Sistema de Gestión de Seguridad de la Información basado en la Norma ISO/IEC 27003 para la Universidad Nacional de Cajamarca

Abstract

Asegurar la confidencialidad, la integridad y la disponibilidad de la información, se ha convertido en una de las tareas fundamentales del gobierno de las tecnologías de la información (TI) en las organizaciones, sobre todo, si los procesos críticos son soportados por tecnologías de la información. Para gestionar los riesgos operativos que resultan de la dependencia de las TI, se hace necesario la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). La presente tesis, propone un SGSI para dar seguridad a la información que se gestiona en los procesos críticos de la Universidad Nacional de Cajamarca (UNC), específicamente, en aquellos procesos que son la razón de ser de la entidad, como son; la gestión académica y la investigación. El marco de referencia teórico que se tomó como guía para el desarrollo de la propuesta fue la ISO/IEC 27003, norma que propone una metodología de implementación de un SGSI, y que, a su vez, se sustenta en las buenas prácticas y recomendaciones de las normas hermanas, ISO/IEC 27001 e ISO/IEC 27002. Para el análisis de riesgos de TI, que es una etapa crítica de la implementación del SGSI, se tomó como referencia la metodología española MagerIT. La validación de SGSI propuesto se realizó a través de un procedimiento no experimental, como una encuesta de satisfacción, aplicada a los usuarios de TI de la universidad. El análisis estadístico de los datos recopilados en la encuesta, que la propuesta de SGSI tiene un nivel aceptable para que pueda ser implementado.