http://www.dspace.espol.edu.ec/handle/123456789/50571 Maestría en Seguridad Informática Sun, 17 May 2026 11:49:33 GMT 2026-05-17T11:49:33Z http://www.dspace.espol.edu.ec/handle/123456789/68305 Análisis de brecha basado en la norma ISO 27001 aplicado a una empresa de vigilancia, alerta y control aéreo Jhayya Perlaza, Jairo Wladimir; Freire Cobo, Lenin Eduardo, Director This document analyzes the gap assessment based on the ISO/IEC 27001 standard in an air surveillance, alert, and control company. This degree project aims to design an updated plan to implement the ISO-27001 standard in the air surveillance, alert, and control company. The company Vigalco, which is the subject of this study, carries out the surveillance, alert, and control of Ecuadorian airspace. To fulfill its assigned mission, its operations rely on three critical components: communications, command and control, and aerial surveillance. This work focuses on the critical communications component because Vigalco’s senior management is concerned with safeguarding all generated information, as the company is constantly acquiring more information assets. The proposed solution is to design an implementation plan based on the identified gaps. This will allow determining compliance with ISO-27001 requirements and controls, and ensuring alignment with the proposed design. An evaluation model, considering the measures already implemented in the company, will be used as a reference point. Keywords: ISO/IEC 27001, evaluation model, ISO 27001 controls. Este documento analiza la brecha según la norma ISO-27001 en una empresa de vigilancia, alerta y control aéreo. Este trabajo de titulación tiene como objetivo diseñar un plan actualizado para implementar la norma ISO-27001 en la empresa de vigilancia, alerta y control aéreo. La empresa Vigalco, que forma parte de este estudio, realiza la vigilancia, alerta y control del espacio aéreo en el Ecuador. Para poder cumplir con la misión encomendada, la parte operativa se apoya en tres componentes críticos: comunicaciones, mando y control, y vigilancia aérea. Este trabajo se enfoca en el componente crítico de comunicaciones porque la alta gerencia de Vigalco está preocupada por mantener segura toda la información generada, ya que constantemente adquieren más activos de información. La solución propuesta será diseñar un plan de implementación construido a partir de las brechas existentes. Esto permitirá determinar el cumplimiento de los requisitos y controles de la norma ISO-27001, y satisfacer el diseño propuesto. Se utilizará como punto de referencia un modelo de evaluación con las medidas implantadas en la empresa. Thu, 01 Jan 2026 00:00:00 GMT http://www.dspace.espol.edu.ec/handle/123456789/68305 2026-01-01T00:00:00Z http://www.dspace.espol.edu.ec/handle/123456789/68302 Implementación de un sistema de alerta temprana de autenticación para los administradores de sistemas críticos, que permita reportar accesos no autorizados de la empresa de telecomunicaciones y seguridad informática Valenzuela Franco, German Antonio; Villavicencio López, Andrés Mauricio; Freire Cobo, Lenin Eduardo, Director The objective of this thesis is to develop an early warning authentication system suitable for administrators of critical systems in a telecommunications and information security company. The goal is to report unauthorized access and improve institutional logical security. Existing tools are being used to create automatic alerts based on authentication events for anomalous access patterns and to enable early response to potential security issues. Information was gathered on critical systems, event logs, and the personnel responsible for their administration. Implementation involved configuring SIEM platforms, additional monitoring mechanisms, and connecting them to existing authentication systems. Furthermore, system validation procedures, functionality testing, and documentation were established to enable system functionality. Testing in a laboratory environment allowed for the evaluation of system performance against unauthorized access attempts, privilege changes, and after-hours access, facilitating the adjustment of thresholds and the reduction of false positives. Thus, the project offers a solution that complies with the ISO/IEC 27002 standard and is suitable for highly critical environments. Keywords: Information security, authentication, critical systems, early warnings, unauthorized access, SIEM. El objetivo del presente trabajo de titulación es desarrollar un sistema de autenticación de alerta temprana adecuado para los administradores de sistemas críticos en una empresa de telecomunicaciones y seguridad de la información. El objetivo es informar sobre accesos no autorizados y mejorar la seguridad lógica institucional. Se están utilizando herramientas existentes para crear alertas automáticas basadas en eventos de autenticación para patrones de acceso anómalos y una respuesta temprana a posibles problemas de seguridad. Se recopiló información sobre sistemas críticos, registros de eventos y el personal responsable de la administración de los mimos. La implementación involucró la configuración de plataformas SIEM, mecanismos de monitoreo adicionales y su conexión a los sistemas de autenticación existentes. Además, se establecieron los procedimientos de validación para el sistema, pruebas de funcionalidad y documentación para habilitar la funcionalidad del sistema. Las pruebas realizadas en un entorno de laboratorio permitieron evaluar el rendimiento del sistema frente a intentos de acceso no autorizados, cambios de privilegios y accesos fuera de horario, lo que facilitó el ajuste