Propuesta de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001, para el Gobierno Regional de Lambayeque

Abstract

Se tiene conocimiento que, en los últimos años la información es uno los activos más valiosos de una empresa o entidad pública, por ello, es crucial velar por la seguridad de la información frente al acceso no autorizado, el uso indebido, la divulgación, la alteración, la destrucción o la pérdida; por otro lado, el sistema de gestión de la seguridad de la información, mediante un conjunto de políticas, procedimientos y prácticas para gestionar, controlar, monitorear, con la finalidad de mejorar la seguridad de la información en una organización, para ello se emplea normas como la ISO 27001 que proporciona una metodología para gestionar la seguridad de la información, identificando los riesgos potenciales que podrían impactar negativamente para la organización. Considerando lo anterior, la presente indagación se propuso como meta el diseño de un Sistema de Gestión de la Seguridad de la Información fundamentado en el estándar ISO/IEC 27001. El propósito central de esta propuesta es la reducción de las debilidades existentes y el aseguramiento integral de los datos manejados por el Gobierno Regional de Lambayeque (GRL), se realizó un estudio con enfoque mixto, de diseño no experimental de alcance descriptivo, y se tomó como muestra de estudio a 6 personas; en consecuencia, se identificó 141 activos de información, agrupados en 21 tipos de activos de información del GRL, de los cuales un 57.14% tiene un alto valor, asimismo un 52.38% de los activos es altamente crítico; además, el 23.80% de los activos tienen una confidencialidad baja, un 0% de nivel bajo de integridad y el 52.38% de los activos de información se encuentran disponibleslas 24 horas. Finalmente, se concluye que el modelo propuesto cumple con las especificaciones mínimas y pueden ser implementadas los 15 tipos de controles basada a nivel tecnológico, 11 tipos de controles a nivel organizacional y 5 tipos de controles a nivel de recursos humanos o personal.

It is well known that in recent years, information has become one of the most valuable assets of a company or public entity. Therefore, it is crucial to safeguard information security against unauthorized access, misuse, disclosure, alteration, destruction, or loss. On the other hand, an information security management system, through a set of policies, procedures, and practices, is used to manage, control, and monitor with the aim of improving information security within an organization. For this purpose, standards such as ISO 27001 are employed, which provide a methodology for managing information security by identifying potential risks that could negatively impact the organization. Considering the above, the present research aimed to design an Information Security Management System based on the ISO/IEC 27001 standard. The main objective of this proposal is to reduce existing weaknesses and ensure the comprehensive protection of data

handled by the Regional Government of Lambayeque. A study was conducted using a mixed- method approach, with a non-experimental, descriptive research design, and a sample of six

individuals was selected. As a result, 141 information assets were identified, grouped into 21 types of information assets belonging to the Regional Government of Lambayeque. Of these, 57.14% have high value, and 52.38% are highly critical. Additionally, 23.80% of the assets have low confidentiality, 0% have a low level of integrity, and 52.38% of the information assets are available 24 hours a day. Finally, it is concluded that the proposed model meets the minimum specifications and that the implementation of 15 types of technology-based controls, 11 types of organizational-level controls, and 5 types of human resources or personnel-level controls is feasible.