Propuesta de un modelo de gestión para mejorar la capacidad de gestión de la seguridad de la información de una institución financiera del sector público

Abstract

Al ser la información un recurso clave para las empresas y por el papel que juega la tecnología desde el momento en que la información se crea hasta que se destruye, la necesidad de proteger la información y los activos de TI de continuas amenazas a través de la mitigación de riesgos se vuelve imprescindible. Para garantizar que la seguridad de la información sea gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI (Sistema de Gestión de la Seguridad de la Información). La presente investigación se centra en proponer un modelo de gestión para mejorar la capacidad de gestión de la seguridad de la información de una Institución Financiera del Sector Público, que contribuya al cumplimiento de los objetivos estratégicos de la Institución, a través de la adopción de tres prácticas y estándares específicos (COBIT 5, ITIL v3,ISO 27001:2013), los que están siendo ampliamente adoptados a nivel global y que deben ser implementadas en base al Esquema Gubernamental de Seguridad de la Información (EGSI) desarrollado en septiembre de 2013 mediante Acuerdo Ministerial 166. En el capítulo 1, “Introducción y Marco Teórico”, se expone los objetivos que se alcanzarán con la investigación basados en los antecedentes y en los posibles problemas detectados en la Gestión de la Seguridad de la Información de la Institución Financiera, así como una breve descripción de los conceptos que a lo largo del desarrollo serán de mucha utilidad. En el capítulo 2, “Análisis de la Situación Actual”, se analiza el contexto de la Institución Financiera a través de su misión, visión, principios y valores, objetivos estratégicos y estructura organizacional que pueden afectar la capacidad de lograr los resultados esperados de su Sistema de Gestión de la Seguridad de la Información. Se realiza un primer diagnóstico en base a los resultados de las auditorías realizadas entre los años 2010 y 2014 y de los problemas recurrentes categorizándolos en base al nivel de impacto. En el capítulo 3, “Análisis de causa raíz e identificación de la brecha con las mejores prácticas”, se realiza un diagnóstico de la situación actual de la Institución con relación a la seguridad de la información que servirá como línea base para la implementación del modelo propuesto. En el capítulo 4, “Modelo de Implementación del Sistema de Gestión de la Seguridad de la Información”, se propone un modelo que logra la excelencia a través de la mejora continua, fundamentado en la norma ISO27001:2013 que tiene embebido el ciclo PDCA o ciclo de Deming. En el capítulo 5, “Conclusiones y Recomendaciones”, se emite finalmente una serie de conclusiones y recomendaciones de este trabajo de investigación.