Auditoría de seguridad informática dirigida al gobierno autónomo descentralizado del cantón Mira basado en el estándar cobitv5, siguiendo la metodología osstmmv3

Abstract

El presente proyecto consiste en la ejecución de una auditoría de seguridad informática dirigida al Gobierno Autónomo Descentralizado del Cantón Mira, basado en el estándar COBIT versión 5 y siguiendo la metodología OSSTMM versión 3, con la finalidad de evaluar el estado de las medidas de seguridad que posee la red, y de esta manera encontrar los puntos más vulnerables y poder recomendar las medidas correctivas necesarias que permitan mejorar la eficiencia de la red. Para iniciar, se hace una breve descripción de la fundamentación teórica, para ello se hiso referencia de varios autores para describir aspectos fundamentales sobre la seguridad de la información; además se define la terminología del manual que se utilizará durante todo el proceso, tales como: RAV, seguridad operacional, canales, objetivos, vectores, controles, limitaciones, entre otros; sobre el estándar COBIT no se puede presentar mucha información, debido a que es licenciado y se necesita permisos corporativos de autor. Además se hace referencia de la legislación ecuatoriana en la que se regirá el proceso de la auditoría, esto con el fin de no tener problemas legales con la Institución. Posteriormente se hace una descripción de la situación actual de la infraestructura de la red de comunicaciones del GADM del Cantón Mira, en donde se describe varios aspectos de la entidad, tales como: la topología de red en la que se basa y los equipos con los que cuenta tanto para comunicaciones como para operaciones de cómputo. A continuación, se realizó el proceso de la auditoría, en el que se aplicó varias técnicas de ingeniería social para probar el canal humano y físico; para el canal de comunicaciones inalámbricas fue necesario aplicar una entrevista y el software detector de redes inalámbricas Vistumbler; el canal de telecomunicaciones fue definido como un objetivo no probado; y para el canal de redes de datos se aplicó una entrevista y el software de auditoría Kali-Linux. Para concluir se presenta la elaboración de la primera versión del Manual de Políticas de Seguridad de la Información para el GADM, el cual se desarrolla en trece temas diferentes, mismos que se encuentran referenciados al estándar COBIT para la Seguridad de la Información en su versión 5, con esto se trata de tener una base de regulación normativa para el GADM, ya que actualmente no posee una y esta debería considerarse como la base para regular todas las actividades que implican el manejo del recurso informático de cualquier entidad.