Modelo de seguridad de la información para contribuir en la gestión de entidades de servicios de saneamiento del norte peruano

Abstract

El trabajo de investigación realizado, se focaliza en la exigencia de gestionar adecuadamente la Seguridad de la Información (en adelante SI) en las Entidades Prestadoras de Servicios de Saneamiento (EPS) del norte peruano, detectada luego del diagnóstico aplicado a una muestra de cuatro entidades del sector, donde se demostró que carecen de instrumentos para su gestión con el fin de asegurar la disponibilidad, integridad y confidencialidad de sus activos de información, además de no contar con estructuras (roles y áreas) que den soporte a la gestión de la SI. El objetivo general planteado fue proponer un modelo de SI basado en marcos de trabajo y estándares relacionados con la SI, para contribuir en la gestión de las EPS del norte peruano. El trabajo de investigación realizado es de tipo propositiva y descriptiva, de diseño no experimental. El contenido del modelo de SI propuesto se validó por juicio de expertos, logrando su aceptación, lo cual le permite ser aplicado en otras EPS del norte peruano. Asimismo, se comprobó la validez de la pertinencia del modelo de SI propuesto al aplicarse como caso de estudio en la Entidad Prestadora de Servicios de Saneamiento de Lambayeque (EPSEL S.A.), logrando identificar 165 riesgos, de los cuales se observó que existen 31 riesgos de magnitud extrema y 30 riesgos de magnitud alta, a los que se aplicaron 15 controles de seguridad, que fueron monitoreados para estimar su grado de cumplimiento, estableciéndose un plan de mejora continua con los 10 controles que cumplen parcialmente su desempeño.

The research work carried out focuses on the requirement to adequately manage Information Security (hereinafter SI) in the Sanitation Service Providing Entities (EPS) in northern Peru, detected after the diagnosis applied to a sample of four entities. of the sector, where it was demonstrated that they lack instruments for their management in order to ensure the availability, integrity and confidentiality of their information assets, in addition to not having structures (roles and areas) that support the management of the IS. . The general objective set was to propose an IS model based on frameworks and standards related to the IS, to contribute to the management of the EPS in northern Peru. The research work carried out is of a purposeful and descriptive type, with a non-experimental design. The content of the proposed IS model was validated by expert judgment, achieving its acceptance, which allows it to be applied in other EPSs in northern Peru. Likewise, the validity of the relevance of the proposed IS model was verified when applied as a case study in the Lambayeque Sanitation Services Provider Entity (EPSEL S.A.), managing to identify 165 risks, of which it was observed that there are 31 risks of extreme magnitude and 30 high magnitude risks, to which 15 security controls were applied, which were monitored to estimate their degree of compliance, establishing a continuous improvement plan with the 10 controls that partially comply with their performance.