Estudio evaluativo para la implementación de un sistema de gestión de seguridad de la información en las Oficinas Departamentales de Estadística e Informática bajo el lineamento NTP-ISO/IEC 27001:2014: caso de estudio ODEI Pasco

Abstract

El presente Trabajo de Suficiencia Profesional realiza un estudio evaluativo sobre la seguridad de la información en la ODEI de Pasco bajo el marco normativo NTP ISO/IEC 27001:2014, se realizó con el objetivo de proponer su implantación alineados a la Política General de la Seguridad de la Información del INEI para ello se identificaron los activos de información en diferentes grados de importancia de cada área de la entidad en estudio, estas se valoraron por su nivel de importancia considerando las dimensiones básicas establecidas por la norma; cuales son disponibilidad, integridad y confidencialidad. Posteriormente se realizó el análisis de riesgos utilizando la metodología MAGERIT V.3 la cual permite identificar las amenazas potenciales en el manejo de los activos de información identificando el origen, el riesgo y las vulnerabilidades en los diferentes aspectos involucrados tales como la organización, la información, el software, el hardware, las comunicaciones, los elementos auxiliares, las instalaciones y los recursos humanos. Como siguiente paso se realizó la Declaración de Aplicabilidad considerando el estado actual de la implementación de la Norma NTP ISO/IEC 27001:2014 en la ODEI Pasco para ello se usó la tabla de requerimientos descritos en la norma identificando el estado de implementación de los controles de seguridad en la ODEI Pasco en relación a los riesgos ya descritos anteriormente; realizando su respectivo análisis. Finalmente se declararon los hallazgos encontrados y las recomendaciones para que en base a ellos la alta dirección defina decisiones y en lo posterior determinar un SGSI para las ODEI a nivel nacional.