|
|
|
|
| LEADER |
09536nam a2200373 i 4500 |
| 003 |
PA-PaUTB |
| 005 |
20230615164036.0 |
| 007 |
ta |
| 008 |
230614s2017 pn a|||frmt|| 00| | spa d |
| 040 |
|
|
|a Sistema de Bibliotecas de la Universidad Tecnológica de Panamá
|
| 041 |
0 |
|
|a spa
|
| 082 |
0 |
4 |
|b P39
|q PA-PaUTB
|2 22
|
| 100 |
1 |
|
|a Paz P., Andrés A.,
|e Sustentante
|9 6515
|
| 245 |
1 |
0 |
|a Sistema de gestión de seguridad para la prevención del robo o fuga de información bajo normativa ISO/IEC 27001 y desarrollado siguiendo la guía de los fundamentos para la dirección de proyectos de los grupos de procesos de la gestión de riesgo /
|c Andrés Paz, Edilsa Fuentes, Yamilete Mirones ; asesor Iván Ho.
|
| 264 |
3 |
1 |
|a Panamá :
|b Universidad Tecnológica de Panamá,
|c 2017
|
| 300 |
|
|
|a xxi, 274 hojas :
|b ilustraciones ;
|c 28 cm
|
| 336 |
|
|
|2 rdacontent
|a texto
|b txt
|
| 337 |
|
|
|2 rdamedia
|a no mediado
|b n
|
| 338 |
|
|
|2 rdacarrier
|a volumen
|b nc
|
| 500 |
|
|
|a Incluye anexos, hojas 209-274.
|
| 502 |
|
|
|a Tesis (
|b Maestría). --
|c Universidad Tecnológica de Panamá. Facultad de Ingeniería de Sistemas Computacionales. Maestría en Seguridad Informática,
|d 2017.
|
| 504 |
|
|
|a Incluye bibliografía, hojas 205-207.
|
| 505 |
0 |
|
|a Introducción. -- Resumen descriptivo. -- Capítulo I. Estado del Arte. -- Capítulo II. Marco conceptual. -- Capítulo III. Gestión del proyecto basado en las guías de los fundamentos para la dirección de proyectos de los grupos de procesos de la gestión de riesgos. -- Capítulo IV. Implementación, prueba de concepto y resultado. -- Conclusión. -- Bibliografía.
|
| 506 |
0 |
|
|a No se presta a domicilio.
|
| 520 |
3 |
|
|a Las empresas modernas, gobiernos e individuos dependen cada vez más de la conectividad e intercambio de datos [1]. Esta conectividad es precisamente lo que las hace vulnerables y expuestas a sufrir robos o fugas de información, ya sea de forma accidental o malintencionada [2]. Para las empresas, una fuga o robo de información podría causar un impacto financiero, así como afectar la reputación e imagen de la misma, lo que hace evidente la preocupación por evitar una brecha de seguridad. Luego del caso Enroon [3] que obligó a la Comunidad Financiera a promover leyes de cumplimiento para la seguridad de la información y transparencia como la ley Sarbanes-Oxley Act Compliance — Transparency and Responsibility [4], la Legislación en Estados Unidos del 2016 sobre la obligación de darse una brecha de seguridad, 2016 Security Breach Legislation, aplicable a negocios, instituciones gubernamentales, instituciones educativas en donde se indica que es necesario que los consumidores o clientes sean notificados en caso de darse una brecha de seguridad. Para esta ley se requirió mejorar la definición de información personal. Lo positivo de esta Ley es que hasta ahora 48 estados de los Estados Unidos de Norteamérica la han acogido, lo negativo es que otros países incluyendo Panamá carecen de este tipo de legislación para sus empresas, por lo cual, no es obligación notificar de las brechas de seguridad a menos que sea una compañía que cotiza en la bolsa como COPA Airlines, BLADEX, y claro las transnacionales como DELL, HP, Johnson & Johnson que estén en Panamá o en cualquier otro país. Lo que sí es evidente es que se depende mucho del trabajo de investigación periodística para dar a conocer los detalles de una brecha de seguridad. Entre los casos que podemos citar y que fueron informados por las propias empresas están: - The Home Depot [5]: El mayor minorista en el mundo reportó en el 2014 una violación a sus sistemas de datos de pago. Se encontró que los atacantes utilizaron la cuenta de un proveedor para entrar al perímetro de la compañía. Luego de entrar a ciertas áreas de la red, los delincuentes distribuyeron un código malicioso que les permitió escalar privilegios para robar más de 65 millones de información de tarjetas de crédito de sus clientes. El grupo The Home Depot tuvo que realizar inversiones para ganar de nuevo la confianza de sus clientes y ofrecer servicios gratuitos para monitoreo de crédito en sus tiendas. Adicional, se les obliga a invertir en Sistemas de Seguridad para evitar el fraude o robo de información. - Target [6]: En el 2014 se reportó el robo de más de setenta millones de información de tarjetas de créditos de sus clientes. - Sony [7]: En abril del 2011, Sony se vio en la obligación de desconectar los servidores de la red PlayStation por el robo de más de 77 millones de datos de jugadores inscritos esta plataforma de video. Luego de la brecha del 2011, han seguido recibiendo ataques que los ha obligado a fortalecer toda su plataforma. Por otra parte, casos que se convirtieron en escándalo y que su