Diseño de un sistema de gestión de seguridad de la información bajo el enfoque de la ISO/IEC 27001 para la empresa ITS Business SAC - Lima
Descripción del Articulo
En la actualidad las empresas y organizaciones consideran a la “información” como el mayor activo más valioso que poseen, por lo tanto, ponen más énfasis en su mejor y mayor y adecuada protección. La norma ISO/IEC 27001, es un estándar internacional que realiza la certificación a los procesos de una...
| Autor: | |
|---|---|
| Formato: | tesis de grado |
| Fecha de Publicación: | 2021 |
| Institución: | Universidad Nacional José María Arguedas |
| Repositorio: | UNAJMA-Institucional |
| Lenguaje: | español |
| OAI Identifier: | oai:repositorio.unajma.edu.pe:20.500.14168/826 |
| Enlace del recurso: | https://hdl.handle.net/20.500.14168/826 |
| Nivel de acceso: | acceso abierto |
| Materia: | Sistema de gestión de seguridad de la información, NTP ISO/IEC 27001:2014, riesgo, impacto, control de seguridad http://purl.org/pe-repo/ocde/ford#2.02.04 |
| Sumario: | En la actualidad las empresas y organizaciones consideran a la “información” como el mayor activo más valioso que poseen, por lo tanto, ponen más énfasis en su mejor y mayor y adecuada protección. La norma ISO/IEC 27001, es un estándar internacional que realiza la certificación a los procesos de una compañía u organización en la gestión (uso) correcta de la seguridad de la información. Empresa que logre certificarse, está en la capacidad de demostrar a sus clientes actuales y potenciales tener la capacidad de proteger la información, así como también mejorar y disminuir los riesgos de fraude, perdida o filtración de información. Por consiguiente, el gobierno peruano aprobó la aplicación de la Norma Técnica Peruana (NTP) ISO/IEC 27001:2014, Técnicas de seguridad. Sistema de Gestión de Seguridad de la Información. La presente tesis se enfoca en el caso de estudio a la empresa ITS Business SAC para la cual se desarrolló el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) siguiendo la norma NTP ISO/IEC 27001:2014, el proyecto se dividió en tres fases principales: Diagnóstico inicial y aceptación: se realizó un análisis inicial de la entidad y se evaluó su disposición para implementar el SGSI. Estudio de la organización y su contexto: se estudió la organización en detalle, se identificó el proceso crítico, se definió la política de seguridad y se estableció el alcance del sistema. Además, se creó un comité de seguridad de la información. Análisis y gestión de riesgos: se siguió una metodología de análisis y gestión de riesgos. Se identificaron y evaluaron los activos de información, se identificaron las amenazas y se calculó el impacto de los riesgos. Con base en estos resultados, se determinaron las medidas de control necesarias para mitigar los riesgos a un nivel aceptable. finalmente, se elaboró un documento llamado “Declaración de Aplicabilidad” que justifica que los controles del Anexo A de la NTP ISO/IEC 27001:2014 pueden ser implementadas en la organización. Esta declaración proporciona una guía clara sobre las medidas de seguridad necesarias y su justificación para proteger la información de la empresa, de acuerdo con (Escalante Coronel, 2019) |
|---|
Nota importante:
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
La información contenida en este registro es de entera responsabilidad de la institución que gestiona el repositorio institucional donde esta contenido este documento o set de datos. El CONCYTEC no se hace responsable por los contenidos (publicaciones y/o datos) accesibles a través del Repositorio Nacional Digital de Ciencia, Tecnología e Innovación de Acceso Abierto (ALICIA).