de umbrales y la reducción de falsos positivos. Así, el proyecto ofrece una solución que cumple con el estándar ISO/IEC 27002 y es adecuada para entornos de alta criticidad. Thu, 01 Jan 2026 00:00:00 GMT http://www.dspace.espol.edu.ec/handle/123456789/68302 2026-01-01T00:00:00Z http://www.dspace.espol.edu.ec/handle/123456789/67415 Implementación de un sistema de anonimización, usando técnicas de protección de datos sensibles del departamento de ventas de una fábrica de bebidas Ayala López, Ángel Adrián; Cáceres Molina, Andrea Lisette; Freire Cobo, Lenin Eduardo, Director CONDITION FOR PUBLICATION OF PROJECT. CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. Las empresas en Ecuador deben implementar acciones con el objetivo de proteger y resguardar la información sensible, garantizando la total privacidad de los datos. Esto es esencial para evitar cualquier actividad ilícita que pueda ser sancionada por las entidades de control. Para lograr este propósito, se contó con el apoyo y colaboración del Departamento de Ventas, así como el departamento de IT. Se establecieron medidas y protocolos de seguridad de la información para evitar el mal uso de los datos recopilados en los sistemas de ventas. El enfoque principal consistió en disminuir la vulnerabilidad de la empresa y prevenir cualquier posible violación de los datos. Un aporte valioso en este sentido fue la segmentación adecuada de la base de datos de los clientes, lo cual genera un clima de confianza en cuanto al uso de sus datos, en pleno cumplimiento de la ley. El presente proyecto centró su enfoque principal en la protección y seguridad de la información mediante la implementación de un eficiente y efectivo sistema de anonimización de datos. Este sistema tiene como objetivo primordial disminuir la vulnerabilidad y prevenir cualquier tipo de violación de la información del departamento de ventas de la fábrica de bebidas ubicada en la ciudad de Guayaquil, Ecuador. La implementación de este sistema de anonimización de datos resulta esencial para evitar posibles sanciones derivadas del mal uso, tratamiento inadecuado o pérdida de la información sensible perteneciente a los clientes de la compañía. El incumplimiento de los estándares de confidencialidad y seguridad adecuados podría dejar a la empresa en una situación de desventaja frente a su competencia, generando así un clima de desconfianza y, en consecuencia, provocando la pérdida de clientes fundamentales para el crecimiento y desarrollo del negocio. En este sentido, fue indispensable llevar a cabo la implementación de una propuesta sólida y completa que permitió identificar y evaluar los posibles riesgos a los que se encuentra expuesta la información de la empresa, así como también VII desarrollar el marco de políticas efectivas para disminuir significativamente cualquier vulnerabilidad existente. Esto, a su vez, brindará la confianza necesaria tanto a la administración del departamento de ventas como a los clientes, asegurando así un uso óptimo y apropiado de la información y, en definitiva, fomentando la fidelización de los clientes como una ventaja competitiva bajo el cumplimiento de las leyes y regulaciones vigentes. Wed, 01 Jan 2025 00:00:00 GMT http://www.dspace.espol.edu.ec/handle/123456789/67415 2025-01-01T00:00:00Z http://www.dspace.espol.edu.ec/handle/123456789/67414 Diseño de políticas de seguridad para la protección de la información de una empresa de desarrollo de software, basadas en las normativas internacionales ISO 27001 e ISO 22301 García Cox, Milton Fabrizio; Vivanco Rodríguez, Andrea Fernanda; Freire Cobo, Lenin Eduardo, Director CONDITION FOR PUBLICATION OF PROJECT. CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente trabajo de titulación se enfoca en la evaluación y fortalecimiento de la seguridad informática en entornos empresariales, con el objetivo de mitigar riesgos y vulnerabilidades en infraestructuras críticas, asegurando la protección de la información y la continuidad del negocio. A diferencia de enfoques generales de ciberseguridad, este estudio se centra en la aplicación de metodologías de evaluación de riesgos adaptadas a empresas de desarrollo de software, considerando sus necesidades específicas y el cumplimiento de normativas internacionales. El estudio propone un modelo de gestión de riesgos basado en el análisis de seguridad en infraestructura tecnológica y recursos humanos. La investigación documental y el levantamiento de información a través del talento humano permiten identificar brechas de seguridad y evaluar el impacto de posibles incidentes. Además, la aplicación de las normativas ISO 27001 e ISO 22301 facilita la definición de estrategias efectivas para la gestión y tratamiento de estos incidentes. Este enfoque facilita la detección de vulnerabilidades y la implementación de estrategias de mitigación efectivas. Uno de los aspectos clave de este proyecto es el desarrollo de un marco de trabajo integrado por políticas que combinan buenas prácticas en ciberseguridad con la automatización de procesos de monitoreo y respuesta ante amenazas. Este modelo optimiza la detección temprana de riesgos y fortalece la resiliencia operativa de las organizaciones frente a posibles ataques. Como resultado, el estudio presenta una serie de recomendaciones y un esquema de seguridad adaptable a distintas empresas del sector tecnológico. La implementación de estas medidas no solo mejora la postura de seguridad de las organizaciones, sino que también contribuye a una mayor continuidad operativa y protección de activos digitales. Wed, 01 Jan 2025 00:00:00 GMT http://www.dspace.espol.edu.ec/handle/123456789/67414 2025-01-01T00:00:00Z