Maestría en Tecnologías de la Información

Permanent URI for this collectionhttp://repositorio.uta.edu.ec/handle/123456789/36842

Browse

Now showing 1 - 17 of 17

Análisis y diseño de un modelado de arquitectura de red para el instituto superior tecnológico sucre aplicando normativas internacionales
(2023) Díaz Caiza, Jorge Giovanny; Ibarra Torres, Oscar Fernando
Con el transcurso de los años, las infraestructuras de redes de datos ponen al límite sus capacidades para soportar el continuo crecimiento de transporte de datos a los que están sometidas sobrepasando el límite de las características para las que fueron diseñadas. El siguiente trabajo de investigación define un modelado de la infraestructura de red de datos del Instituto Superior Tecnológico Sucre basándose primordialmente en las mejores prácticas disponibles en las normas aplicables. El Instituto Superior Tecnológico Sucre es una institución pública de educación superior, con una media de 2600 estudiantes por periodo académico para el año 2021, una plantilla de 130 docentes, cuenta con 10 de carreras todas ellas con mallas curriculares actualizadas donde se proporcionan a su comunidad estudiantil un apropiado ambiente de aprendizaje además de herramientas idóneas para su acertada inserción en el ámbito laboral. xiv Se propone un análisis y diseño con las mejores prácticas, para determinar las exigencias del usuario e identificar los recursos de tecnología, se establece la capacidad del diseño a implementar, se definen las directivas requeridas en el diseño considerando factores con mayor impacto de la tecnología orientados a los objetivos del instituto y la planificación para crecimiento continuo. Se elabora la metodología para la administración de la infraestructura, establecer la participación de la red, además de sugerencia para el manejo y control de incidentes. Se aplicará la normativa que comparta con otros estándares la base del modelo de mejora continua, que propone que toda gestión debe iniciar con una planeación la cual debe servir para ejecutar las actividades diarias de una organización. Las actividades deben ser medibles y controlables con el propósito de obtener la información necesaria que permita mejorarlas y volver a hacer una planeación que tenga en cuenta el real funcionamiento de la empresa (Quintero & Hernando, 2017). La implementación de buenas prácticas para el manejo de infraestructura añade un plus en la detección de requerimientos, análisis de componentes de una red e implementación de soluciones.
Automatización del despliegue de aplicaciones WEB JAVA EE EN SERVIDORES LINUX DE X64, basado en la NORMA ISO/IEC 27001:2018, utilizando contenedores de software
(2023-10) Moya Chiluiza, Fernando Alexander; Ibarra Torres, Oscar Fernando
El objetivo principal es optimizar el uso de recursos informáticos en un entorno de pruebas para aplicaciones Java EE, usando contenedores de software y aplicando controles de seguridad de la información, basados en la norma ISO/IEC 27001:2018, y la metodología Magerit versión 3.0 con la finalidad de mejorar la gestión de la seguridad de la información y la administración de los activos de información mediante la identificación, clasificación, valoración de amenazas, vulnerabilidades, riesgos por degradación y probabilidad de ocurrencia para asegurar la confidencialidad, integridad, disponibilidad con el propósito de aplicar diferentes tipos de controles a futuro para garantizar que los riesgos dentro de la organización sean mínimos aplicando diferentes tipos de controles en cada uno de los procesos. Para la fundamentación teórica se utilizó bases de datos indexadas, artículos científicos, libros y tesis que se alinean con el área de investigación, el enfoque aplicado fue cuantitativo y cualitativo a nivel explicativo, donde se utilizó diferentes xii tipos de instrumentos como la entrevista, encuesta a los directivos de la organización y al personal del área de TI. Este documento se encuentra estructurado por seis capítulos, en los cuales se describen los diferentes temas tratados para el desarrollo del trabajo de investigación, además de los anexos que contienen una guía para la implementación, matrices las cuales se obtuvieron previo a un análisis en base a la información obtenida y encuestas que permitieron conocer de primera mano la situación actual de la organización y cuál fue el grado de satisfacción de la solución planteada. El proyecto es viable debido a que se cuenta con el apoyo de los directivos y técnicos de la organización en donde la propuesta planteada puede ser aplicada en otras organizaciones y/o empresas consultoras en el área de desarrollo e infraestructura.
