Maestría en Tecnologías de la Información

Permanent URI for this collectionhttp://repositorio.uta.edu.ec/handle/123456789/36842

Browse

Filters

2022 - 202317

Settings

Search Results

Now showing 1 - 10 of 17
  • No Thumbnail Available
    Item
    Procedimiento para la gestión de la seguridad informática perimetral en la infraestructura de una organización.
    (2023-12) Peña Rosillo, Hugo David; Manzano Villafuerte, Víctor Santiago
    En la actualidad, uno de los principales problemas a nivel mundial es la seguridad informática a la que están expuestos los sistemas TI, debido ataques informáticos que pueden causar daños a su infraestructura, comprometiendo la integridad y confidencialidad de su información. El trabajo de investigación titulado “Procedimiento para la gestión de la seguridad informática perimetral en la infraestructura de una organización” es un estudio que se basa en mejorar y mantener actualizado los procesos de seguridad perimetral en el “Hospital General Alfredo Noboa Montenegro” partiendo de un modelo de gestión de seguridad en base a Normas Internacionales que permitan el control y manejo de datos con total integridad. El estudio se desarrolló en base a un enfoque cuantitativo y cualitativo, donde se utilizó instrumentos como la entrevista, dirigidos a los involucrados del área de TI con el objetivo de conocer la situación actual de la institución en el campo de seguridad, que amenazas y vulnerabilidades ha presentado su sistema y cuál ha sido su reacción de respuesta antes estos eventos e incidentes. Para la recolección de datos se aplicó el método interpretativo basándose en un análisis de semejanzas de conceptos de los datos obtenidos. xix El objetivo final del proyecto, se consideró un análisis de la familia de la Norma ISO/IEC 27001, en los que se refiere a políticas de seguridad informática, políticas de protección de datos, realizar un análisis de activos y tratamiento de riesgos utilizando la metodología de MAGERIT, mediante criterios de valoración para el cálculo de la probabilidad de ocurrencia, evaluación de impacto y riesgos, con la finalidad de establecer mecanismos de control para mitigar los riesgos de amenazas y vulnerabilidades que pongan en peligro la seguridad informática de la institución, el procedimiento de gestión de seguridad informática perimetral busca crear una cultura de seguridad en la institución.
  • No Thumbnail Available
    Item
    Modelo de gestión de incidentes de seguridad de la información en la red informática, basado en la ISO/IEC 27002.
    (2023-12) Saltos Ponce, Cristian Javier; Guevara Aulestia, David Omar
    Actualmente las instituciones de educación superior han potenciado sus estructuras académicas y administrativas dando cabida a la demanda por parte de la comunidad universitaria que se va sumando a la educación superior. En este sentido el presente proyecto de titulación expone el desarrollo de un modelo de gestión de incidentes de seguridad de la información en la red informática, basado en la ISO/IEC 27002, con la finalidad de asegurar la seguridad su información, dentro de la Facultad de Ingeniería en Sistemas Electrónica e Industrial (FISEI) de la UTA. La importancia de esta investigación es dar cumplimiento a los siguientes objetivos, primero analizar los riesgos de vulnerabilidad de la información del departamento de administración de redes, luego identificar los aspectos a tener en cuenta en la definición de un modelo de gestión de incidentes de seguridad de la información, una vez identificado los posibles riesgos se procede a diseñar el modelo del sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27002. Para desarrollar el presente trabajo de investigación se utilizó la metodología de investigación cualitativa con un enfoque exploratorio, empleando además una investigación de campo mediante la realización de entrevistas, la observación, y la xv ejecución de pruebas de penetración externas sobre la red y servicios de la FISEI de la UTA. Con la ejecución adecuada de las pruebas de escaneo de puertos se logró detectar de forma eficiente las vulnerabilidades que afectan a la red y servicios de la FISEI de la UTA, lo cual permitió desarrollar un modelo de gestión de incidentes de seguridad de la información en la red informática. Para mitigar las vulnerabilidades que afectan a la red de la FISEI así como minimizar los riesgos a los que su infraestructura se encuentra expuesta, es importante que la institución se acoja a lo dispuesto en la Norma ISO/IEC 27002 con el objetivo de asegurar en todo momento la integridad, disponibilidad y confidencialidad de la información
