Implementación de controles según la NTP-ISO/IEC 27001:2014 en la gestión de accesos de la empresa Securitas S. A. C. en Lima 2021

Abstract

La siguiente tesis “Implementación de controles según la NTP-ISO/IEC 27001:2014 en la gestión de accesos de la empresa SECURITAS SAC en Lima 2021” tiene como objetivo definir e implementar los controles de acceso para la empresa SECURITAS SAC, se efectuó un análisis de brechas (GAP) para conocer el estado de cumplimiento en el uso de controles de acceso y el estado deseado, asimismo se realizó un análisis de riesgo encontrando las probabilidades que existen en la materialización de un posible ataque y el impacto. Esto se realizó tomando como base la Norma NTP-ISO/IEC 27001:2014, enfocada en el Anexo A9 – Control de Accesos. Esto debido a que SECURITAS SAC ha presentado casos que han afectado a las operaciones debido al no tener implementado correctamente una buena gestión de accesos en el área de administración de TI. La tesis menciona los conceptos teóricos y su metodología para el desarrollo de la misma. Se uso el muestreo no probabilístico y por conveniencia, utilizando herramientas de observación y registro en fichas con la validación de juicio de expertos para la muestra de 10 sistemas tomadas en distintos tiempos (Pre-test, Re-Test y Post-Test) con un enfoque cuantitativo. Se pudo observar que el nivel de grado de cumplimiento inicial está por debajo de lo necesario por lo cual la implementación logra incrementar el grado de madurez de controles a un nivel aceptable por la empresa a un estado “Gestionado” que representa a más del 75% dando como valido y funcional la implementación.

The following thesis "Implementation of controls according to the NTP-ISO / IEC 27001: 2014 in access management of the company SECURITAS SAC in Lima 2021" aims to define and implement access controls for the company SECURITAS SAC, a Gap analysis to know the state of compliance in the use of access controls and the desired state, a risk analysis was also carried out, finding the probabilities that exist in the materialization of a possible attack and the impact. This was done based on the NTP-ISO / IEC 27001: 2014 Standard, focused on Annex A9 - Access Control. This is due to the fact that SECURITAS SAC has presented cases that have affected operations due to not having correctly implemented good access management in the IT administration area. The thesis mentions the theoretical concepts and its methodology for its development. Non-probability and convenience sampling was used, using observation and recording tools in cards with the validation of expert judgment for the sample of 10 systems taken at different times (Pre-test, Re-Test and Post-Test) with a quantitative approach. It was observed that the initial level of compliance is below what is necessary, so the implementation manages to increase the degree of maturity of controls to an acceptable level for the company to a "Managed" state that represents more than 75% giving the implementation as valid and functional.