Metodología de Valuación de Riesgos Como Parte del Sistema de Gestión de Seguridad de la Información (SGSI) Aplicado a un Data Center de Alta Gama

##plugins.themes.bootstrap3.article.main##

Vodia Enríquez

Pablo Hidalgo



Resumen

Resumen: La gestión operativa de un centro de datos no siempre es suficiente para mantener su correcto funcionamiento. Existen riesgos de seguridad de la información que pueden provocar impactos negativos sobre los objetivos de la organización. Este artículo desarrolla una metodología para gestionar el riesgo como parte de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en los lineamientos de la Norma ISO/IEC 27005. La metodología se enfoca en la valoración de activos, impactos y riesgos, como parte del Análisis de Riesgos; en la Evaluación del Riesgo y en la aplicación de controles sobre los activos de información de un Data Center de gama alta.

Abstract: Data center's operational management is not always sufficient enough to keep its right operation. There are information security risks that can cause negative impacts on the organization goals. This article develops a methodology to assess information risks as part of an Information Security Management System (ISMS), guided on the standard ISO/IEC 27005. This methodology focuses on the Risk Analysis, including the assessment of actives, impacts and risks; Risk Evaluation and security controls to mitigate the impacts that affects the information assets of a high availability Data Center.


 


Descargas

Descargas

Los datos de descargas todavía no están disponibles.

Detalles del artículo

Biografías de los autores/as

Vodia Enríquez, Escuela Politécnica Nacional

Docente de la Facultad de Eléctrica y Electrónica

Pablo Hidalgo, Escuela Politécnica Nacional

Docente de la Facultad de Eléctrica y Electrónica

Citas

Tecnología de la Información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requerimientos, ISO/IEC Estándar 27001, 2013.

J. R. Vacca, Computer and Information Security Handbook, New York: Elsevier, 2013.

Cisco Systems, Inc., «Data Center Architecture Overview,» de Cisco Data Center Infrastructure 2.5 Design Guide, San Jose, USA,

, pp. 1-1.

Uptime Institute, Data Center Site Infrastructure Tier Standard: Topology, 2012.

TIA, Telecommunications Infrastructure Standard for Data Centers ANSI/TIA-942-A, 2011.

Information technology - Security techniques - Information security risk management, ISO/IEC Estándar 27005, 2008.

TELCONET CLOUD CENTER, «CENTRO DE DATOS,» 2015. [En línea]. Available: http://www.telconet.net/servicios/datacenter.

L. 3, «LEVEL 3 DATA CENTER FACILITIES,» 2015. [En línea]. Available: http://www.level3.com/es/products/data-center-services/.

Claro, «Data center,» 2015. [En línea]. Available: http://www.claro.com.ec/wps/portal/ec/sc/corporaciones/multinacionales/data-center#info_01.

SONDA, «Servicios,» 2015. [En línea]. Available: http://www.sonda.com/data-center/.

V. Enríquez, P. Torres, Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para un Data Center Tier III de un Proveedor de Servicios de Internet (ISP) Tipo, de la Ciudad de Quito, DETRI, EPN, Quito, Ecuador, 2014.

Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, MAGERIT - versión 3.0, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro I - Método, 2012.

CERT, The OCTAVE Allegro Guidebook, v1.0, 2007.

Guide for Conducting Risk Assessments, NIST Special Publication 800-30, 2012.

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS, «RISK MANAGEMENT - Concepts and Methods,» 2009. [En línea]. Available: https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-risk-management.pdf.

OWASP, «OWASP Risk Rating Methodology,» 2015. [En línea]. Available: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.

Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, MAGERIT - versión 3.0, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Libro II - Catálogo de Elementos, 2012.

Tecnología de la Información - Técnicas de seguridad - Código para la práctica de la gestión de la seguridad de la información, ISO/IEC Estándar 27002, 2013.

L. P. Aguirre, «Aplicaciones de MPLS, Transición de IPv4 a IPv6 y Mejores Prácticas de Seguridad para el ISP Telconet,» Revista Politécnica , vol. 32, nº 2, pp. 43-51, 2013.