Calidad de datos en la especificación de requerimientos de software
(2023) Yacelga Andrade, Nelly Del Pilar; Cuji Chacha, Blanca Rocío
La Ingeniería de Software en ciertas ocasiones presenta problemas para alcanzar niveles óptimos de calidad en diferentes aspectos del desarrollo del software. En la actualidad, la calidad de datos (DQ) y el desarrollo de software para un Sistema de Información (SI) son dos temas cruciales que deben complementarse desde las fases tempranas del desarrollo, aplicando los principios de la calidad de datos para garantizar un software de calidad. El objetivo del estudio fue diseñar una guía técnica para obtener la especificación de requerimientos de calidad de datos, que se incorpore a la Especificación de Requerimientos de Software (ERS) académico mediante modelos y estándares. La metodología utilizada, se centró en tres fases, la primera: se refiere a la Definición del Entorno que contempla la conceptualización del equipo de trabajo, la capacitación en DQ, y la identificación del SI a automatizar. La segunda: corresponde al Desarrollo de la ERS, la identificación de requerimientos y datos críticos y sus necesidades de DQ. La tercera: hace referencia a la Aplicación de DQ en la ERS. La guía fue aplicada en el proceso de Vinculación del Instituto Superior Tecnológico Sucre (ISUSUCRE) lo que permitió llegar a las siguientes conclusiones: la mayoría de los docentes reportó que el volumen de transacciones diarias es tan alta que la información que procesan manualmente, no siempre es oportuna ni exacta, y que el registro y control de la información es insuficiente; por otra parte, en elación a la metodología TDQM y la xiii norma ISO2512, estas se complementan adecuadamente a la hora de fijar políticas y dimensiones de calidad de datos; la guía técnica propuesta permite definir oportunamente los requisitos de DQ para sostener un nivel adecuado de información de calidad; el uso del estándar IEE830 para construir la ERS permitió obtener un documento ordenado y completo facilitando además la incorporación de los requisitos de DQ. Finalmente se recomienda aplicar la metodología TDQM como marco de trabajo y las dimensiones de calidad de la norma ISO2512.
Cyber-physical systems in education: a new approach to continuous improvement and agile learning
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información, 2022-10-20) Robayo Zurita, Fausto Fabricio; Román Cañizares, Milton Neptalí
Cyber-physical systems (CPS) are the complex evolution of classical software systems. These systems integrate the traditional physical layer together with the new aspects of CPS. Enabling a wide range of applications in various fields such as academic, governmental, industrial, etc., significantly extending the functionality and quality of services, where the technological-virtual fusion allows a better interaction between the user and the system, creating new realities in technological management. The combination of integrated components and cyberspace are relevant in its construction, allowing to extend the functionality and quality in many commercial and informative domains. Generating environments where the application of graphic methodologies such as Design Thinking, a learning methodology that immediately guarantees the development of competencies, together with Lean Startup, are focused on the client. In this context, a solution is proposed to improve the quality of education in the country, the application of CPS is an alternative to the current virtual classes, where the generation of systems allows an approach and communication between teachers, students and legal representatives, encouraging creativity through the implementation of virtual environments with key activities related to each subject of study, which awaken the interest of students. The main objective is to demonstrate the viability of SCP in an educational environment through the analysis of an immersive system focused on the continuous improvement of the user, in order to promote the use of mechanisms that allow collective participation between student and teacher, seeking to implement controlled hybrid systems that allow children in a context of economic scarcity to have access to quality education, allowing in turn the joint participation of students, teachers and tutors in charge through their mobile devices or computers, creating a participatory education.
