2024 Tspusil Alonsoechevarria Revisado

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 64

FACULTAD DE INGENIERÍA

Carrera de Ingeniería Empresarial y de Sistemas

IMPLEMENTACIÓN DE LA ISO 27001 PARA LA GESTION DE LA SEGURIDAD


DE LA INFORMACIÓN EN LA EMPRESA MAPFRE PERÚ

Trabajo por Suficiencia Profesional para optar el Título


Profesional de Ingeniero Empresarial y de Sistemas

ANGEL ALONSO ECHEVARRIA PEREZ


(0009-0007-4201-6341)

JUAN CRISTIAN MARTINEZ SORIA


(0009-0006-0191-4148)

Asesor:
Dr. Marco Antonio Salcedo Huarcaya
(0000-0002-7831-4056)

Lima – Perú
2024
ii

DEDICATORIA

Dedicamos este trabajo a nuestros


padres e hijos por ser la fuente de inspiración
a seguir superándonos con sacrificio y
esfuerzo a lo largo de toda nuestra carrera
profesional; mucho de los logros, metas se
deben su influencia y soporte.
iii

AGRADECIMIENTO

A la empresa MAPFRE PERÚ y jefes,


por su apoyo permitiéndonos darnos acceso a
la información de la compañía para la
elaboración de este trabajo, permitiéndonos
desarrollarnos profesionalmente, a mis
nuestros colegas que con su apoyo nos
permiten avanzar para cumplir con nuestras
metas y a nuestro asesor por sus
recomendaciones, compartiendo su
experiencia para la realización de este trabajo
profesional.
iv
TABLA DE CONTENIDO

DEDICATORIA....................................................................................................................2

AGRADECIMIENTO...........................................................................................................3

TABLA DE CONTENIDO...................................................................................................4

LISTA DE TABLAS.............................................................................................................5

LISTA DE FIGURAS...........................................................................................................6

RESUMEN............................................................................................................................8

ABSTRACT..........................................................................................................................9

INTRODUCCIÓN...............................................................................................................10

CAPÍTULO I: GENERALIDADES DE LA EMPRESA...................................................12

Ubicación de la empresa......................................................................................................13

Giro de la empresa...............................................................................................................13

Tamaño de la empresa.........................................................................................................14

Breve reseña histórica de la empresa..................................................................................15

Organigrama de la empresa.................................................................................................16

Misión, Visión y Política.......................................................................................................5

Productos y clientes...............................................................................................................6

Relación de la empresa con la sociedad................................................................................9

CAPÍTULO II: PLANTEAMIENTO DEL PROBLEMA..................................................12

Contexto..............................................................................................................................12

Problema Identificado.........................................................................................................12

2.1 Caracterización del área................................................................................................15

2.2 Contextualización y definición del problema................................................................21

2.3 Objetivos.......................................................................................................................31

2.4 Justificación...................................................................................................................38

2.5 Alcances y limitaciones.................................................................................................43

2.5.2 Limitaciones...............................................................................................................46
v
vi

LISTA DE TABLAS

Tabla 1.
vii

LISTA DE FIGURAS

Figura 1. Logo de la empresa Mapfre Perú Compañía de seguros y reaseguros....................1


Figura 2. Mapa de ubicación de la empresa Mapfre Perú.....................................................2
Figura 3. Organigrama de la empresa Mapfre Perú..............................................................4
Figura 4. Organigrama del área de Tecnología......................................................................6
viii

RESUMEN

El objetivo de este proyecto fue implementar un sistema de gestión de la seguridad de la


información (SGSI) para la empresa MAPFRE PERÚ de conformidad con las normas ISO/IEC
27001, salvaguardando activos de información contra las amenazas externas e internas certificando
su confidencialidad, integridad y disponibilidad. La información es el principal activo de la
empresa, estos lineamientos ayudaron a las diversas áreas (Pendiente sacar todas las áreas) de la
compañía a mantener la información segura, protegiendo los datos. La implementación de un
sistema de gestión o SGCI basado en la ISO 27001 permitió beneficiarnos de la adopción de
mejores prácticas del mercado y de la industria en todo el mundo para la seguridad de la
información, ello permitió aplicar conjunto de políticas procedimientos, guías, recursos y
actividades asociadas con un enfoque sistemático que nos ayudó a gestionar y proteger la
información de nuestra compañía, gen, reduciendo el riesgo de tener un incidente de seguridad,
generando sensibilización del personal en relación a la importancia de la correcta manipulación de
la información.