  • No Thumbnail Available
    Item
    GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN A TRAVÉS DE NORMAS INTERNACIONALES EN LA EMPRESA PÚBLICA MANCOMUNIDAD DE TRÁNSITO DE TUNGURAHUA
    (2023-11) Aguirre Sánchez, Lenin Alexis; Jaramillo Alcázar, Ángel Gabriel
    En la nueva era digital la seguridad de la información cumple un papel muy importante al proteger el activo más valioso para cualquier empresa, es decir, su información. Hoy en día la globalización ha facilitado a las empresas extender sus negocios y abrir nuevos mercados, pero al mismo tiempo han abierto las puertas para que la privacidad de la información y datos se vea vulnerada con la probabilidad de que caiga en manos equivocadas (Romero et al., 2018). También se tiene que resaltar que las amenazas programadas coexisten con otras amenazas latentes como fallas eléctricas o errores humanos e incluso desastres naturales, en consecuencia, la empresa pública Mancomunidad de Tránsito de Tungurahua necesita controlar y salvaguardar todos los datos de sus usuarios, asegurando que los mismos no se pierdan o salgan del sistema, debido a que son indispensables para la circulación del transporte terrestre y pueden ser objetivos de falsificaciones. La investigación busca construir un conjunto de medidas y procedimientos, tanto técnicos como humanos, los cuales permitirán diseñar un plan completo de gestión de riesgos para operar de manera adecuada la seguridad de la información de la empresa a través de normas internacionales. La metodología implementada en el presente estudio se adhiere a un enfoque cuantitativo y se basa en una investigación de naturaleza aplicada, de campo y explicativa. Al desarrollar la correcta identificación de riesgos y posteriormente su análisis, se logra reconocer, monitorizar y planificar el riesgo dentro de la Empresa Pública Mancomunidad de Tránsito de Tungurahua. Así pues, se diseña una estrategia donde se define cómo prevenir, controlar, mitigar y superar los riesgos, respaldando los conceptos generales especificados en normas internacionales y ofreciendo directrices para la gestión de los riesgos para la seguridad de la información.
  • No Thumbnail Available
    Item
    Automatización del despliegue de aplicaciones WEB JAVA EE EN SERVIDORES LINUX DE X64, basado en la NORMA ISO/IEC 27001:2018, utilizando contenedores de software
    (2023-10) Moya Chiluiza, Fernando Alexander; Ibarra Torres, Oscar Fernando
    El objetivo principal es optimizar el uso de recursos informáticos en un entorno de pruebas para aplicaciones Java EE, usando contenedores de software y aplicando controles de seguridad de la información, basados en la norma ISO/IEC 27001:2018, y la metodología Magerit versión 3.0 con la finalidad de mejorar la gestión de la seguridad de la información y la administración de los activos de información mediante la identificación, clasificación, valoración de amenazas, vulnerabilidades, riesgos por degradación y probabilidad de ocurrencia para asegurar la confidencialidad, integridad, disponibilidad con el propósito de aplicar diferentes tipos de controles a futuro para garantizar que los riesgos dentro de la organización sean mínimos aplicando diferentes tipos de controles en cada uno de los procesos. Para la fundamentación teórica se utilizó bases de datos indexadas, artículos científicos, libros y tesis que se alinean con el área de investigación, el enfoque aplicado fue cuantitativo y cualitativo a nivel explicativo, donde se utilizó diferentes xii tipos de instrumentos como la entrevista, encuesta a los directivos de la organización y al personal del área de TI. Este documento se encuentra estructurado por seis capítulos, en los cuales se describen los diferentes temas tratados para el desarrollo del trabajo de investigación, además de los anexos que contienen una guía para la implementación, matrices las cuales se obtuvieron previo a un análisis en base a la información obtenida y encuestas que permitieron conocer de primera mano la situación actual de la organización y cuál fue el grado de satisfacción de la solución planteada. El proyecto es viable debido a que se cuenta con el apoyo de los directivos y técnicos de la organización en donde la propuesta planteada puede ser aplicada en otras organizaciones y/o empresas consultoras en el área de desarrollo e infraestructura.
