Calidad de la gestión en la seguridad de la información basada en la norma ISO/IEC 27001, en instituciones públicas, en la ciudad de Quito D.M.
El objetivo de la presente investigación es medir la calidad de gestión de la seguridad de la información, para ello se desarrolló una metodología que permita establecer y ubicar a las instituciones en un rango de madurez. Esta metodología se la aplicó en tres instituciones del sector público y se p...
| Autor Principal: | Pazmiño Vallejo, Luis Miguel |
|---|---|
| Formato: | masterThesis |
| Idioma: | spa |
| Publicado: |
PUCE
2016
|
| Materias: | |
| Acceso en línea: |
http://repositorio.puce.edu.ec/handle/22000/10177 |
| Etiquetas: |
Agregar Etiqueta
Sin Etiquetas, Sea el primero en etiquetar este registro!
|
| Sumario: |
El objetivo de la presente investigación es medir la calidad de gestión de la seguridad de la información, para ello se desarrolló una metodología que permita establecer y ubicar a las instituciones en un rango de madurez. Esta metodología se la aplicó en tres instituciones del sector público y se pudo determinar que es factible medir la calidad de la gestión en la seguridad de la información y a través de los resultados de la aplicación de dicha metodología se pudieron determinar las fortalezas y oportunidades de mejora en las once áreas críticas analizadas en las instituciones públicas.
El Gobierno ecuatoriano implementó como eje principal para la administración pública el Plan Nacional para el Buen Vivir, el mismo que tiene por objetivo articular la política mediante la gestión e inversión pública; para ello en el sector público se puso en marcha el Plan Nacional de Gobierno Electrónico, con el objetivo de mejorar cualitativamente los servicios de información mediante el uso de las Tecnologías de la Información y Comunicaciones (TIC).
Para controlar la creciente implementación de las TIC en las instituciones públicas y su penetración, la Secretaria Nacional de Administración Pública solicitó la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) como parte del Programa Nacional de Gobierno por Resultados(GPR), basada en la norma NTE INEN ISO/IEC 27001:2011, publicada por el Instituto Ecuatoriano de Normalización. Este esquema lo están aplicando en las instituciones públicas dependientes de la administración central de forma obligatoria, con la finalidad de asegurar la integridad, confidencialidad y disponibilidad de la información administrada y procesada por el sector público.
Una vez descrita la situación actual del Gobierno Ecuatoriano y su posición respecto a la gestión de la seguridad de la información en las instituciones públicas, se realiza un análisis de la Norma NTE INEN –ISO/IEC 27001:2011 – Sistema de Gestión de la Seguridad de la Información, a partir de la cual se desarrolla la metodología de evaluación.
Para ello se desarrolla una metodología de evaluación, basada en la norma NTE INEN –ISO/IEC 27001:2011, con el objetivo de medir la calidad de la gestión en la seguridad de la información, proponiendo un modelo que incluye once variables y 81 indicadores que responden a un conjunto de interrogantes. En la presente metodología se establece una escala de madurez con el cual se medirá el estado situacional real de la institución con respecto a los controles propuestos por la norma NTE INEN-ISO/IEC 27001.
Por último se realiza una investigación de campo en donde se ejecuta la metodología planteada, mediante herramientas basadas en técnicas de entrevista y observación en tres instituciones del sector público, el objetivo es validar la metodología planteada y conocer el nivel de calidad de gestión de la seguridad de la información, de acuerdo a las once variables propuestas por la metodología, con el fin de conocer las fortalezas y oportunidades de mejora de cada institución evaluada.
Finalmente, se concluye que la seguridad de la información en las tres instituciones objeto de la presente investigación, dispone de un nivel de madurez tres (Definido), lo que significa que los procesos que gestionan la seguridad de la información se encuentra caracterizados, comprendidos y se describen en estándares, procedimientos, herramientas y métodos de forma proactiva. Cabe recalcar que existen aspectos importantes por implementar y mejorar para llegar a un nivel óptimo de madurez. Los resultados obtenidos fueron entregados a los responsables de las instituciones evaluadas para su correspondiente análisis. |
|---|