Implementación de un sistema de gestión de riesgos de seguridad de la información en una entidad financiera peruana

Abstract

En este informe se llevó a cabo un análisis del Sistema de Gestión de Seguridad de la Información (SGSI) en una entidad financiera con el fin de evaluar la disponibilidad, integridad y confidencialidad de los activos de información según los controles implementados, los cuales cumplen con las normas establecidas por el regulador, la Superintendencia de Banca, Seguros y AFP (SBS). Se expondrá el resultado, describiendo la identificación de los riesgos de los activos a partir de las vulnerabilidades y amenazas detectadas en cada activo de información, con el propósito de fortalecer el Sistema de Gestión de Seguridad de la Información en la institución financiera. Para realizar esta implementación, se va a proponer un diagnóstico actual de cumplimiento de la seguridad de la información y de los riesgos tecnológicos, documentación que es requerida por la Resolución SBS N°-504 “Reglamento de Seguridad de la Información”. Se deberá considerar que la norma mencionada se basa en estándares que son internacionales como por ejemplo la ISO 27001, los cuales son fundamentales para establecer un marco de referencia en el SGSI. El proceso de este análisis e implementación incluye la evaluación de las políticas y procedimientos existentes, la revisión de controles técnicos y físicos, y la realización de pruebas para validar la efectividad de los controles. Además, se va a utilizar y establecer una metodología de análisis de riesgos que contempla la identificación de amenazas, la evaluación de vulnerabilidades y la determinación de la probabilidad e impacto sobre los riesgos que se identifiquen de los activos de Información. El objetivo de identificar estas debilidades o deficiencias y proponer los controles y medidas correctivas necesarios para fortalecer el SGSI.