Modelo de la gestión de la seguridad de la información alineada a la norma ISO/IEC 27001 orientado a las microempresas

Abstract

Las Pymes en Perú no están preparadas para identificar la brecha de estabilidad y el 51% de las organizaciones han sido atacadas. Es notable el crecimiento acelerado de internet, en pequeñas y gigantes organizaciones (pymes). Por consiguiente, permanecen sujetos a amenazas y vulnerabilidades novedosas y potencialmente altas que amenazan su sistema de información y muchas otras zonas relevantes. Sin embargo, la mayoría de las pequeñas y gigantes empresas no piensan como una inversión fundamental el hecho de llevar a cabo políticas y mecanismos para el buen desempeño de la compañía. En el desarrollo del presente trabajo de tesis se diseñó y se puso en práctica un modelo propuesto la cual se divide en cinco fases donde cada fase se relaciona con la metodología del Ciclo de Deming (PHVA), la cual se divide en cuatro fases: planear, hacer, verificar y actuar; para establecer, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI). Para la obtención de la información se consideró conveniente el uso de las técnicas de recolección de datos tales como las encuestas, y también ficha de observación para su posterior interpretación; y de esta manera medir la realidad problemática apoyado en el uso de la Norma ISO 27001, lográndose identificar las deficiencias para mejorar los niveles de seguridad y confiabilidad en los sistemas de información de la empresa Seisystem Consultores. Se buscó facilitar las tareas que dificultan a la empresa debido a los recursos limitados con los que cuentan en presupuesto, conocimiento y personal. Como resultado, se consiguió mejorar la seguridad de la información(SI), para lograrlo se identificó el estado de cumplimiento inicial y final de la ISO/IEC 27001:2013 en la empresa. Donde se puede obtener porcentajes pre test y post test de cumplimientos dominios con respecto a la ISO/IEC 27001:2013. De los 114 controles, se tuvo 78 controles de aplicabilidad la cual 50 controles aplicados en la empresa, 28 controles por implementar. Además, se implementó un software como complementación de modelo, se realizó la evaluación de riesgos, la implementación de los controles, el cumplimiento de los requisitos y la concientización del personal. La investigación permitió concluir en la importancia de contar con un SGSI en cualquier empresa, ya que independientemente de su tamaño o sector, el sistema ayuda a proteger los activos de información, gestionando los riesgos que generan.