Desarrollo de procesos de tecnologías de la información y buenas prácticas para la gestión académico-administrativa en el Instituto Superior Tecnológico Sucre de la Zonal 9 del Distrito Metropolitano de Quito
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información., 2022-10-20) Granda Arévalo, Christian Fernando; Gaibor Naranjo, Walter Fernando
At present, higher education institutions, specifically technological institutes, are strengthening their administrative and academic structures. Focused on the new academic demand based on university technologies. In this sense, the development of an IT governance manual in the Sucre Higher Institute is presented, to optimize the information technology processes. For this reason, the research focused on analyzing the processes of the information and communication technology area of the institution, designing management processes based on the COBIT 2019 methodology, and finally generating the proposal of a governance manual that allows the improvement of the processes against the hypothesis stated, the application of an IT governance based on the COBIT methodology and ISO 38500 generate the improvement in the academic administrative IT processes in the Sucre Institute. The methodology proposed in the research has a mixed approach, through the descriptive analysis based on the processes of the technology area, and the survey technique based on structured questions with the application of a Likert scale according to the qualification that COBIT gives to the process capability. For the confirmation of the hypothesis, the results developed under descriptive statistics allowed to obtain the situational analysis of 48.60% on delivery, service, and support management on the processes considered as critical supported under internal documentation and external quality indicator, being the most relevant aspects related to the operational management with 66.38% and incident management in the service of 61.66% which imply organized management. Subsequently, a proposal was generated for the implementation of an IT governance manual, focused on critical points DSS04, DSS03, and DSS06 using a workflow proposed by the COBIT methodology, as well as an implementation method.
Desarrollo de un sistema KPI Web, para evaluar el desempeño docente del Instituto Superior Tecnológico Pelileo
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información., 2022-10-20) Morales Tubón, Freddy Gustavo; Ortiz Garcés, Iván Patricio
The new software trends nowadays open a vertiginous world of possibilities shortening the gap in the development and implementation of technological applications in different fields, one of them is education where the management of technologies is oriented to the access of information in different fields as an extensive source of consultation, this has allowed organizations to make the decision to keep up with the rise of computer updates, this proposes the incursion in the automation of processes and the use of Internet networks to facilitate administrative and academic work at the institutional level. Nowadays there is a great demand to digitalize the information that is one of the most important assets in every organization; thus, every company or institution requires an immediate response and an organized control of the information. For this reason, it is proposed to develop a computer system to manage an adequate control over the teaching evaluation process of the Instituto Superior Tecnológico Pelileo, an initiative that arises in response to the need to involve ICT as a tool to make decisions through key performance indicators (KPI) in the teaching-learning processes guided by the teacher; this will allow the teaching staff to be in constant preparation and in search of better methodological strategies capable of generating a genuine use of each of the instances prone to the autonomous development of the student. In addition, the development of a system to evaluate the teaching performance will allow the management of processes and procedures in a systematized way according to the achievement indicators established for assertive decision making. Finally; the use of a methodology for software development will allow following a disciplined process in all its development phases, allowing to obtain a more predictable information system according to the institutional needs.
DETECCIÓN DE VULNERABILIDADES MEDIANTE PRUEBAS DE PENETRACIÓN A LA RED DE SERVIDORES Y SERVICIOS DEL INSTITUTO SUPERIOR TECNOLÓGICO SUCRE.
