Development of an ISMS for professional associations in the Lambayeque Region. Case Study: College of Engineering

Los colegios profesionales (CP) son instituciones autónomas con personería jurídica de derecho público interno, sin fines de lucro, creadas por ley, agrupan a los profesionales en el ámbito de su jurisdicción. La problemática radica en la falta de seguridad de la información (SI) en la organización, en la actualidad la información es un activo clave para las empresas, sin embargo no se resguarda de manera adecuada para cumplir con los objetivos estratégicos de la organización. La información es parte principal en los procesos, servicios y tecnologías en el sector público o privado; sin importar el tamaño; es vital cumplir con las características de la SI: confidencialidad, integridad, disponibilidad (CID), en general se suele actuar de manera reactiva, desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI), permitirá actuar en forma proactiva ante eventos que afecten la SI. Se analizó enfoques de estándares para gestionar la SI (ISO 27000, COBIT, ITIL, MAGERIT). Como objetivos de esta investigación culturizar a la alta dirección sobre SI, analizar las brechas, la identificación de los riesgos, identificar y evaluar los controles, y por ultimo plantear los proyectos de SI; finalmente se hace uso de la norma ISO 27001 en la aplicación al caso: Colegio de Ingenieros del Perú (CIP), implicó gestión de riesgos (GR), identificación de controles, normas, políticas y mejoras en los procesos de negocio definidos en el documento de alcance.Abstract : Professional associations (CP) are autonomous institutions with legal personality under public law, nonprofit, created by law; bring together professionals in the field of jurisdiction. The problem lies in the lack of information security (SI) in the organization, now the information is a key asset for companies, though not adequately safeguards to meet the strategic objectives of the organization. Information is principal and central part in processes, services and technologies in the public or private sector; regardless of size; is vital to meet the characteristics of the SI: confidentiality, integrity, availability (CID), the tendency is to act in a reactive way, develop a Management System Information Security (ISMS), allow to act proactively to events that affect the SI. It approaches standards were analyzed to manage the SI (ISO 27000, COBIT, ITIL, MAGERIT). It was proposed as targets for this research culturizar to top management on SI, analyze gaps, identification of risks, identify and assess controls, and finally prepare draft SI finally use is made of ISO 27001 in the application to the case: Departmental Council of Lambayeque Engineers Association of Peru (CIP), involved risk management (GR), identification of controls, standards, policies and improvements in business processes defined in the scoping document