Implementación de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001:2013 para la Dirección de Tecnologías de Información de la Universidad Nacional Micaela Bastidas de Apurímac, 2018

Abstract

La presente tesis tuvo como objetivo principal contribuir a mejorar el nivel de la seguridad de la información en la Dirección de Tecnologías de Información de la Universidad Nacional Micaela Bastidas de Apurímac implementando el Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001:2013. La Dirección de Tecnologías de Información de la UNAMBA es la encargada de administrar las tecnologías y la información por lo que también tiene el deber de salvaguardar los activos informáticos que se encuentran bajo su responsabilidad, pero no cuenta con ningún plan, norma ni directiva que le permita resguardar la información de una manera correcta, es por ello que se propuso la implementación de un sistema de gestión de seguridad de la información basado en la norma ISO/IEC 27001:2013, esta norma nos permite el aseguramiento de la confidencialidad, disponibilidad e integridad de la información, así como de los sistemas que manejan. En la presente tesis la metodología empleada fue de tipo de investigación aplicada, con un nivel de investigación explicativo y diseño de investigación pre experimental. La metodología para el diseño del Sistema de Gestión de Seguridad de la Información, se utilizó el método Deming PDCA (Plan, Do, Check, Act), la cual consiste en la identificación de los activos informáticos y a partir de ello realizar el análisis y gestión de riesgos para luego establecer acciones de respuesta (controles) para mitigar los riesgos a los que se encuentran expuestos, realizar las políticas de seguridad de información y así también el sistema de gestión de Incidentes SOPORTETICK para poder controlar y mejorar la seguridad de la información de la Dirección de Tecnologías de Información. Para la realización de análisis y gestión de riesgos se usó la metodología MAGERIT III. Como resultados del trabajo de investigación, se obtuvo que el nivel de riesgos de seguridad antes de la implementación de los controles era de un 86.15% para luego obtener 11.15% por lo que se indica que hubo una disminución de 75%. Así mismo se indica que hubo un incremento de los controles de seguridad ya que antes de realizar el plan de tratamiento de riesgos se obtuvo solo 18(15.78%) controles pero luego se incrementó a 65(57.01%) controles lo que representa un aumento de 41.23%. Además hubo una mejora en el nivel de capacitación en temas de seguridad de la información en los usuarios de la DTI ya que antes de la implementación del SGSI solo el 48% de los encuestados tenían conocimiento sobre seguridad de información pero luego ascendió a un 95%.