Practica empresarial, propuesta de implementación de la norma técnica ntc-iso/iec Colombiana 27001 en el acueducto metropolitano de Bucaramanga AMB S.A. E.S.P

Abstract

El establecimiento de un Sistema de Gestión de la Seguridad de la Información SGSI en una empresa evidencia los procedimientos técnicos, políticas, controles organizacionales de forma estructurada, documentada, controlada y en mejora continua, este SGSI permite definir el nivel de riesgo de los activos de la información en una empresa y evitar los incidentes de la seguridad de la información. En este trabajo se realiza un estudio preliminar para determinar un prototipo del plan de implementación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 Requisitos para los Sistemas de Gestión de Seguridad de la Información en el Acueducto Metropolitano de Bucaramanga amb S.A. E.S.P, empresa prestadora del servicio de acueducto a más del 80 % de la zona metropolitana de Bucaramanga. Se realizó una auditoria interna diagnóstica para definir el estado de la seguridad de la información y generar un GAP, seguido a esto se llevó a cabo el análisis de riesgos y establecer una declaración de aplicabilidad inicial. Un SGSI facilita el análisis de los respectivos engranajes del panorama de la Seguridad de la Información en una empresa, los mecanismos para salvaguardar los activos de información y los sistemas que los procesan, en conjunto con las políticas y planes estratégicos de la empresa, lo anterior forma los principales objetos de estudio del presente proyecto en base a los resultados de la Auditoria Interna Diagnóstica realizada. Se propuso el planteamiento de controles a partir de los resultados arrojados de la auditoria, el análisis de riesgos y la declaración de aplicabilidad.