Plan de implementación de un sistema de gestión de seguridad de información basado en la Norma ISO/IEC 27001:2017 para el proceso de viáticos del Instituto Oceanográfico y Antártico de la Armada

Abstract

El presente trabajo, describe el alcance y la expectativa de aplicar el diseño del Plan de Implementación de un Sistema de Gestión de Seguridad de Información, basado en la Norma ISO/IEC 27001:2017, considerando la Base Legal, situación actual del contexto, estado real frente a la seguridad de información, roles y responsabilidades, dirigido al proceso de viáticos del personal de Servidores y Trabajadores Públicos del Instituto Oceanográfico y Antártico de la Armada, que por necesidad Institucional deben desplazarse fuera de su domicilio y/o lugar habitual del trabajo, a cumplir tareas oficiales o desempeñar actividades inherentes a sus puestos. Con la metodología de análisis, evaluación y tratamiento de riesgos, se gestionó los posibles riesgos al proceso de viáticos, empleando la Guía para la Gestión de Riesgos ISO/IEC 27005:2008, identificando los activos de información que intervienen, por lo que, a través de un diagnóstico, se consideró su valoración en cuanto al impacto en la pérdida de la confiabilidad, integridad y disponibilidad de la información, así mismo se identificó las amenazas y vulnerabilidades que causan daño a los activos o a la Institución y revisión de los controles existentes para la seguridad de la información. El tratamiento de los riesgos es tomar decisiones frente a los riesgos existentes de acuerdo a la estrategia de la Institución, que deben ser aprobadas por la Máxima Autoridad, por lo que el Comité y Oficial de Seguridad evalúa y realiza v la selección de controles, que se encuentran incluidos en el Guía de la Norma ISO/IEC 27002:2017, en los niveles de riesgo alto, medio y bajo por la probabilidad de ocurrencia de las amenazas y vulnerabilidades, con la finalidad de administrar y gestionar ciertos criterios de contingencia y evaluación de riesgos para reducir, aceptar/retener, evitar o transferir los riesgos. Gracias a la implementación del Plan, se logrará brindar a los funcionarios y clientes, niveles apropiados de protección, procesamiento y almacenamiento, preservando la calidad, eficiencia y seguridad de la Información.