(Universidad Tecnica de Ambato,Magíster en Tecnologías de la Información, 2022-11-15) Cedeño Zambrano, María Elizabeth; Ibarra Torres, Oscar Fernando
Nowadays, computer security is a key point for all organizations, both public and private, regardless of their line of business. Thus, Sucre Higher Institute of Technology wants to provide its administrative, teaching and student staff with a quality and efficient technological infrastructure, but above all safe, so this research work seeks to develop an improvement plan to mitigate the vulnerabilities identified through the execution of penetration tests on the network of servers and services of the Institute. In order to develop the present work, the qualitative research methodology was used with an exploratory approach, using also a field research through interviews, observation, checklists and the execution of external black box penetration tests on the network of servers and services of Sucre Higher Institute of Technology. The penetration tests were carried out following a process of phases, such is the case, that in the first place a phase of recognition and collection of information was executed through the use of tools to analyze the domain, web page and IP addresses provided by the Institute, to subsequently perform an analysis phase to detect and obtain the vulnerabilities that affect these applications and services, which also allowed to know xvii the level of criticality of each vulnerability; with this data it was possible to execute the phase of exploitation of the critical vulnerabilities that affect these services. With the proper execution of the penetration tests it was possible to efficiently detect the vulnerabilities affecting the network of servers and services of Sucre Higher Institute of Technology, which also allowed the development of an improvement plan containing the recommendations of the actions that Sucre Higher Institute of Technology should implement to mitigate the vulnerabilities affecting its network and thus minimize the risks to which its infrastructure is exposed, thus guaranteeing compliance with the provisions of ISO 27001 in terms of ensuring the integrity, availability and confidentiality of the information at all times.
EVALUACIÓN DE RIESGOS INFORMÁTICOS Y DISEÑO DE UN PLAN DE CONTINGENCIA PARA EL ÁREA DE TECNOLOGÍA DE LA EMPRESA IMPORTADORA ALVARADO VÁSCONEZ CIA. LTDA., UBICADA EN LA CIUDAD DE AMBATO.
(Universidad Tecnica de Ambato, Magíster en Tecnologías de la Información., 2022-11-22) Aranda Moposita, Juan Pablo; Gómez Alvarado, Héctor Fernando
Companies every day are growing their information and assets which have the need to safeguard the integrity of their information against potential risks, these risks if not detected and controlled in time can cause great damage and economic losses, to mitigate these risks it is necessary to have a methodology for analysis and risk management. For this reason we have seen the need to implement the methodology MAGERIT version 3.0, which helps us to effectively manage the risks to which our most critical assets are exposed to the technology area of the company Importadora Alvarado Vásconez Cía, based on the ISO 31000 standard, which will allow us to prevent and detect incidents that may occur, obtaining information about the vulnerabilities to which they are exposed, determine the impact that can generate and the threats if they materialize in the information systems, establishing processes to identify and reduce the risks that threaten the stability of the company, IT infrastructure and most importantly the information. After the risk analysis, a contingency plan will be developed based on ISO/IEC 27001:2013, which will consist of 4 stages, which will help us to ensure that the company's critical processes continue to function in the event of a failure in the technological systems and allow them to continue operating, even at the minimum level of their activities. The results obtained will help to identify the risk level of the company's most critical assets, the current security maturity level, as well as the threats or vulnerabilities to which they are exposed, their risk levels including the impact and probability of occurrence, and their respective contingency plan for the company's most critical processes.
GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN A TRAVÉS DE NORMAS INTERNACIONALES EN LA EMPRESA PÚBLICA MANCOMUNIDAD DE TRÁNSITO DE TUNGURAHUA
(2023-11) Aguirre Sánchez, Lenin Alexis; Jaramillo Alcázar, Ángel Gabriel
En la nueva era digital la seguridad de la información cumple un papel muy importante al proteger el activo más valioso para cualquier empresa, es decir, su información. Hoy en día la globalización ha facilitado a las empresas extender sus negocios y abrir nuevos mercados, pero al mismo tiempo han abierto las puertas para que la privacidad de la información y datos se vea vulnerada con la probabilidad de que caiga en manos equivocadas (Romero et al., 2018). También se tiene que resaltar que las amenazas programadas coexisten con otras amenazas latentes como fallas eléctricas o errores humanos e incluso desastres naturales, en consecuencia, la empresa pública Mancomunidad de Tránsito de Tungurahua necesita controlar y salvaguardar todos los datos de sus usuarios, asegurando que los mismos no se pierdan o salgan del sistema, debido a que son indispensables para la circulación del transporte terrestre y pueden ser objetivos de falsificaciones. La investigación busca construir un conjunto de medidas y procedimientos, tanto técnicos como humanos, los cuales permitirán diseñar un plan completo de gestión de riesgos para operar de manera adecuada la seguridad de la información de la empresa a través de normas internacionales. La metodología implementada en el presente estudio se adhiere a un enfoque cuantitativo y se basa en una investigación de naturaleza aplicada, de campo y explicativa. Al desarrollar la correcta identificación de riesgos y posteriormente su análisis, se logra reconocer, monitorizar y planificar el riesgo dentro de la Empresa Pública Mancomunidad de Tránsito de Tungurahua. Así pues, se diseña una estrategia donde se define cómo prevenir, controlar, mitigar y superar los riesgos, respaldando los conceptos generales especificados en normas internacionales y ofreciendo directrices para la gestión de los riesgos para la seguridad de la información.
Implementación de una aplicación web para el fortalecimiento del proceso enseñanza – aprendizaje de los estudiantes de estadística de la Carrera de Turismo de la Universidad Técnica de Ambato
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información, 2022-10-20) Almeida Domínguez, Jorge Armando; Guaña Moya, Edison Javier
This degree work is about the implementation of a web application to strengthen the teaching-learning process of statistics students of the tourism career of the Technical University of Ambato, for the development of the same must be given compliance with the following objectives, first theoretically substantiate the languages and programming models, then design the web application with JavaScript programming language based on XP methodology, once designed the application, it is proceeded with its implementation and finally it is evaluated through two groups, a control group composed of statistics students of the academic period October 2021 - February 2022 and an experimental group composed of statistics students of the academic period April - September 2022, the research has a quantitative approach of cross-sectional correlational scope with which the evaluation results are obtained to verify whether or not the stated hypothesis of research that mentions the development of a specific web application influences the strengthening of the teaching-learning process in statistics students, and obtains the impact of the project through the satisfaction of each of the students of the experimental group, for this purpose, the development of the web application was presented and, through an induction, the present components and their operation were socialized so that the students could make use of the application and thus obtain data with which we can conclude that the project application has a good acceptance and through the comparison of the academic performance of the two groups it is determined that the web application has a good acceptance and contributes to the strengthening of the teaching-learning process of students because it serves as a significant support for the development of the contents of the subject.
Integración de un correlacionador de eventos de seguridad de la red institucional
(2023) Peralvo Mejía, Henry Rodrigo; Román Cañizares, Milton Neptalí
El presente trabajo de investigación tiene por objeto la implementación de un correlacionador de eventos de seguridad en la red DMZ de la Universidad Técnica de Ambato a través de la herramienta SIEM open source AlienVault OSSIM, la misma que posee características además de la correlación de eventos, la evaluación de vulnerabilidades, detección de intrusiones, monitoreo de comportamiento. La aplicación de este sistema de seguridad permitirá un mejor control ante las diferentes amenazas a las que están expuestos los activos de la red y ofrecerá al administrador de seguridad filtrar eventos específicos para realizar diversas tareas de monitoreo, vigilancia, diagnóstico y toma de decisiones en una sola interfaz de trabajo. Para llevar a cabo la implementación, en primer lugar, se realiza un análisis de la situación actual en base al levantamiento de información del entorno de trabajo, es decir, los equipos que conforman este segmento de red, su distribución y diseño. Posteriormente, en base a las necesidades de los administradores de red y seguridad, y necesidades institucionales, se analiza y selecciona la herramienta que más se adapta para el proceso. Finalmente, se procede a la instalación y configuración de la herramienta. Se integra los activos seleccionados y se logra la configuración necesaria. A través de políticas y acciones creadas se procede a su comprobación mediante filtros y ataques (Fuerza bruta, Inyección SQL, XSS) que evidencien el xv funcionamiento y la obtención de resultados deseados. Entre los activos de los cuales se recepta los eventos en tiempo real existen varios equipos críticos que generan un alto flujo de datos, lo cual pone a prueba la capacidad de la herramienta de trabajar con grandes cantidades de información. La implementación de sistemas y procesos que ayuden a la mitigación de ataques y vulnerabilidades permite además cumplir con normas y estándares de seguridad en las instituciones.
