Plan de gestión de seguridad de la información basada en Tic's para la Facultad de Ingeniería de Sistemas de la Escuela Politécnica Nacional

Abstract

El presente proyecto de titulación desarrolla un Plan de Gestión de Seguridad de la Información basada en TIC's para la Facultad de Ingeniería de Sistemas de la Escuela Politécnica Nacional, basado en el estándar ISO/IEC 27001 y la fase Planear del modelo PDCA (Planear, Hacer, Chequear y Actuar).

El documento se encuentra dividido en 4 capítulos:

En el Capítulo I se realiza un estudio detallado sobre la Facultad (su organización, servicios y aplicaciones), el estado de la seguridad de la Información con la herramienta MSAT y se explica cómo se aplica el estándar ISO/IEC 27001 en la Facultad.

En el Capítulo II aplicando la guía NIST SP 800-30 se realiza el análisis de riesgos que comprende: identificación de amenazas, identificación de vulnerabilidades con las guías NIST SP 800-26 y SP 800-42 y la herramienta automática Nessus, análisis de controles, determinación de la probabilidad, análisis del impacto, determinación del riesgo y finalmente opciones de tratamiento de riesgos. Por último se establecen los requerimientos de seguridad en base al análisis de riesgos y los criterios de seguridad aplicables a la Facultad.

En el Capítulo III se define el alcance y límites del Plan, se determina la política del Sistema de Gestión de Seguridad de la Información y se indican los requerimientos legales y organizacionales aplicables a la Facultad. En base a toda la información obtenida y analizada anteriormente se define el Enunciado de Aplicabilidad que contiene los objetivos de control y controles aplicables del estándar ISO/IEC 17799 que constituyen el Plan de Gestión de Seguridad de la Información. Además se plantean recomendaciones para las fases Hacer, Chequear y Actuar del modelo PDCA.

Finalmente en el Capítulo IV se presentan las respectivas conclusiones y recomendaciones obtenidas a lo largo del desarrollo del presente proyecto de titulación.