure the privacy of sensitive personal data. The risk management cycle to be proposed will be evaluated through a case study based on different attacks on sensitive information reported in the network, once the study is defined, an automated threat model will be carried out and risk assessment will be carried out they will use attack and defense trees. During the risk management cycle, work will be done with both inherent risk and residual risk, which are the values that will determine how effective the cycle has been.
Descripción: En la actualidad una mayor cantidad de sistemas de información consumen y almacenan datos sensibles de sus distintos actores, considerando que la información es un activo valioso, cada día se presentan más ataques que tratan de robar estos datos, vulnerando así no solo los sistemas, sino también la privacidad de las personas. Frente a esta realidad es necesario realizar una gestión de riesgos adecuada, que considere la privacidad de la información y que permitan a las organizaciones proteger los datos sensibles que poseen. Esta tesis de Maestría tiene como objetivo proponer un “Ciclo de Gestión de Riesgos”, que haga uso de los lineamientos provistos por el estándar ISO 27005, tomando en cuenta los controles propuestos por la norma internacional ISO 27002, así como también los lineamientos de el “Esquema Gubernamental de Seguridad de la Información” del estado ecuatoriano y finalmente considerando el “Reglamento General de Protección de Datos” europeo con el propósito de asegurar la privacidad de los datos personales sensibles. El ciclo de gestión de riesgos a proponer será evaluado mediante un caso de estudio basado en distintos ataques a la información sensible reportados en la red, una vez definido el caso de estudio se procederá a realizar un modelo automatizado de amenazas y para la evaluación de riesgos se utilizarán árboles de ataque y defensa. Durante el ciclo de gestión de riesgos se trabajará tanto con el riesgo inherente como con el riesgo residual, que son los valores que determinarán que tan efectivo ha sido el ciclo.
URI: http://bibdigital.epn.edu.ec/handle/15000/21384
Tipo: masterThesis
Aparece en las colecciones:Tesis Maestría en Software (FIS)

Ficheros en este ítem:
Fichero Descripción TamañoFormato 
CD 10869.pdf5,28 MBAdobe PDFVisualizar/Abrir


Los ítems de DSpace están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.