Análisis y diseño de un sistema de gestión de seguridad de la información basado en la norma NTP – ISO/IEC 27001:2014 en la empresa consultora N&V asesores SAC

Abstract

Los datos informáticos (información) se consideran hoy en día como el más grande activo que puede tener cualquier organización, y sus efectos requieren un cuidado especial. En nuestra nación, con la meta de poder entablar una correcta administración de la seguridad de los datos que ayudan a continuar con la reserva, la veracidad y disponibilidad de los mismos, se implementa por la Norma Técnica Peruana NTP ISO / IEC 27001:2014 (TIC, seguridad, Sistemas de control de las TIC) pero debido a que la dirección ejecutiva no tiene conocimiento del tema, la escasez de fondos y la ausencia de trabajadores especializados está ocasionando que no se lleguen a obtener los resultados esperados. Ha sido seleccionado como objeto de investigación la subdirección de TIC de la empresa N&V ASESORES SAC y como objetivo la puesta en marcha del diseño de su Sistema de Gestión de Seguridad de la información (SGSI). La propuesta, basada en la norma mencionada en el párrafo anterior fue fraccionada en fases para incrementar las posibilidades de que fuese aceptada. Del mismo modo se hizo el estudio la organización y el ambiente en que se desarrolla; se determinó el proceso clave; se estableció la estrategia y el alcance de seguridad, se halló el comité de confidencialidad de archivos de la empresa. Continuando con la metodología de los estudios y la administración de las amenazas existentes, se encontró y se analizó los activos de información, se hallaron los pros y contras, se llevó al cabo el cálculo de los resultados y de los peligros, se determinaron los parámetros de control que es necesario para minimizar los riesgos a un nivel aceptable. Finalmente, se realizó un documento que se conocerá como prueba de aplicabilidad que contiene la justificación de qué registros del Anexo A de la NTP ISO/IEC 27001:2014 pueden ser implementados dentro de la empresa.