info:eu-repo/semantics/bachelorThesis
"Diseño de un sitema de gestión de seguridad de la información bajo la NTP ISO/IEC 27001:2014 para la Municipalidad Provincial de Huamanga, 2016"
Fecha
2017Registro en:
TESIS SIS48_Cce.pdf
Autor
Ccesa Quincho, Mercedes
Resumen
La información es considerada hoy en día el mayor activo que posee cualquier organización y en consecuencia requiere de una protección adecuada. En el Perú, con el objetivo de establecer una adecuada gestión de la seguridad de la información que ayude a preservar la confidencialidad, integridad y disponibilidad de la misma, se exige a las entidades públicas integrantes del sistema nacional de informática la implementación de la Norma Técnica Peruana NTP ISO/IEC 27001:2014 (tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información), pero el desconocimiento por parte de la alta dirección, la falta de presupuesto y falta de personal especializado ha ocasionado que no se cumplan con el cronograma establecido por el estado para su implementación. Se escogió como caso de estudio a la Municipalidad Provincial de Huamanga y para realizar el diseño de su SGSI se dividió la investigación en tres fases: en la primera fase se realizó el diagnóstico inicial de la entidad con respecto a la NTP ISO/IEC 27001:2014 y su posibilidad de aceptación, en la segundad fase se estudió a la organización y su contexto; se identificó el proceso crítico; se definió la política de seguridad, el alcance y se identificó al comité de seguridad de la información de la organización, en la tercera fase, siguiendo la metodología de análisis y gestión de riesgos adoptada, se identificó y valoró los activos de información, se identificó las amenazas, se realizó el cálculo del impacto y del riesgo, se identificaron las medidas de control necesarias para mitigar los riesgos a un nivel aceptable y finalmente se elaboró un documento denominado declaración de aplicabilidad que contiene la justificación de que controles del Anexo A de la NTP ISO/IEC 27001:2014 pueden ser implementados en la organización.