  • No Thumbnail Available
    Item
    Calidad de datos en la especificación de requerimientos de software
    (2023) Yacelga Andrade, Nelly Del Pilar; Cuji Chacha, Blanca Rocío
    La Ingeniería de Software en ciertas ocasiones presenta problemas para alcanzar niveles óptimos de calidad en diferentes aspectos del desarrollo del software. En la actualidad, la calidad de datos (DQ) y el desarrollo de software para un Sistema de Información (SI) son dos temas cruciales que deben complementarse desde las fases tempranas del desarrollo, aplicando los principios de la calidad de datos para garantizar un software de calidad. El objetivo del estudio fue diseñar una guía técnica para obtener la especificación de requerimientos de calidad de datos, que se incorpore a la Especificación de Requerimientos de Software (ERS) académico mediante modelos y estándares. La metodología utilizada, se centró en tres fases, la primera: se refiere a la Definición del Entorno que contempla la conceptualización del equipo de trabajo, la capacitación en DQ, y la identificación del SI a automatizar. La segunda: corresponde al Desarrollo de la ERS, la identificación de requerimientos y datos críticos y sus necesidades de DQ. La tercera: hace referencia a la Aplicación de DQ en la ERS. La guía fue aplicada en el proceso de Vinculación del Instituto Superior Tecnológico Sucre (ISUSUCRE) lo que permitió llegar a las siguientes conclusiones: la mayoría de los docentes reportó que el volumen de transacciones diarias es tan alta que la información que procesan manualmente, no siempre es oportuna ni exacta, y que el registro y control de la información es insuficiente; por otra parte, en elación a la metodología TDQM y la xiii norma ISO2512, estas se complementan adecuadamente a la hora de fijar políticas y dimensiones de calidad de datos; la guía técnica propuesta permite definir oportunamente los requisitos de DQ para sostener un nivel adecuado de información de calidad; el uso del estándar IEE830 para construir la ERS permitió obtener un documento ordenado y completo facilitando además la incorporación de los requisitos de DQ. Finalmente se recomienda aplicar la metodología TDQM como marco de trabajo y las dimensiones de calidad de la norma ISO2512.
  • No Thumbnail Available
    Item
    Integración de un correlacionador de eventos de seguridad de la red institucional
    (2023) Peralvo Mejía, Henry Rodrigo; Román Cañizares, Milton Neptalí
    El presente trabajo de investigación tiene por objeto la implementación de un correlacionador de eventos de seguridad en la red DMZ de la Universidad Técnica de Ambato a través de la herramienta SIEM open source AlienVault OSSIM, la misma que posee características además de la correlación de eventos, la evaluación de vulnerabilidades, detección de intrusiones, monitoreo de comportamiento. La aplicación de este sistema de seguridad permitirá un mejor control ante las diferentes amenazas a las que están expuestos los activos de la red y ofrecerá al administrador de seguridad filtrar eventos específicos para realizar diversas tareas de monitoreo, vigilancia, diagnóstico y toma de decisiones en una sola interfaz de trabajo. Para llevar a cabo la implementación, en primer lugar, se realiza un análisis de la situación actual en base al levantamiento de información del entorno de trabajo, es decir, los equipos que conforman este segmento de red, su distribución y diseño. Posteriormente, en base a las necesidades de los administradores de red y seguridad, y necesidades institucionales, se analiza y selecciona la herramienta que más se adapta para el proceso. Finalmente, se procede a la instalación y configuración de la herramienta. Se integra los activos seleccionados y se logra la configuración necesaria. A través de políticas y acciones creadas se procede a su comprobación mediante filtros y ataques (Fuerza bruta, Inyección SQL, XSS) que evidencien el xv funcionamiento y la obtención de resultados deseados. Entre los activos de los cuales se recepta los eventos en tiempo real existen varios equipos críticos que generan un alto flujo de datos, lo cual pone a prueba la capacidad de la herramienta de trabajar con grandes cantidades de información. La implementación de sistemas y procesos que ayuden a la mitigación de ataques y vulnerabilidades permite además cumplir con normas y estándares de seguridad en las instituciones.
