Desarrollo de un plan de seguridad de la información basado en estándares para empresa de seguros. Caso de estudio: empresa de seguros

Abstract

En la actualidad las actividades de las empresas utilizan información y procesos los cuales tienen muchos riesgos, por lo consiguiente toda organización debe contar con medidas de control en la seguridad de la información y activos de la organización en todos los niveles jerárquicos. La disponibilidad de la información para los usuarios internos como externos desde cualquier medio y desde cualquier lugar es uno de los propósitos principales de una organización por lo cual, la seguridad es un elemento primordial y se debe dar la importancia necesaria para asegurar la confidencialidad, integridad y disponibilidad de la información y de los activos informáticos para prevenir las amenazas y vulnerabilidades los cuales puedan causar daños a una organización. La norma internacional ISO 27001 cuenta con una serie de medidas orientadas a proteger la información contra cualquier amenaza, garantizando la confidencialidad, integridad y disponibilidad de la información, así poder asegurar en todo momento la continuidad de las actividades de la organización. El presente proyecto tiene como finalidad analizar y proponer el desarrollo de un plan de seguridad de la información dentro del área de tecnologías de la información de la empresa de seguros, mediante estándares internacionales como la ISO 27001, la norma en mención permite a cualquier organización a evaluar sus riesgos y poder aplicar los controles necesarios para su prevención o eliminación considerando como activo más importante la información de una organización. Asimismo, la norma establece procedimientos, guías y procesos para la gestión apropiada mediante el proceso de mejora continua. Complementario a la norma IS27001, la metodología utilizada para evaluar los riesgos es MAGERIT, la metodología mencionada ayuda a poder determinar el nivel de impacto generado la no implementación de controles o medidas que necesita la organización, para proteger sus activos más críticos. De acuerdo a los resultados obtenidos en la investigación la empresa se encuentra en una etapa inicial frente a los requerimientos y los controles del Anexo A de la norma ISO 27001.