Por favor, use este identificador para citar o enlazar este ítem:
https://hdl.handle.net/20.500.12104/110449Registro completo de metadatos
| Campo DC | Valor | Lengua/Idioma |
|---|---|---|
| dc.contributor.advisor | López Rodríguez, Alejandro | |
| dc.contributor.advisor | Flores Lira, Anastacio Favián | |
| dc.contributor.author | Maldonado Aldemar, Silva | |
| dc.date.accessioned | 2025-12-04T21:45:14Z | - |
| dc.date.available | 2025-12-04T21:45:14Z | - |
| dc.date.issued | 2025-08-15 | |
| dc.identifier.uri | https://wdg.biblio.udg.mx | |
| dc.identifier.uri | https://hdl.handle.net/20.500.12104/110449 | - |
| dc.description.abstract | El objetivo de este proyecto es proponer un plan para la implementación del Sistema de Gestión de la Seguridad de la Información (SGSI), en la Coordinación de Tecnologías para el Aprendizaje (CTA) del Centro Universitario de Ciencias Económico Administrativas (CUCEA), donde el principal producto será un marco de referencia de seguridad para la operación y administración de los servicios informáticos del CTA en el área de servidores, según los estándares de requerimientos de la información (Confidencialidad, Integridad y Disponibilidad) de la Norma ISO/27001, que aporta la metodología para la Identificación y Evaluación de Riesgos. | |
| dc.description.tableofcontents | Introducción 11 1. Contexto de la investigación 12 1.1 Descripción del Problema 12 1.21 Antecedentes del problema 14 1.3 Planteamiento del problema 15 1.4 Objetivos 16 1.4.1 Objetivo general 16 1.4.2 Objetivos específicos 16 1.5 Preguntas de investigación 17 1.6 Justificación 17 1.7 Limitaciones 19 2. Marco teórico conceptual 20 2.1 Auditoria Informática 20 2.2 Campo de la Auditoria Informática 21 2.2.1 Evaluación administrativa del área de informática 21 2.2.2 La evaluación de los sistemas y procedimientos. 22 2.2.3 La evaluación del procesamiento de datos, de los sistemas y de los equipos de cómputo. 23 2.3 Principales objetivos de la auditoria informática (Derrien, 1989) 24 2.4 El Marco COBIT: Misión y Conceptos 25 2.4.1 La Misión de COBIT 25 2.4.2 Principios de COBIT (ISACA framework, 2012) 26 2.5 ISO/IEC 27001:2013 30 2.6 Aspectos Básicos de Seguridad: Prevención (Refuerzo de Sistemas). 31 2.6.1 Tipos de Sistemas que se pueden reforzar 31 2.6.2 Métodos Conocidos para Reforzar los Sistemas 32 2.6.3 Refuerzo de Sistemas por Rol 32 2.6.4 Herramientas de Análisis para el Refuerzo de los Sistemas 33 2.6.5 Facetas de Seguridad 33 2.6.6 Seguridad Física 34 2.7 Buenas Prácticas y Margo Legal 34 2.7.2 Marco Legal de la Auditoria Informática 35 2.7.3 Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) 35 2.7.4 Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares 36 2.7.5 Guía para cumplir con los principios y deberes de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares 36 2.7.6 Protección de Datos de Carácter personal como derecho fundamental Constitución política de los Estados Unidos de México 37 2.7.7 Delitos Informáticos 37 2.7.8 Delitos informáticos previstos en la Legislación Penal Mexicana 38 2.8 Marco Institucional 38 2.8.1 Catalogo de Servicios 39 3. Contexto metodológico 42 3.1 Planificar: Establecer el SGSI 42 3.1.1 Contexto de la Organización (Cláusula 4.1) 42 3.1.2 Partes interesadas y sus Requerimientos (Cláusula 4.2) 43 3.1.3 Determinar el Alcance del SGSI (Cláusula 4.3) 44 3.1.4 Liderazgo y compromiso de la Alta Dirección (Cláusula 5.1) 45 3.1.5 Política de Seguridad de la Información (Cláusula 5.2) 47 3.1.6 Comunicación de la política 48 3.1.7 Objetivos de la Seguridad de la Información (Cláusulas 5.2 b, 6.2) 49 3.1.8 Roles de la organización, responsabilidades y autoridad (Clausula 5.3) 50 3.1.9 Recursos del SGSI (Cláusula 7.1). 51 3.1.10 Formación y Concienciación (Cláusulas 7.2, 7.3) 52 3.1.11 Comunicación (Cláusula 7.4) 53 3.1.12 Documentos y registros (Cláusula 7.5) 53 3.1.13 Resumen fase planificación: Factores para alcanzar el éxito 54 3.2 Hacer (DO): Implementar el plan de gestión del riesgo (Cláusula 6.1) 55 3.2.1 Definir la Metodología de análisis de riesgos (Cláusula 6.1). 56 3.2.2 Análisis de riesgos, identificar los riesgos (Cláusula 6.1 y 8.2) 56 3.2.3 Tratamiento de los riesgos (Cláusulas 6.1.3, 8.3) 58 3.2.4 Declaración de aplicabilidad (Cláusulas 6.1.3, 6.2 y 8.2) 59 3.2.5 Plan de Tratamiento de riesgos (Cláusulas 6.1.3, 6.2 y 8.3) 60 3.2.6 Resumen fase Hacer (DO): Factores para alcanzar el éxito. 