  • No Thumbnail Available
    Item
    Análisis y diseño de un modelado de arquitectura de red para el instituto superior tecnológico sucre aplicando normativas internacionales
    (2023) Díaz Caiza, Jorge Giovanny; Ibarra Torres, Oscar Fernando
    Con el transcurso de los años, las infraestructuras de redes de datos ponen al límite sus capacidades para soportar el continuo crecimiento de transporte de datos a los que están sometidas sobrepasando el límite de las características para las que fueron diseñadas. El siguiente trabajo de investigación define un modelado de la infraestructura de red de datos del Instituto Superior Tecnológico Sucre basándose primordialmente en las mejores prácticas disponibles en las normas aplicables. El Instituto Superior Tecnológico Sucre es una institución pública de educación superior, con una media de 2600 estudiantes por periodo académico para el año 2021, una plantilla de 130 docentes, cuenta con 10 de carreras todas ellas con mallas curriculares actualizadas donde se proporcionan a su comunidad estudiantil un apropiado ambiente de aprendizaje además de herramientas idóneas para su acertada inserción en el ámbito laboral. xiv Se propone un análisis y diseño con las mejores prácticas, para determinar las exigencias del usuario e identificar los recursos de tecnología, se establece la capacidad del diseño a implementar, se definen las directivas requeridas en el diseño considerando factores con mayor impacto de la tecnología orientados a los objetivos del instituto y la planificación para crecimiento continuo. Se elabora la metodología para la administración de la infraestructura, establecer la participación de la red, además de sugerencia para el manejo y control de incidentes. Se aplicará la normativa que comparta con otros estándares la base del modelo de mejora continua, que propone que toda gestión debe iniciar con una planeación la cual debe servir para ejecutar las actividades diarias de una organización. Las actividades deben ser medibles y controlables con el propósito de obtener la información necesaria que permita mejorarlas y volver a hacer una planeación que tenga en cuenta el real funcionamiento de la empresa (Quintero & Hernando, 2017). La implementación de buenas prácticas para el manejo de infraestructura añade un plus en la detección de requerimientos, análisis de componentes de una red e implementación de soluciones.
  • No Thumbnail Available
    Item
    Sistema de gestión de seguridad de la información en la Universidad Estatal Amazónica
    (2023-02) Villarreal Morales, Verónica De las Mercedes; Ibarra Torres, Oscar Fernando
    La Universidad Estatal Amazónica, maneja información académica, de gestión financiera, proyectos de investigación y vinculación, que se generan en el transcurso de cada semestre académico, almacenados en bases de datos y gestionados a través de plataformas informáticas. El no aplicar metodologías de seguridad de la información podría ocasionar pérdida de confianza en los datos, incurriendo en delitos como fraude académico, estados financieros erróneos o manipulados, y/o proyectos vulnerados, esto puede evidenciar la fragilidad de la información institucional. El mantener niveles aceptables de riesgo en el área de Tecnologías es responsabilidad del Director de Gestión de Tecnologías de la Información y Comunicación, por tal motivo, actualmente la seguridad de la información se la realiza de manera empírica, sin procedimientos, documentación y/o guía en estándares que garanticen la aplicabilidad de xii una metodología estructurada de mejora continua para la gestión de la seguridad de la información en la UEA. Según información recopilada en el trabajo de investigación, para la implementación de un Modelo de Gestión y Gobierno de Tecnologías de la Información en la Universidad Estatal Amazónica, Villarreal (2018), menciona el estado de la seguridad de la información con un nivel de capacidad de 1 sobre 5, lo que evidencia que el área de TI de la UEA no realiza sus procesos cumpliendo con parámetros estandarizados. Por tal motivo el trabajo de investigación tiene como objetivo la implementación del Sistema de Gestión de la Información, permita garantizar la confidencialidad, integridad y disponibilidad de la información institucional, a través de la aplicación de Estándar ISO 27001 y la metodología Magerit para el análisis de riesgos. Adicional se busca evaluar el impacto que el Sistema de Seguridad de la Información tendrá para mejorar los niveles de capacidad del Gobierno y Gestión de las Tecnologías de la Información implementado en la Universidad Estatal Amazónica. El trabajo de investigación tiene un enfoque cuali cuantitativo, es cuantitativa porque se utiliza parámetros de medición en la variable independiente; también es cualitativa porque se emite juicios de valor respecto al riesgo y seguridad de la información en miras de mejorar el Gobierno y Gestión de Tecnologías de la Información.
