Propuesta de un sistema de gestión de seguridad de la información basado en la NTP ISO/IEC 27001:2014 para la DRTPE - filial Piura

Abstract

Este trabajo de investigación tuvo como objetivo proponer un Sistema de Gestión de Seguridad de la Información (SGSI) basado en los controles seleccionados de la Norma Técnica Peruana vigente para la Dirección Regional de Trabajo y Promoción de Empleo – Filial Piura. Donde se determinó el diagnóstico de los activos físicos, lógicos y de información en la entidad, a través de encuestas y fichas de registro, identificando que existen 30 vulnerabilidades y 20 riesgos, Dichos riesgos fueron evaluados a través de la metodología Magerit obteniendo que, un 50% son de nivel muy alto de riesgo, un 40 % alto, un 5% medio y un 5% bajo. Además, se seleccionaron 75 controles adecuados para estos riesgos basándose en la NTP ISO/IEC 27001:2014, a través de una declaración de aplicabilidad. Luego, se plantearon controles y políticas de seguridad de acuerdo a los controles seleccionados. El SGSI plantea a la entidad brindar un uso aceptable a sus activos, establecer mecanismos para afrontar adecuadamente eventos no deseados a través de un plan de tratamiento de riesgos, identificar roles y responsables para una rápida atención ante incidentes de seguridad, además de procedimientos y reglas de seguridad para proteger sus activos. Para la documentación del SGSI, se adaptó el formato establecido por el ONGEI (Oficina Nacional de Gobierno Electrónico e Informática).