Sistema de Gestión de Seguridad de la Información, basado en normas ISO, para mejorar la seguridad de la información en la Gerencia Regional de Salud Lambayeque

Abstract

Hoy en día, la inmersión de nuevas tecnologías, el uso de herramientas modernas de informática, el incremento de ataques cibernéticos a empresas de diferentes rubros a nivel mundial, sumado a ello el robo de información personal y empresarial, ha hecho que se cuestione la capacidad de respuesta a estos incidentes o ataques con fines delincuenciales, y que el personal responsable de resguardar la información busque estrategias para mitigar los riesgos de seguridad que se presenten. El trabajo de investigación fue aplicado a los procesos de las áreas Estadística e Informática de la Gerencia Regional Salud Lambayeque, la cual aborda la siguiente problemática, después de haber realizado un análisis de situación actual, se ha encontrado la ausencia de controles de seguridad, carencia de políticas o documentación, por lo que no cuentan con el uso de buenas prácticas en seguridad de la información. Como objetivo principal se encuentra el diseño e implementación de un Sistema de Gestión de Seguridad de la Información, basado en normas ISO, para mejorar la seguridad de la información, se sustentan a la vez en la aplicación de estándares como la ISO 27001, 27002 y 27005, bajo el ciclo de Deming como metodología. La investigación es de tipo aplicada, con enfoque cuantitativo, descriptivo no experimental. Para la recolección de datos pertinente se va aplicar 02 cuestionarios dirigidos al personal de tecnologías de información, jefes de oficina, los cuales permitirán realizar un diagnóstico de la situación actual y se podrá determinar el nivel de cumplimiento de los controles de seguridad como parte del tratamiento de riesgos. Finalmente, esta proyecto como medio de investigación sirve como antecedente, u aporte a otras investigaciones que abordan el tema de seguridad de información, los resultados obtenidos al aplicar el SGSI, evidencian un mejora en la gestión de seguridad de la información, asimismo el uso de los estándares ISO sumado al desarrollo da como resultado un SGSI adaptado a la necesidades específicas de la Gerencia Regional Salud Lambayeque, estableciendo controles, procedimientos, plantillas y la documentación necesaria para afrontar o reducir el impacto de los riesgos detectados que se puedan materializar y que garanticen la confidencialidad, integridad y disponibilidad de la información.

Today, the introduction of new technologies, the use of modern IT tools, the increase in cyberattacks on companies in different sectors worldwide, coupled with the theft of personal and business information, has called into question the ability to respond to these incidents or attacks resulting in criminal fines. This has led to the personnel responsible for safeguarding information seeking strategies to mitigate the security risks that arise. This research was applied to the processes of the Statistics and IT areas of the Lambayeque Regional Health Management. It addresses the following problem: after conducting an analysis of the current situation, a lack of security controls, policies, or documentation was found, resulting in a lack of information security best practices. The main objective is the design and implementation of an Information Security Management System based on ISO standards to improve information security. This is supported by the application of standards such as ISO 27001, 27002, and 27005, using the Deming cycle as a methodology. This research is applied, with a quantitative, descriptive, and non-experimental approach. To collect relevant data, two questionnaires will be administered to information technology personnel and office managers. These questionnaires will allow for a diagnosis of the current situation and determine the level of compliance with security controls as part of risk management. Finally, this project as a means of research serves as a precedent, or contribution to other research that addresses the issue of information security, the results obtained by applying the ISMS, show an improvement in the management of information security, also the use of ISO standards added to the development results in an ISMS adapted to the specific needs of the Lambayeque Regional Health Management, establishing controls, procedures, templates and the necessary documentation to face or reduce the impact of the detected risks that may materialize and that guarantee the confidentiality, integrity and availability of the information.