DSpace logo

  1. Repositorio Digital de la UTMACH
  2. Trabajos de Titulación Facultad de Ingeniería Civil
  3. Tecnologías de la Información
  4. Trabajo de Titulación Tecnología de la Información
Por favor, use este identificador para citar o enlazar este ítem: http://repositorio.utmachala.edu.ec/handle/48000/23569
Título : Gestión de riesgos de seguridad de la información de una empresa y propuesta de mejoras utilizando normas y estándares internacionales
Autor : Marin Ramon, Juan Andres
Luzuriaga Rey, Edwin Paul
Director(es): Loja Mora, Nancy Magaly
Palabras clave : NORMAS INTERNACIONALES;ACTIVOS;AMENAZAS;VULNERABILIDADES
Fecha de publicación : 2024
Editorial : Machala : Universidad Técnica de Machala
Descripción : El presente trabajo de titulación aborda la gestión de riesgos de la seguridad de la información en una empresa y propone mejoras utilizando normas y estándares internacionales, específicamente la norma ISO/IEC 27005 y la metodología NIST SP 800-30. El objetivo principal es identificar, evaluar y mitigar los riesgos de seguridad de la información, fortaleciendo la continuidad del negocio. Para alcanzar este objetivo, se llevó a cabo una exhaustiva investigación sobre normas internacionales que abordan políticas, procedimientos y controles de seguridad. Se formó un comité de seguridad de la información para realizar una evaluación de riesgos detallada que incluyó la identificación y tasación de activos de toda empresa, así como la identificación de amenazas y vulnerabilidades asociadas. Posteriormente, se priorizaron los activos de las áreas identificadas como críticas en función de su impacto y probabilidad, y se definieron controles y propuestas de mejora específicas para su tratamiento. Los resultados de la evaluación demuestran que la realización de un marco de gestión de riesgos basado en la norma ISO/IEC 27005 y la metodología NIST SP 800-30 es eficaz para mitigar incidentes de seguridad y reducir la exposición a amenazas. Las propuestas de mejora incluyen controles específicos que abordan las áreas críticas identificadas, tales como la protección de datos sensibles, la gestión de accesos y la capacitación del personal, asegurando la protección de los activos de la empresa y mejorando su postura de seguridad. Las conclusiones confirman la hipótesis de que una gestión de riesgos adecuada, respaldada por normas y estándares internacionales, no solo cumple con los aspectos requeridos para la mitigación de incidentes de seguridad, sino que también proporciona una guía clara para la implementación de buenas prácticas. Este trabajo no solo aporta una solución integral para la seguridad de la información en la empresa, sino que también establece un referente de buenas prácticas que pueden ser adoptadas por otras organizaciones en busca de mejorar su seguridad de la información.
Resumen : This thesis addresses the management of information security risks in a company and proposes improvements using international standards and frameworks, specifically ISO/IEC 27005 and the NIST SP 800-30 methodology. The primary objective is to identify, assess, and mitigate information security risks, thereby strengthening business continuity. To achieve this objective, an exhaustive investigation into international standards that address security policies, procedures, and controls was conducted. An information security committee was formed to carry out a detailed risk assessment, which included the identification and valuation of company-wide assets, as well as the identification of associated threats and vulnerabilities. Subsequently, the assets within the identified critical areas were prioritized based on their impact and likelihood, and specific controls and improvement proposals were defined for their treatment. The evaluation results demonstrate that establishing a risk management framework based on ISO/IEC 27005 and the NIST SP 800-30 methodology is effective in mitigating security incidents and reducing exposure to threats. The proposed improvements include specific controls that address the identified critical areas, such as sensitive data protection, access management, and personnel training, ensuring the protection of the company’s assets and enhancing its security posture. The conclusions confirm the hypothesis that adequate risk management, supported by international standards and frameworks, not only meets the required aspects for mitigating security incidents but also provides clear guidance for the implementation of best practices. This work not only offers a comprehensive solution for information security within the company but also establishes a benchmark of best practices that can be adopted by other organizations seeking to improve their information security.
URI : http://repositorio.utmachala.edu.ec/handle/48000/23569
Aparece en las colecciones: Trabajo de Titulación Tecnología de la Información

Ficheros en este ítem:
Fichero Descripción Tamaño Formato  
Trabajo_Titulacion_3437.pdfTrabajo de Titulación2,79 MBAdobe PDFVisualizar/Abrir
Mostrar el registro Dublin Core completo del ítem


Este ítem está sujeto a una licencia Creative Commons Licencia Creative Commons Creative Commons