Propuesta de diseño de un sistema de gestión de seguridad de la información basado en la NTP-ISO/IEC 27001 para la Dirección Regional de Trabajo y Promoción del Empleo - Huánuco

Abstract

El presente proyecto inicia con la problemática de la Dirección Regional de Trabajo y Promoción del Empleo – Huánuco referente a la seguridad de su información. La organización no contempla entre sus procesos mecánicas, medidas o políticas que le ayuden a proteger sus activos de las amenazas y riesgos a los que están expuestos. Para el desarrollo del Sistema de Gestión de Seguridad de la Información, se hizo uso de la Norma Técnica Peruana NTP – ISO/IEC 27001:2014 y la metodología MAGERIT en su versión 3 (v3) para el análisis y gestión de riesgos de los activos, partiendo desde la evaluación del estado inicial de la organización referente a la seguridad de la información para posteriormente empezar a planificar y diseñar el Sistema de Gestión de Seguridad de la Información, la aceptación que tendría este en la organización, definir sus alcance, sus políticas y su comité de seguridad para luego pasar al análisis y gestión de riesgos donde se determinó las amenazas y vulnerabilidades a las que están expuestos los activos de información. Una vez teniendo los resultados del análisis se realizó el tratamiento de riesgos para posteriormente elaborar los controles de seguridad y el diseño de la declaración de aplicabilidad de acuerdo al lineamiento de la Norma Técnica Peruana NTP – ISO/IEC 27001:2014. El proyecto no solo logró determinar cuáles son los controles más adecuados para la organización y las que debería implementar para proteger sus activos de información, también acercó a la organización al tema de la seguridad de la información, y brindando la documentación necesaria para una posterior implementación de este SGSI en los procesos de la entidad.