Modelo de evaluación de riesgos de seguridad de la información basado en la ISO/IEC 27005 para analizar la viabilidad de adoptar un servicio en la nube

Quispe Loarte, Javier Esai, Pacheco Pedemonte, Diego Ludwing

01 September 2018

El propósito del proyecto es proponer un modelo de evaluación de riesgos de seguridad de la información en base a la ISO/IEC 27005 para determinar la viabilidad de obtener un servicio en la nube, ya que en toda organización es necesario conocer los riesgos de seguridad de información que asumen actualmente con los controles de seguridad implementados, y los riesgos que podría asumir con la adquisición de un nuevo servicio en cloud, y así poder tomar la decisión de optar por el mismo. El modelo fue realizado en base a 3 fases. En primer lugar, se realizó una investigación pertinente de las buenas prácticas en seguridad de la información. en la investigación se utilizó la ISO/IEC 27001, que nos da una visión general de un sistema de gestión de seguridad de información. Asimismo, se optó por la ISO/IEC 27005 orientada a la gestión de riesgos de seguridad de información en una organización. En segundo lugar, se presenta la propuesta de modelo y se describe sus fases como contextualización de la organización, Identificación de riesgos, Evaluación de Riesgos y Tratamiento de Riesgos. Finalmente, se desplego el modelo en el proceso de Exámenes parciales y Finales del área de Registros académicos de la Universidad Peruana de Ciencias aplicadas. / The purpose of the project is to propose an information security risk assessment model based on ISO / IEC 27005 to determine the feasibility of obtaining a service in the cloud, since in every organization it is necessary to know the security risks of information that they currently assume with the security controls implemented and those that could be assumed with the acquisition of a new service in the cloud so that they can make the decision to opt for one or the other. The model was made based on 3 phases. First, a relevant investigation of good practices in information security was carried out. In the research, ISO / IEC 27001 was used, which gives us an overview of an information security management system. Likewise, the ISO / IEC 27005 is chosen oriented to the management of information security risks in an organization. Second, the model proposal is presented and its phases are described as contextualization of the organization, risk identification, risk assessment and risk treatment. Finally, the model was deployed in the process of partial and final examinations of the area of academic records of the “Universidad Peruana de Ciencias Aplicadas”. / Tesis

Modelo de riesgos

ISO/IEC 27005

Servicios en la nube

Seguridad de la información

Risk model

Cloud services

Information security

Mejora del proceso de monitoreo de accesos y comportamiento de usuarios en entorno cloud / Improvement of the monitoring process of access and user behavior in cloud environment

Roca Chunga, Guiuliana Krystal, Tristán Echevarría, Irving Godofredo

22 February 2021

El presente trabajo de investigación tiene como objetivo mejorar el proceso de Monitoreo de Accesos y Comportamiento de Usuarios en Entorno Cloud de la gerencia de Seguridad Tecnológica, este proceso es uno de los principales controles en el programa de seguridad de la información y ciberseguridad de Mibanco por contribuir en la detección oportuna de eventos de seguridad, evitar incidentes que pudieran afectar a la organización y por el cumplimiento de estándares de seguridad que debe cumplir toda entidad financiera. El trabajo de investigación se desarrolló en seis capítulos donde en primer lugar, se detalla el Marco Teórico utilizado; luego en el capítulo de Desarrollo de Proyecto, se realiza el análisis de la arquitectura empresarial y la identificación de los problemas objetivos que se deben trabajar para la mejora del proceso. Asimismo, en los demás capítulos se desarrolló la arquitectura de software de solución y la gestión del proyecto. / The objective of this research work is to improve the process of Monitoring Accesses and User Behavior in the Cloud Environment of the Technological Security management, this process is one of the main controls in the information security and cybersecurity program of Mibanco by contribute to the timely detection of security events, avoid incidents that could affect the organization and for the fulfillment of security standards that every financial entity must comply with. The research work was developed in six chapters where, first, the Theoretical Framework used is detailed; Then, in the Project Development chapter, the analysis of the business architecture and the identification of the objective problems that must be worked on to improve the process is carried out. Likewise, in the other chapters the solution software architecture and project management were developed. / Tesis

Proceso de monitoreo

Servicios de la nube

Accesos anómalos

Cloud services

Monitoring process

Anomalous accesses