Sistema de gestión de seguridad de la información basado en las Normas ISO/IEC 27001, en el Departamento de Tecnologías de la Información del Gobierno Autónomo Descentralizado de la Municipalidad de Ambato

Abstract

La gestión de la seguridad de la información es un factor crucial dentro de las instituciones, entidades, organizaciones. El Gobierno Autónomo Descentralizado de la Municipalidad de Ambato es una entidad pública en la que se ejecutan diversos procesos, el presente proyecto busca garantizar la seguridad de dichos procesos a través de un modelo estructurado (Sistema de Gestión de la Seguridad de la Información) establecido bajo la Norma ISO/IEC 27001, dicha norma está compuesta de varios dominios entre ellas políticas de seguridad, gestión de activos, control de acceso, recursos humanos, seguridad física cada una de ellas con controles definidos que serán analizados detalladamente. La fase de análisis y evaluación del estado de la seguridad se obtienen por medio de entrevistas, encuestas, análisis, y observación directa a través de visitas frecuentes a la institución. Una vez determinado el estado actual de la institución se procede a definir el alcance esperado para posteriormente realizar un análisis exhaustivo de los controles que serán aplicados por medio de una declaración de aplicabilidad basada en las necesidades institucionales, finalmente se definirán políticas de seguridad para la gestión adecuada de la seguridad de la información, dichas políticas se establecerán dentro de los límites de cumplimiento institucional. ABSTRACTThe management of information security is a crucial factor within institutions, entities, organizations. The Decentralized Autonomous Government of the Municipality of Ambato is a public entity in which various processes are executed, this project seeks toguarantee the security of said processes through a structured model (Information Security Management System) established under ISO / IEC 27001, this standard is composed of several domains including security policies, asset management, access control, human resources, physical security. Each of them with defined controls that will be analyzed in detail.The phase of analysis and evaluation of the state of security are obtained through interviews, surveys, analysis, and direct observation through frequent visits to the institution.Once the current state of the institution has been determined, the expected scope is defined in order to subsequently carry out an exhaustive analysis of the controls that will be applied through a declaration of applicability based on institutional needs. Finally, security policies for management will be defined. adequate information security, such policies will be established within the limits of institutional compliance.