Implementación de un sistema de gestión de Seguridad de la información, aplicado a los Riesgos asociados a los activos de información En la empresa Net – Consultores S.A.C.

Abstract

The following research is made for NET CONSULTORES enterprise SAC, which implement security control policies to protect information; improving client’s services, offering quality and efficiency in service to assure business continuing. The following research has as main objective to design an SGSI system with NET consulters under ISO/IEC 27001 Standard aiming to classify information, identify weaknesses and menace to the communication area; value risks defining security control and policies based on it, which would be manage by the company, procedure instructions and documentation that must be developed during the process in order to implement SGCI system, under PDCA (Planning, Doing, Control and Acting). As a first step, observation for information gathering must be done and also interview technic to let have a general idea of security management on the organization. After, a risk analysis step by step developing the assets inventory is done, quality value of assets, menaces identification, assets safeguard identification, valuation and evaluation of risks and its report which let identify the most relevant risks where the company is exposed. Following is defining security control and policies which will contribute in less incidence of risk in the communication area empower security that will be reflected in the company and its clients giving nimble, efficient, and accurate services. Finally, the first phase of implementation is done, consisting on a risk management plan where it is specifying how the risk must be control, selecting the controls, the responsible and the time, ready to be used by the company

Este proyecto se lleva a cabo para la empresa NET-Consultores S.A.C la cual pretende cada día implementar políticas y controles de seguridad para proteger la información; mejorar la atención a sus clientes, brindándoles eficiencia y calidad en la prestación de su servicio y asegurar la continuidad del negocio. Este trabajo tiene como objetivo fundamental, diseñar un SGSI para la empresa NET Consultores bajo la Norma ISO/IEC 27001 con el fin de clasificar la información, identificar vulnerabilidades y amenazas en el área de informática; valorar los riesgos y con base en estos definir controles y políticas de seguridad que deben ser de conocimiento de la empresa, instrucciones de los procedimientos a realizarse y la documentación que se debe desarrollar en todo el proceso para la posterior implementación del SGSI, aplicando el modelo PDCA (Planificar, hacer, verificar y actuar). Como primera medida se recolecta información de la empresa a través de la observación y la técnica de la encuesta que permiten tener una idea general del manejo de la seguridad en la organización. Seguidamente se realiza un análisis de riesgos paso a paso desarrollando el inventario de activos, la valoración cualitativa de los activos, identificación de amenazas, identificación de salvaguardas para los activos, valoración y evaluación del riesgo y el informe de calificación del riesgo, que permiten identificar los riesgos más apremiantes a los que está expuesta la empresa. Posteriormente se definen las políticas y controles de seguridad, que tienen como finalidad contribuir a la disminución de riesgos de los elementos del área de informática y fortalecer la seguridad con medidas que se ven reflejadas en la empresa y a sus clientes en la prestación de un servicio ágil, eficiente, eficaz y con calidad. Finalmente se realiza la primera fase de la implementación que es el plan de gestión del riesgo donde se concreta de forma clara cómo se va a actuar en el control de los riesgos, se identifica los controles seleccionados, los responsables y el tiempo. Listo para ser adoptado por la empresa