Implementación de un modelo ad hoc de gestión de seguridad de la información para una empresa editora de diario regional peruano

Abstract

La información es uno de los recursos más importantes dentro de una empresa u organización, por ende, esta debe ser protegida de manera adecuada. Según Forbes el 41% de empresas a nivel mundial ha sufrido ataques informáticos en el año 2020, y el 82% de ellas están interesadas en proteger sus datos. Existen novedosas técnicas de hacking que permiten extraer datos de una determinada empresa, que no tiene los requisitos mínimos de seguridad para salvaguardar su información. Actualmente existen diversas metodologías que nos permiten desarrollar un modelo de seguridad que este a nivel de la información que la empresa maneja. Sin embargo, las implementaciones de estos modelos son costosos y se alejan de la realidad de las empresas en nuestro país. Es por ello que se optó por desarrollar un modelo que está compuesto por la norma ISO/IEC 27001:2013, y la metodología Magerit. El modelo está compuesto por cuatro fases, la fase 1, corresponde al compromiso de la empresa, la fase 2 está relacionada al tratamiento de los riesgos, la fase 3 abarca el proceso de ejecución y por último la fase 4 se dedica exclusivamente a la mejora continua. Para la creación de las políticas de seguridad se tomaron en cuenta las amenazas que tuvieron una probabilidad de ocurrencia de alta y muy alta, esto debido a que la empresa necesitó implementar políticas de seguridad que se adapten a sus necesidades actuales. Después de haber implementado las políticas de seguridad seleccionadas, se obtuvo un 24% de efectividad después de realizar la aplicación del modelo ad hoc, este porcentaje se obtiene debido a que antes de la aplicación, la empresa no contaba con ninguna norma ni política de seguridad para proteger su información. Sin embargo, es necesario considerar que se debe realizar capacitaciones a los colaboradores que laboran en la empresa, con el fin de que conozcan las vulnerabilidades que existen y puedan hacer frente a la perdida de información ocasionada por cualquier agente externo.