Sistema de gestión de seguridad de la información y su automatización a través de herramientas Open Source para mejorar el control de la seguridad en la Dirección Desconcentrada de Cultura de Lambayeque
Resumen
Esta investigación se enfoca en el diseño de un sistema de gestión de seguridad de la
información de la Dirección Desconcentrada de Cultura de Lambayeque, basándose
en la norma ISO 27001 e integrándose al modelo PDCA y a la metodología de gestión
de riesgos: Mehari, siendo el principal objetivo el aporte de herramientas de código
abierto para automatizar los controles necesarios para el soporte del sistema.
La acción inicial fue identificar la situación problemática con respecto al manejo de la
información en la institución, detectando bajos niveles de confidencialidad, integridad
y disponibilidad. El método utilizado para la obtención de datos fue mediante
encuestas a los colaboradores para luego realizar una evaluación de los procesos,
utilizando diagramas de flujo y notación BPMN.
Se utilizó el modelo PDCA para construir una ruta que precise las fases importantes
del sistema de gestión de seguridad y encamine la búsqueda de la mejora continua de
los procesos junto a la metodología MEHARI, que tiene una base de conocimiento
alineada a las normas ISO, con la que se realizó una evaluación detallada de los activos
con el uso de herramientas que incluyen una lista de más de 200 escenarios de riesgos,
adaptable a cualquier organización.
Después de la evaluación, se identificaron los riesgos más relevantes, se realizó el plan
de tratamiento de riesgos y se definieron los controles aplicables en la institución según
la norma ISO 27002. Como resultado, se han propuesto trece documentos entre
políticas y procedimientos para la descripción de las tareas y la implementación de
buenas prácticas en la institución, además de la configuración de tres herramientas de
código abierto para los controles de gestión de activos, respaldo informático y gestión
de incidentes. Cumpliendo con el objetivo establecido de mejorar el control de la
seguridad en la Dirección Descentralizada de Cultura de Lambayeque.