Modelo de gestión de incidentes de seguridad de la información en la red informática, basado en la ISO/IEC 27002.
(2023-12) Saltos Ponce, Cristian Javier; Guevara Aulestia, David Omar
Actualmente las instituciones de educación superior han potenciado sus estructuras académicas y administrativas dando cabida a la demanda por parte de la comunidad universitaria que se va sumando a la educación superior. En este sentido el presente proyecto de titulación expone el desarrollo de un modelo de gestión de incidentes de seguridad de la información en la red informática, basado en la ISO/IEC 27002, con la finalidad de asegurar la seguridad su información, dentro de la Facultad de Ingeniería en Sistemas Electrónica e Industrial (FISEI) de la UTA. La importancia de esta investigación es dar cumplimiento a los siguientes objetivos, primero analizar los riesgos de vulnerabilidad de la información del departamento de administración de redes, luego identificar los aspectos a tener en cuenta en la definición de un modelo de gestión de incidentes de seguridad de la información, una vez identificado los posibles riesgos se procede a diseñar el modelo del sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27002. Para desarrollar el presente trabajo de investigación se utilizó la metodología de investigación cualitativa con un enfoque exploratorio, empleando además una investigación de campo mediante la realización de entrevistas, la observación, y la xv ejecución de pruebas de penetración externas sobre la red y servicios de la FISEI de la UTA. Con la ejecución adecuada de las pruebas de escaneo de puertos se logró detectar de forma eficiente las vulnerabilidades que afectan a la red y servicios de la FISEI de la UTA, lo cual permitió desarrollar un modelo de gestión de incidentes de seguridad de la información en la red informática. Para mitigar las vulnerabilidades que afectan a la red de la FISEI así como minimizar los riesgos a los que su infraestructura se encuentra expuesta, es importante que la institución se acoja a lo dispuesto en la Norma ISO/IEC 27002 con el objetivo de asegurar en todo momento la integridad, disponibilidad y confidencialidad de la información
Plan de continuidad del negocio (BCP) aplicado al departamento de TI de la empresa de soluciones tecnológicas TELECOMSEC
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información, 2022-10-20) Díaz Parco, Paola Alexandra; Jaramillo Alcázar, Ángel Gabriel
The Business Continuity Plan (BCP) proposed for the Information Technology (IT) department of the TELECOMSEC company is focused on describing the way in which said company remains operational during the unplanned interruption of one or more of the its services. This BCP constitutes a reference guide with planned and organized strategies that allow dealing with a materialized incident in the shortest possible time. It is important to know the current situation of the company with respect to technological infrastructure, roles of technical personnel and the services it offers, for which relevant information was collected for the development of this project. The support of managers and operational staff is essential when applying the different instruments for collecting information. The business impact analysis (BIA) was carried out to determine the critical processes and services that must be recovered as a priority within the established maximum tolerable time. Subsequently, the risk analysis of the critical assets of the IT department of the TELECOMSEC Company was carried out, applying the MAGERIT methodology. Based on the results obtained in the previous risk assessment phase, the operational strategies were established and the Business Continuity Plan was designed considering different scenarios, taking as references the guidelines established in the international standard ISO 22301:2019. The testing, maintenance and review plan for the BCP components was also defined. Finally, in the training and awareness phase, a syllabus was proposed with several alternatives to be taught to the technical staff. The topics are selected by the person in charge of the IT department according to the need of the company. Similarly, various ways in which the BCP can be socialized were suggested.