conocimiento dependió enteramente del periodismo investigativo: -WikiLeaks [8]: En el 2006 nace WikiLeaks como una ONG con una página web en donde cualquiera puede aplicar documentos que contengan evidencia de hechos ilegales. Esta ONG se abastece de otras brechas de seguridad. - Los Papeles de Panamá o Panamá Papers [9]: En el 2016, el mundo conoció la mayor brecha de seguridad que se haya registrado. Los mal llamados Papeles de Panamá reveló la fuga de 11.5 millones de documentos internos de la firma de abogados Mossack Fonseca sobre información de clientes y empresas que realizaban, a través de Sociedades Anónimas creadas por la firma, la gestión contable en países conocidos como Paraísos Fiscales. Si bien, explotó en el año 2016, cuando el análisis periodístico bajo la autoría del Consorcio Internacional de Periodistas de Investigación agrupados y apoyados por un periódico Alemán fue publicado, la fuga de información (más de 2.4 terabytes de información) inició desde el 2014. El consorcio que recibió toda la data, indica que les llevó un mes en obtenerla, al final la pérdida y exposición de documentos llegó a más de 11.5 millones de documentos. Se calcula más de 230 millones en pérdidas y hasta la caída de jefes de estado. Las perdidas siguen y las afectaciones a políticos, miembros de estado y otros todavía no se han terminado ni han sido contabilizadas en su totalidad. Evidentemente, los ejemplos detallados denotan la falta de controles en las organizaciones que permitieron la fuga de información. Adicional, estas brechas de seguridad evidencian lo fácil que es para un individuo, con malas intenciones, robar datos de forma periódica hasta cumplir con su objetivo, sí que nadie se percata de la situación hasta que explota el incidente de seguridad. A pesar de la publicidad cuando se da una brecha de seguridad y todo el esfuerzo que se realiza con las leyes y regulaciones y adopciones de normas internacionales para la buena gestión de la seguridad de la información, que minimizan los riesgos, evitando el robo o fuga de información, los incidentes de seguridad se seguirán dando. Sin duda, mientras los controles no sean automáticos, no se implemente una herramienta o programa que evite el robo o fuga de la información, y no se sigan las buenas prácticas y metodologías que garantizan la buena gestión de la seguridad, la probabilidad de que se materialice una amenaza es alta. Dado que las amenazas crecen exponencialmente, han surgido en el mercado múltiples soluciones que prometen prevenir el robo o fuga de la información, dando cabida a que sea necesario que los administradores de la seguridad informática comiencen a evaluar y considerar este tipo de soluciones. Y es aquí donde se realza este trabajo monográfico que pretende no solo implementar una herramienta para prevenir el robo de información sino que se implemente un Sistema de Gestión de Seguridad que apoyado en la Norma ISO/IEC 27001 garantice y de confianza que la gestión de riesgos se manejó de la manera adecuada para evitar el robo o fuga de información. Como se indicó en la sección anterior, llamaremos simplemente DLP a las herramientas o programas que se encarguen de prevenir la fuga o robo de la información. Estos DLP (Data Loss Prevention) permiten controlar, monitorear y prevenir cualquier evento de tipo robo o fuga de información basado en distintas reglas que el negocio definirá. Uno de los objetivos de implementar este tipo de herramientas es la automatización de los controles. Sobre las bases de las ideas expuestas y atendiendo a la solicitud de la Firma de Contadores, St. Claire y Asociados, se propone y entrega este Proyecto que contiene la evaluación, desarrollo e implementación de un Sistema de Gestión de Seguridad, bajo el marco de referencia ISO/IEC 27001, para la prevención del robo y/o fuga de información, de manera que se garantice la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de los procesos de la Gestión de Riesgos recomendados por la guía de los Fundamentos de la Dirección de Proyectos (Guía del PMBok).
|
| 526 |
0 |
|
|a MSEIN
|
| 541 |
1 |
|
|a Andrés Paz, Edilsa Fuentes, Yamilete Mirones.
|c DUTP
|d 2018/09/25.
|e 800132342.
|h $100.00
|
| 700 |
1 |
|
|a Fuentes Pérez, Edilsa del C.,
|e Sustentante
|9 6516
|
| 700 |
1 |
|
|a Mirones Oberto, Yamilete,
|e Sustentante
|9 6517
|
| 700 |
1 |
|
|a Ho Quiñones, Iván Gabriel,
|e Asesor
|9 2701
|
| 942 |
|
|
|2 ddc
|c TESISM
|
| 946 |
|
|
|a 44903
|b Cleofe Galindo J.
|c 44903
|d Cleofe Galindo J.
|
| 999 |
|
|
|c 143181
|d 143181
|
| 952 |
|
|
|0 0
|1 0
|2 ddc
|4 0
|6 P_39_000000000000000
|7 0
|8 TESMAE
|9 176912
|a BUT
|b BUT
|d 2023-06-14
|e DUTP
|g 100.00
|l 0
|o P39
|p 800132342
|r 2023-06-14
|t e.1
|w 2023-06-14
|y TESISM
|