Mejora de proceso de gestión de riesgo de tecnología de la información utilizando la norma ISO / IEC 27001:2013 para una empresa constructora peruana

Abstract

La presente tesis se desarrolla en una empresa constructora peruana ubicada en la región sur del Perú, el cual contiene los procesos engranados con tecnologías de información (TI). Se enfoca principalmente en los riesgos asociados a la totalidad de sus procesos y a su interacción con los usuarios de la organización. Todo ello bajo el enfoque de la norma ISO/IEC 27001:2013. Como línea base, se dio inicio con la aplicación de una encuesta a diferentes usuarios de la organización, con el objetivo de conocer la real situación de los procesos de TI en toda la organización y cuáles son las oportunidades de mejora existentes. Se procede con el análisis de riesgo de tecnología de la información mediante la metodología MageriIT que nos permite evaluar un correcto análisis del nivel de criticidad de los riesgos a los cuales está expuesto la organización, tanto a nivel de procesos como de activos. Luego de culminado el análisis se procederá a proponer la implementación de oportunidades de mejora para tratar la gestión de los riesgos. Finalmente, de describen conclusiones y recomendaciones que se pueden desprender del trabajo de investigación desarrollado.