  • No Thumbnail Available
    Item
    DETECCIÓN DE VULNERABILIDADES MEDIANTE PRUEBAS DE PENETRACIÓN A LA RED DE SERVIDORES Y SERVICIOS DEL INSTITUTO SUPERIOR TECNOLÓGICO SUCRE.
    (Universidad Tecnica de Ambato,Magíster en Tecnologías de la Información, 2022-11-15) Cedeño Zambrano, María Elizabeth; Ibarra Torres, Oscar Fernando
    Nowadays, computer security is a key point for all organizations, both public and private, regardless of their line of business. Thus, Sucre Higher Institute of Technology wants to provide its administrative, teaching and student staff with a quality and efficient technological infrastructure, but above all safe, so this research work seeks to develop an improvement plan to mitigate the vulnerabilities identified through the execution of penetration tests on the network of servers and services of the Institute. In order to develop the present work, the qualitative research methodology was used with an exploratory approach, using also a field research through interviews, observation, checklists and the execution of external black box penetration tests on the network of servers and services of Sucre Higher Institute of Technology. The penetration tests were carried out following a process of phases, such is the case, that in the first place a phase of recognition and collection of information was executed through the use of tools to analyze the domain, web page and IP addresses provided by the Institute, to subsequently perform an analysis phase to detect and obtain the vulnerabilities that affect these applications and services, which also allowed to know xvii the level of criticality of each vulnerability; with this data it was possible to execute the phase of exploitation of the critical vulnerabilities that affect these services. With the proper execution of the penetration tests it was possible to efficiently detect the vulnerabilities affecting the network of servers and services of Sucre Higher Institute of Technology, which also allowed the development of an improvement plan containing the recommendations of the actions that Sucre Higher Institute of Technology should implement to mitigate the vulnerabilities affecting its network and thus minimize the risks to which its infrastructure is exposed, thus guaranteeing compliance with the provisions of ISO 27001 in terms of ensuring the integrity, availability and confidentiality of the information at all times.
  • No Thumbnail Available
    Item
    EVALUACIÓN DE RIESGOS INFORMÁTICOS Y DISEÑO DE UN PLAN DE CONTINGENCIA PARA EL ÁREA DE TECNOLOGÍA DE LA EMPRESA IMPORTADORA ALVARADO VÁSCONEZ CIA. LTDA., UBICADA EN LA CIUDAD DE AMBATO.
    (Universidad Tecnica de Ambato, Magíster en Tecnologías de la Información., 2022-11-22) Aranda Moposita, Juan Pablo; Gómez Alvarado, Héctor Fernando
    Companies every day are growing their information and assets which have the need to safeguard the integrity of their information against potential risks, these risks if not detected and controlled in time can cause great damage and economic losses, to mitigate these risks it is necessary to have a methodology for analysis and risk management. For this reason we have seen the need to implement the methodology MAGERIT version 3.0, which helps us to effectively manage the risks to which our most critical assets are exposed to the technology area of the company Importadora Alvarado Vásconez Cía, based on the ISO 31000 standard, which will allow us to prevent and detect incidents that may occur, obtaining information about the vulnerabilities to which they are exposed, determine the impact that can generate and the threats if they materialize in the information systems, establishing processes to identify and reduce the risks that threaten the stability of the company, IT infrastructure and most importantly the information. After the risk analysis, a contingency plan will be developed based on ISO/IEC 27001:2013, which will consist of 4 stages, which will help us to ensure that the company's critical processes continue to function in the event of a failure in the technological systems and allow them to continue operating, even at the minimum level of their activities. The results obtained will help to identify the risk level of the company's most critical assets, the current security maturity level, as well as the threats or vulnerabilities to which they are exposed, their risk levels including the impact and probability of occurrence, and their respective contingency plan for the company's most critical processes.