Políticas de seguridad informáticas para analizar vulnerabilidades y resguardar la información de las Unidades Administrativas de la Dirección Distrital 18D06 – Educación
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información., 2022-10-20) Torres Carrasco, Cecilia Elizabeth; Ortiz Garcés, Iván Patricio
In recent years, computer security has made great progress in such a way that, from spending, it has come to be seen as an investment, by the leaders of institutions worldwide. That is why the purpose of the research is to carry out Computer Security Policies to analyze vulnerabilities and protect the information of the Administrative Units of the District Directorate 18D06 - Education, this will provide confidentiality, integrity and availability of information, through the use of mechanisms, to guarantee that only those authorized persons access the information resources whenever required, maintaining the accuracy and completeness of the information, for which applied research was used, so that this type research helped in the study, because computer security policies were implemented, that is, in this case the policies were established according to the problems identified and cannot be applied to another institution. Thus, due field research was also used, which during the study assisted the District to collect information through interviews, questionnaires, surveys and observations that allow analyzing the risk factors of computer security. On the other hand, the quantitative approach was also used, because in the study a checklist was used, which was evaluated by the specialists of the university, as well as the qualitative approach, which allowed asking questions and hypotheses before, during or after data collection and analysis. That is why the study worked with a sample made up of 10 Administrative Departments from District 18D06 Cevallos to Tisaleo. After carrying out the study, it was concluded that the establishment of policies helped to manage all the information in an integral, reliable and legal way, and also protect them from the risks that may arise and having security policies that will allow to have a trusted institution.
Procedimiento de gestión de riesgos del área informática de la EPM-GIDSA mediante la aplicación de normas internacionales
(Universidad Técnica de Ambato. Dirección de Posgrado. Maestría en Tecnologías de la Información., 2022-10-20) Guevara Toalombo, Jessica Maricela; Gómez Alvarado, Héctor Fernando
The technological era has allowed companies to automate repetitive processes and streamline the services provided to its users, at the same time the Information and Communication Technologies are becoming easy targets against multiple threats, allowing the materialization of risks and/or partial or total loss of very important assets for any company (Castro-Maldonado & Villar-Vega, 2021). Therefore, the purpose of this work is to develop a risk management procedure for the IT area of the Municipal Public Company for the Integral Management of Solid Waste of the Ambato canton, applying international standards, for which the current theoretical basis of risk management of the IT area of the Municipal Public Company for the Integral Management of Solid Waste of the Ambato canton will be reviewed, the adequate risk management methodology will be identified, once the good practices of international standards have been analyzed, and finally the procedure for risk management of the IT area of the Municipal Public Company for the Integral Management of Solid Waste of the Ambato canton will be elaborated. Through the field observation of the risk management of the IT area of the Municipal Public Company for the Integral Management of Solid Waste of the Ambato canton and after the application of the international standard ISO 31000 and MAGERIT methodology, a decrease in the value of the risk of Intentional Attacks from 285 to 255, the Failures and unintentional errors from 452.70 to 351.30 and the risks of Industrial Origin from 203.55 to 146.55 was evidenced. Thus confirming the research hypothesis that the application of the international standard ISO 31000 and the MAGERIT V3 methodology reduced the total risk values from 960.75 to 772.35; also considering that the main asset in any company is the Human due to the direct activity with the information, this research emphasized the application of controls towards the risks of type Failures and unintentional errors resulting from the direct actions towards the company's information.
Procedimiento para la gestión de la seguridad informática perimetral en la infraestructura de una organización.
