Modelo de seguridad de gestión de la información basado en la norma ISO 27001, para el data-center de la facultad de Ingeniería en Ciencias Aplicadas, en la Universidad Técnica del Norte

Abstract

El presente proyecto describe el proceso de elaboración de un modelo de gestión de seguridad de la información basado en la norma ISO/IEC 27001 para el Data-Center de la facultad de ingeniería y ciencias aplicadas, de esta manera estructurar políticas y controles basados en los lineamientos y objetivos de control presentados y orientados a la parte lógica de la arquitectura de red. Se utilizo una caracterización de los equipos mediante la utilización de la metodología MAGERIT, la cual indica de forma cada fase de la recolección de información centrando su atención a la identificación de las características de los activos, la estructura organizacional, las amenazas y las salvaguardas que se encuentran implementadas en el centro de datos. Una vez realizado el proceso de caracterizar el escenario inicial se realiza un cálculo del riesgo potencial que indica si es necesario tomar acciones. En la parte de diseño se procede a seleccionar las políticas y objetivos de control previstos en la norma ISO/IEC 27001 que mejor se adapten a la infraestructura, para responder de manera específica a cada objetivo se elaboraron manuales, procesos y se seleccionó Endian Firewall como el software a implementar. Se puede constatar por medio de la aplicación de la metodología MAGERIT que los parámetros iniciales de riesgo para amenazas humanas accidentales y deliberadas se encontraban entre 8,6 y 9,3 respectivamente. Al implementar las políticas seleccionadas este riesgo se puede obtener que el riesgo disminuyera a rangos de 4,6 y 41 tanto en origen humano accidental y deliberado, lo que implica una mejora, pero no descarta que se elabore una planificación constante para mantener los niveles de riesgo bajos.