Metodología de Valuación de Riesgos Como Parte del Sistema de Gestión de Seguridad de la Información (SGSI) Aplicado a un Data Center de Alta Gama

• Enríquez, Vodia ^[1] ; Hidalgo, Pablo ^[1]
  1. [1] Escuela Politécnica Nacional

     Escuela Politécnica Nacional

     Quito, Ecuador

     
• Localización: Revista Politécnica, ISSN-e 2477-8990, Vol. 36, Nº. 1, 2015 (Ejemplar dedicado a: Revista Politécnica), págs. 45-45
• Idioma: español
• Enlaces
  • Texto completo
• Resumen
  • español

    Resumen: La gestión operativa de un centro de datos no siempre es suficiente para mantener su correcto funcionamiento. Existen riesgos de seguridad de la información que pueden provocar impactos negativos sobre los objetivos de la organización. Este artículo desarrolla una metodología para gestionar el riesgo como parte de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en los lineamientos de la Norma ISO/IEC 27005. La metodología se enfoca en la valoración de activos, impactos y riesgos, como parte del Análisis de Riesgos; en la Evaluación del Riesgo y en la aplicación de controles sobre los activos de información de un Data Center de gama alta.

  • English

    Abstract: Data center's operational management is not always sufficient enough to keep its right operation. There are information security risks that can cause negative impacts on the organization goals. This article develops a methodology to assess information risks as part of an Information Security Management System (ISMS), guided on the standard ISO/IEC 27005. This methodology focuses on the Risk Analysis, including the assessment of actives, impacts and risks; Risk Evaluation and security controls to mitigate the impacts that affects the information assets of a high availability Data Center.

• Referencias bibliográficas
  • Tecnología de la Información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requerimientos, ISO/IEC Estándar...
  • J. R. Vacca, Computer and Information Security Handbook, New York: Elsevier, 2013.
  • Cisco Systems, Inc., «Data Center Architecture Overview,» de Cisco Data Center Infrastructure 2.5 Design Guide, San Jose, USA,
  • , pp. 1-1.
  • Uptime Institute, Data Center Site Infrastructure Tier Standard: Topology, 2012.
  • TIA, Telecommunications Infrastructure Standard for Data Centers ANSI/TIA-942-A, 2011.
  • Information technology - Security techniques - Information security risk management, ISO/IEC Estándar 27005, 2008.
  • TELCONET CLOUD CENTER, «CENTRO DE DATOS,» 2015. [En línea]. Available: http://www.telconet.net/servicios/datacenter.
  • L. 3, «LEVEL 3 DATA CENTER FACILITIES,» 2015. [En línea]. Available: http://www.level3.com/es/products/data-center-services/.
  • Claro, «Data center,» 2015. [En línea]. Available: http://www.claro.com.ec/wps/portal/ec/sc/corporaciones/multinacionales/data-center#info_01.
  • SONDA, «Servicios,» 2015. [En línea]. Available: http://www.sonda.com/data-center/.
  • V. Enríquez, P. Torres, Diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para un Data Center Tier III de un Proveedor...
  • Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, MAGERIT - versión 3.0, Metodología...
  • CERT, The OCTAVE Allegro Guidebook, v1.0, 2007.
  • Guide for Conducting Risk Assessments, NIST Special Publication 800-30, 2012.
  • CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS, «RISK MANAGEMENT - Concepts and Methods,» 2009. [En línea]. Available: https://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-risk-management.pdf.
  • OWASP, «OWASP Risk Rating Methodology,» 2015. [En línea]. Available: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology.
  • Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, MAGERIT - versión 3.0, Metodología...
  • Tecnología de la Información - Técnicas de seguridad - Código para la práctica de la gestión de la seguridad de la información, ISO/IEC Estándar...
  • L. P. Aguirre, «Aplicaciones de MPLS, Transición de IPv4 a IPv6 y Mejores Prácticas de Seguridad para el ISP Telconet,» Revista Politécnica...