61 3.3 Verificar (Check): Monitorear, medir, y evaluar el SGSI (Cláusula 9.1) 61 3.3.1 Auditorías internas (Cláusula 9.2) 62 3.3.2 Revisión del SGSI por parte de alta dirección (Cláusula 9.3) 62 3.4 Actuar (Act) 63 3.4.1 No conformidades y acciones correctivas (Cláusula 10.1) 63 3.4.2 Mejora del SGSI (Cláusula 10.2) 64 4. Marco de Trabajo 65 4.1 Análisis GAP basado en el anexo A de la NTC 27001:2013 65 4.1.1 Objetivo 65 4.1.2 Alcance 66 4.1.3 Metodología 66 4.1.4 Resultados del análisis GAP por dominio de control 80 4.1.5 Resultados del análisis de brechas (GAP) por nivel de madurez 83 4.1.5.1 Conclusiones Preliminares. 87 4.2 Resultados análisis de riesgos en materia de seguridad: Unidad de Servidores Coordinación de Tecnologías para el Aprendizaje (CTA) en la Universidad de Guadalajara 88 4.2.1 Contexto de la Organización 89 4.2.2 Misión de la empresa 90 4.2.3 Visión de la empresa 90 4.2.4 Planteamiento del problema 90 4.2.5 Objetivo general 91 4.2.6 Objetivos específicos 91 4.2.7 Alcance 91 4.2.8 Metodología: norma ISO/IEC 27001 92 4.2.9 Cláusulas de criterios para formulación de riesgos y sobre la gestión de activos 93 4.2.10 Evaluación del nivel de riesgo: probabilidad e impacto 97 4.2.11 Desarrollo: Análisis de riesgos, detección de amenazas y vulnerabilidades 99 4.2.12 Identificación y Análisis de riesgos 102 4.2.13 Tratamiento del riesgo 106 4.2.14 Declaración de aplicabilidad 108 4.2.15 Análisis de Resultados: Detección de Amenazas y Vulnerabilidades 111 5. Conclusiones 114 6. Recomendaciones 116 Referencias Bibliográficas 118 Anexos 120 Lista de Tablas Pág. Tabla 1. Requerimientos de la Información definidos en el modelo COBIT 28 Tabla 2. Recursos de TI identificados en el modelo COBIT 28 Tabla 3. Definición de los Dominios según el modelo COBIT 29 Tabla 4. Controles para implementar 60 Tabla 5. Criterios para definir el Grado de Cumplimiento 66 Tabla 6. Criterios para definir el Nivel de Madurez 67 Tabla 7. Análisis GAP Unidad Servidores del CTA 68 Tabla 8. Resultados del análisis GAP por nivel de cumplimiento de cada dominio 80 Tabla 9. Resultados del análisis GAP por nivel de madurez. 84 Tabla 10. Activos 96 Tabla 11. Matriz de evaluación de riesgo según la probabilidad y el impacto de cada riesgo 98 Tabla 12. Análisis de riesgos 103 Tabla 13. Tratamiento del riesgo 106 Tabla 14. Declaración de aplicabilidad 109 Lista de Figuras Pág. Figura 1. Modelo de evaluación y tratamiento del riesgo 14 Figura 2. Principios de COBIT 26 Figura 3. Cubo COBIT 27 Figura 4. Proceso gestión de riesgos 55 Figura 5. Resultado del análisis GAP por nivel de cumplimiento de cada dominio 82 Figura 6. Resultado análisis GAP por nivel de madurez 86 Figura 7. Panorámica de las instalaciones del CTA de CUCEA 89 Figura 8. Modelo de evaluación y tratamiento del riesgo 94 Lista de Apéndices Pág. Anexo A. Política de seguridad de la información y objetivos 120 Anexo B. Cronograma de actividades 125 | |
| dc.format | application/PDF | |
| dc.language.iso | spa | |
| dc.publisher | Biblioteca Digital wdg.biblio | |
| dc.publisher | Universidad de Guadalajara | |
| dc.rights.uri | https://www.riudg.udg.mx/info/politicas.jsp | |
| dc.subject | Propuesta | |
| dc.subject | Sgsi | |
| dc.subject | Us | |
| dc.subject | Cta | |
| dc.title | Propuesta de implementación del Sistema de Gestión de Seguridad de la Información (SGSI) para la Unidad de Servidores (US) de la Coordinacion de Tecnologías para el Aprendizaje (CTA) de CUCEA | |
| dc.type | Tesis de Maestría | |
| dc.rights.holder | Universidad de Guadalajara | |
| dc.rights.holder | Maldonado Aldemar, Silva | |
| dc.coverage | GUADALAJARA, JALISCO | |
| dc.type.conacyt | masterThesis | |
| dc.degree.name | MAESTRIA EN TECNOLOGIAS DE INFORMACION | |
| dc.degree.department | CUCEA | |
| dc.degree.grantor | Universidad de Guadalajara | |
| dc.rights.access | openAccess | |
| dc.degree.creator | MAESTRO EN TECNOLOGIAS DE INFORMACION | |
| dc.contributor.director | Dávalos García, Sergio Roberto | |
| dc.contributor.codirector | Morales Montelongo, José Guadalupe | |
| Aparece en las colecciones: | CUCEA | |
Ficheros en este ítem:
| Fichero | Tamaño | Formato | |
|---|---|---|---|
| MCUCEA11413FT.pdf | 1.69 MB | Adobe PDF | Visualizar/Abrir |
Los ítems de RIUdeG están protegidos por copyright, con todos los derechos reservados, a menos que se indique lo contrario.