Análisis del sistema de gestión de la seguridad de la información y controles de seguridad de la información basada en la ISO/IEC 27002 en el municipio de Tulcán

Abstract

La presente investigación analiza los procesos realizados dentro del Departamento de Sistemas del municipio de Tulcán basados en la norma ISO/IEC 27002, debido a las limitaciones en temas de seguridad de la información se han implementado escasos controles de seguridad que puede afectar a la confidencialidad, disponibilidad e integridad de la información, al no garantizar la protección necesaria se realiza un análisis por medio de instrumentos de investigación, aplicados directamente a funcionarios del área, al jefe del departamento y a dos funcionarios para corroborar la información, y la observación en base a una matriz de controles del esquema gubernamental de seguridad de la información, este proceso permitió conocer de manera detallada las deficiencias que se contemplan dentro de los 14 dominios, 35 objetivos de control y 114 controles existentes en la normativa. Además, dentro de la metodología el enfoque mixto facultó el análisis de la documentación y fundamentación teórica para la aplicación de un plan de mitigación de riesgos tecnológicos tomando como referencia los hallazgos obtenidos por medio de la metodología de implementación del sistema de gestión de la seguridad de la información, PHVA, planear, hacer, verificar y actuar; se emitió un informe de resultados con el porcentaje cumplimiento que el área tiene actualmente, el que permite desarrollar posteriormente la matriz de riegos tomando en cuenta el porcentaje de probabilidad e impacto. Finalmente, se estableció estrategias de mitigación de riesgos internos y externos con potenciales amenazas que pueden efectuarse, determinando controles que se pueden poner en práctica a determinados sucesos.