Analisis de riesgos de TI para la implementación de un sistema de seguridad de la informacion en el gobierno regional de Cajamarca.

Abstract

En la actualidad toda organización está obligada a implementar procesos para proteger la información del negocio y todo aquello que tenga relación con la creación y procesamiento de información. Y cuando hablamos de todo aquello que tenga relación nos referimos a personas, equipamiento, infraestructura que permiten convertir los datos en información que hoy en día es el valor más preciado para cualquier empresa. Para el desarrollo del presente proyecto profesional era imperativo utilizar una metodología de análisis de riesgos, como MAGERIT, OCTAVE, ISQ 27005, entre otras más; pues por un tema normativo exigido por la Oficina Nacional de Gobierno Elecrtronico e Informatica se ha utilizado la NTP-ISO/IEC 27005;2009 que más que una metodología es una guía que nos proporciona directrices para la gestión de riesgos en la seguridad de la información. Dando inicio al proceso metodológico se ha identificado los macro procesos del Gobierno Regional de Cajamarca y posterionnente centrarse en el proceso core del negocio (Gestión de Proyectos de Inversión Pública). Partiendo de un sub proceso se ha identificado los activos de información como son documentos, sistemas, equipos y personas; para luego centramos únicamente en los activos de TI relevantes para el proceso core. Se han definido los activos de TI más relevantes teniendo en cuenta los pilares de la seguridad de la información (Integridad/Confidencialidad/Disponibilidad), luego identificar y valorar amenazas y vulnerabilidades las cuales permitieron determinar los niveles de riesgos de los activos de información de TI. Finalmente, con ayuda de la NTP-ISO/IEC 27001 :2008 y NTP-ISO/IEC 17799:2007 se ha identificado los controles a implementar para cada riesgo identificado, ya es responsabilidad de la institución la implementación de cada uno de los controles.