Diseño e implementación de un GGSI para el área de informática de la curaduría urbana segunda de pasto bajo la norma ISO/IEC 27001

Abstract

El gobierno nacional dispone mediante leyes y decretos que en las ciudades para el desarrollo urbano sean las curadurías urbanas o la oficina de planeación municipal las encargadas de otorgar licencias urbanísticas en todas sus modalidades.

Por lo tanto el Curador Urbano es un particular con función pública encargado de estudiar, tramitar y expedir licencias urbanísticas a todos los interesados que presenten solicitud de obtención de licencia. Su función es verificar el cumplimiento de las normas urbanísticas y de edificaciones vigentes, con autonomía en el ejercicio de sus funciones y responsable conforme a la ley.

Este proyecto se lleva a cabo para la Curaduría Urbana Segunda de Pasto la cual pretende cada día implementar políticas y controles de seguridad para proteger la información; mejorar la atención a sus clientes, brindándoles eficiencia y calidad en la prestación de su servicio y asegurar la continuidad del negocio.

Este trabajo tiene como objetivo fundamental, diseñar un SGSI para el área de informática de la Curaduría Urbana Segunda de Pasto bajo la Norma ISO/IEC 27001 con el fin de clasificar la información, identificar vulnerabilidades y amenazas en el área de informática; valorar los riesgos y con base en estos definir controles y políticas de seguridad que deben ser de conocimiento de la empresa, instrucciones de los procedimientos a realizarse y la documentación que se debe desarrollar en todo el proceso para la posterior implementación del SGSI, aplicando el modelo PHVA (Planificar, hacer, verificar y actuar).

Como primera medida se recolecta información de la curaduría a través de la observación, la técnica de la encuesta y una prueba de tráfico de red que permiten tener una idea general del manejo de la seguridad en la organización.

Seguidamente se realiza un análisis de riesgos paso a paso desarrollando el inventario de activos, la valoración cualitativa de los activos, identificación de amenazas, identificación de salvaguardas para los activos, valoración y evaluación del riesgo y el informe de calificación del riesgo, que permiten identificar los riesgos más apremiantes a los que está expuesta la empresa.

Posteriormente se definen las políticas y controles de seguridad, que tienen como finalidad contribuir a la disminución de riesgos de los elementos del área de informática y fortalecer la seguridad con medidas que se ven reflejadas en la empresa y a sus clientes en la prestación de un servicio ágil, eficiente, eficaz y con calidad. Finalmente se realiza la primera fase de la implementación que es el plan de gestión del riesgo donde se concreta de forma clara cómo se va a actuar en el control de los riesgos, se identifica los controles seleccionados, los responsables y el tiempo. Listo para ser adoptado por la Curaduría Segunda cuando el Curador lo desee.