Aplicación del estándar ISO 27001:2017 para mejorar el proceso de gestión de riesgos TI en un instituto tecnológico público peruano

Abstract

Actualmente, en el Perú se estima aproximadamente de 2.8 millones de empresas activas registradas, siendo entre enero y marzo del 2021 donde hubo un ascenso notorio de casi 70 mil empresas constituidas, dicho de otra forma, algunas MYPES del sector público experimentaron una sobresaliente recuperación económica en comparación con el 2020.Dado que, en la actualidad cada vez más los institutos tecnológicos públicos peruanos tienen un alto consumo de información digitalizada, la cual influye en el momento realizar decisiones la alta gerencia, debe estar salvaguardada frente a diversos tipos de amenazas que valiéndose de cualquier vulnerabilidad existente tanto interna (personas) como externa (entorno), pueden llegar a doblegar los activos críticos de información por diferentes maneras: manipulación de software, robo de equipos, accesos no autorizados, espionaje, desastres naturales, revelación y alteración de información, entre otros. Es por ello que, en los últimos años se han estado probando distintos tipos de modelos de gestión de riesgos TI en institutos tecnológicos públicos peruanos, que puedan adaptarse al contexto, realidad económica, situación actual y demás factores, a los que pueda estar relacionado dicha organización, y es donde el objetivo de este estudio se centra en crear un modelo basado en el estándar ISO/IEC 27001:2017 para perfeccionar el desarrollo de la gestión de inseguridad informática en un instituto tecnológico público peruano. Se realizó una valoración de la condición actual de la entidad en gestión de inseguridad de TI bajo 07 subactividades, las cuales fueron: análisis del instituto tecnológico publico peruano, definición del proceso TI actual de instituto, realización de conteo de activos de datos, orden y valuación de activos de información. Las respuestas obtenidas evidenciaron que, el presente modelo de gestión para mejorar el proceso TI de un instituto tecnológico público peruano fundamentado en el estándar ISO 27001:2017 obtuvo un promedio final de 85,00/100 en cuanto a criterios aceptación de modelo, pertinencia, consistencia, coherencia, objetividad, metodología, organización, suficiencia, intencionalidad, actualidad y claridad.