(2023-12) Peña Rosillo, Hugo David; Manzano Villafuerte, Víctor Santiago
En la actualidad, uno de los principales problemas a nivel mundial es la seguridad informática a la que están expuestos los sistemas TI, debido ataques informáticos que pueden causar daños a su infraestructura, comprometiendo la integridad y confidencialidad de su información. El trabajo de investigación titulado “Procedimiento para la gestión de la seguridad informática perimetral en la infraestructura de una organización” es un estudio que se basa en mejorar y mantener actualizado los procesos de seguridad perimetral en el “Hospital General Alfredo Noboa Montenegro” partiendo de un modelo de gestión de seguridad en base a Normas Internacionales que permitan el control y manejo de datos con total integridad. El estudio se desarrolló en base a un enfoque cuantitativo y cualitativo, donde se utilizó instrumentos como la entrevista, dirigidos a los involucrados del área de TI con el objetivo de conocer la situación actual de la institución en el campo de seguridad, que amenazas y vulnerabilidades ha presentado su sistema y cuál ha sido su reacción de respuesta antes estos eventos e incidentes. Para la recolección de datos se aplicó el método interpretativo basándose en un análisis de semejanzas de conceptos de los datos obtenidos. xix El objetivo final del proyecto, se consideró un análisis de la familia de la Norma ISO/IEC 27001, en los que se refiere a políticas de seguridad informática, políticas de protección de datos, realizar un análisis de activos y tratamiento de riesgos utilizando la metodología de MAGERIT, mediante criterios de valoración para el cálculo de la probabilidad de ocurrencia, evaluación de impacto y riesgos, con la finalidad de establecer mecanismos de control para mitigar los riesgos de amenazas y vulnerabilidades que pongan en peligro la seguridad informática de la institución, el procedimiento de gestión de seguridad informática perimetral busca crear una cultura de seguridad en la institución.
Sistema de gestión de seguridad de la información en la Universidad Estatal Amazónica
(2023-02) Villarreal Morales, Verónica De las Mercedes; Ibarra Torres, Oscar Fernando
La Universidad Estatal Amazónica, maneja información académica, de gestión financiera, proyectos de investigación y vinculación, que se generan en el transcurso de cada semestre académico, almacenados en bases de datos y gestionados a través de plataformas informáticas. El no aplicar metodologías de seguridad de la información podría ocasionar pérdida de confianza en los datos, incurriendo en delitos como fraude académico, estados financieros erróneos o manipulados, y/o proyectos vulnerados, esto puede evidenciar la fragilidad de la información institucional. El mantener niveles aceptables de riesgo en el área de Tecnologías es responsabilidad del Director de Gestión de Tecnologías de la Información y Comunicación, por tal motivo, actualmente la seguridad de la información se la realiza de manera empírica, sin procedimientos, documentación y/o guía en estándares que garanticen la aplicabilidad de xii una metodología estructurada de mejora continua para la gestión de la seguridad de la información en la UEA. Según información recopilada en el trabajo de investigación, para la implementación de un Modelo de Gestión y Gobierno de Tecnologías de la Información en la Universidad Estatal Amazónica, Villarreal (2018), menciona el estado de la seguridad de la información con un nivel de capacidad de 1 sobre 5, lo que evidencia que el área de TI de la UEA no realiza sus procesos cumpliendo con parámetros estandarizados. Por tal motivo el trabajo de investigación tiene como objetivo la implementación del Sistema de Gestión de la Información, permita garantizar la confidencialidad, integridad y disponibilidad de la información institucional, a través de la aplicación de Estándar ISO 27001 y la metodología Magerit para el análisis de riesgos. Adicional se busca evaluar el impacto que el Sistema de Seguridad de la Información tendrá para mejorar los niveles de capacidad del Gobierno y Gestión de las Tecnologías de la Información implementado en la Universidad Estatal Amazónica. El trabajo de investigación tiene un enfoque cuali cuantitativo, es cuantitativa porque se utiliza parámetros de medición en la variable independiente; también es cualitativa porque se emite juicios de valor respecto al riesgo y seguridad de la información en miras de mejorar el Gobierno y Gestión de Tecnologías de la Información.