Sistema de gestión de seguridad de la información y riesgos de información en seis sedes de una entidad bancaria del Perú

Abstract

RESUMEN En la presente investigación se analizaron y se evaluaron los niveles del riesgo que cuentan seis sedes de una entidad bancaria del Perú en el periodo de investigación de setiembre del 2016 a setiembre del 2017, así como la propuesta realizada sobre la implementación del sistema de gestión de seguridad de la información bajo la norma ISO/IEC 27001:2005 y las etapas del modelo Deming (Plan-Do-Check-Act) y que pueda ser aplicado, mantenido y auditado por la misma entidad, el cual garantiza que se logren los objetivos de la herramienta de seguridad y beneficiar a la empresa en la protección de sus activos, el cual permitirá el cumplimiento de las normas de manera eficiente para la protección de los activos de información. Para lo cual, la metodología de investigación utilizada fue la de un diseño descriptivo puesto que nos enfocamos en el uso de cuadros y gráficos estadísticos por toda la información recopilada en los usuarios del banco intervinientes en los procesos seleccionados de la investigación. Investigación que cuenta con resultados favorables para el diseño puesto que con la propuesta de la herramienta de seguridad se encontraron niveles de riesgos medios y altos (72% de riesgos en las áreas de estudio) que son los ideales para realizar la implementación de un sistema de gestión de seguridad de la información en las áreas de Seguridad, Usuarios de banca, TI, Sistemas, Helpdesk, observando en algunos casos que no cuentan con capacitaciones en seguridad de información, con los hallazgos obtenidos se demostró a la Alta Gerencia que el análisis y la evaluación de los riesgos deben ser mitigados o transferidos a un tercero de ser el caso estableciendo políticas de seguridad. En la fase de ejecución del sistema de gestión de seguridad de la información la alta gerencia debe poner mucho énfasis para que la herramienta de seguridad pueda mantenerse y ser monitoreada por especialistas en seguridad con el fin de preservar la confidencialidad, disponibilidad e integridad de los activos. Estos activos se encuentran dentro de la propuesta, pues su fin es mejorar la seguridad en los procesos seleccionados de la entidad bancaria ya que se consideró que son los procesos más importantes en la entidad bancaria, del cual se realizó la propuesta en 6 de sus sedes principales y se demostró que es factible la propuesta para tomar acciones sobre la implementación en los procesos y que la entidad bancaria esté al nivel que las demás organizaciones se encuentran con esta herramienta ya implementada. PALABRAS CLAVE: sistema de gestión de seguridad de la información, política de seguridad, activos, disponibilidad, confidencialidad, integridad, riesgos de información.

ABSTRACT In the present investigation, the risk levels of six agencies of a bank in Peru of the research period from september 2016 to september 2017, were analyzed and evaluated, as well as the proposal made on the implementation of the information security management system under ISO / IEC 27001: 2005 And the stages of the Deming (Plan-Do-Check-Act) model that can be applied, maintained and audited by the same entity, which guarantees that the objectives of the safety tool are achieved and benefit the company in the protection Of its assets, which will enable compliance with the rules in an efficient manner for the protection of assets. For this, the research methodology used was that of a descriptive design since we focused on the use of tables and statistical graphs for all the information collected in the users of the bank involved in the selected processes of the investigation. The research that has favorable results for the design since with the proposal of the security tool were found high risk levels (72% of risks in the study areas) that are the ideal ones to realize the implementation of the information security management system in the areas of Security, Banking users, IT, System and Helpdesk, noting in some cases that they do not have training in information security, with the findings obtained it was demonstrated to the High Direction that the analysis and evaluation of the risks should be mitigated or transferred to a third party, if necessary by establishing security polices. In the execution phase of the information security management system, High Direction must put a lot of emphasis so that the security tool can be maintained and monitored by security specialists in order to preserve the confidentiality, availability and integrity of the assets. These assets are within the proposal, as their purpose is to improve security in the selected processes of the bank as it was considered to be the most important processes in the bank, from which the proposal was made in 6 of its agencies And it was demonstrated that it is feasible the proposal to take actions on the implementation in the processes and that the bank is at the level that the other organizations are with this tool already implemented. KEYWORDS: security policy, assets, availability, confidentiality, integrity, information risks.