Palabras claves:
ix

ABSTRACT

The objective of this project was to implement an information security management system
(ISMS) for the company MAPFRE PERÚ in accordance with ISO/IEC 27001 standards,
safeguarding information assets against external and internal threats, certifying their
confidentiality, integrity and availability. Information is the main asset of the company, these
guidelines helped the various areas (Pending all areas) of the company to keep the information
safe, protecting the data. The implementation of a management system or QMS based on ISO
27001 allowed us to benefit from the adoption of best market and industry practices around the
world for information security, which allowed us to apply a set of policies, procedures, guides,
resources. and activities associated with a systematic approach that helped us manage and
protect our company's information, gen, reducing the risk of having a security incident,
generating staff awareness regarding the importance of correct handling of information.

Keyworks:
x

INTRODUCCIÓN

En un mundo cada vez más digitalizado, la seguridad de la información se ha


convertido en una prioridad esencial para las organizaciones. La protección de los datos no solo
garantiza la confidencialidad, integridad y disponibilidad de la información, sino que también
fortalece la confianza de los clientes, socios y partes interesadas. En este contexto, la norma ISO
27001 se ha consolidado como el estándar internacional de referencia para la gestión de la
seguridad de la información, proporcionando un marco sistemático y proactivo para identificar,
evaluar y mitigar los riesgos asociados.
MAPFRE Perú, consciente de la importancia de proteger su valioso capital
informativo y de cumplir con las exigencias regulatorias y del mercado, ha decidido
implementar la norma ISO 27001 en sus procesos de gestión de la seguridad de la
información. Esta iniciativa no solo busca asegurar la protección de los datos de la
empresa y de sus clientes, sino también mejorar continuamente sus procedimientos y
prácticas en un entorno dinámico y en constante evolución.
La implementación de la ISO 27001 en MAPFRE Perú representa un compromiso
firme con la excelencia operativa y la seguridad. A través de este proyecto, se establecerán
políticas y controles robustos, se promoverá una cultura organizacional orientada a la
seguridad y se garantizará que todos los empleados comprendan y adopten las mejores
prácticas en la protección de la información.

Este documento describe el enfoque adoptado por MAPFRE Perú para la


implementación de la norma ISO 27001, detallando las fases del proyecto, los objetivos
perseguidos, los beneficios esperados y las lecciones aprendidas durante el proceso. Al adoptar
este estándar internacional, MAPFRE Perú reafirma su liderazgo en el sector y su compromiso
con la innovación y la seguridad, contribuyendo a un entorno de negocios más seguro y
confiable.
Desde el año 2022 se tuvo la iniciativa para revisar el estado de los activos de la
compañía empezando por el Corporativo (España), donde el equipo de Proyectos trabajó
formalizando y documentando los procesos para la prevención, corrección de
vulnerabilidades, basado en la norma ISO 27001.

Para ello se conformó un equipo de Dirección Corporativa de Seguridad, que se encargó


de realizar revisiones de seguridad y coordinaba con los responsables de los activos para su
corrección, para ello e implementaron métricas, mapas de calor, que permitieron que el trabajo
sea medible, visible para la Dirección Corporativa de TI.
1

CAPÍTULO I: GENERALIDADES DE LA EMPRESA

1.1 Datos generales


MAPFRE Perú es una filial del Grupo MAPFRE, una aseguradora global con una
presencia significativa en los mercados de Europa, América Latina, América del Norte y Asia.
Fundada en 1933 en España, MAPFRE ha crecido hasta convertirse en uno de los principales
grupos aseguradores del mundo, con un fuerte enfoque en la innovación, el servicio al cliente y
la sostenibilidad.

En Perú, MAPFRE opera desde 1995, ofreciendo una amplia gama de productos y
servicios en los sectores de seguros generales, de vida y salud, así como en soluciones
financieras y de ahorro. La empresa se ha destacado por su compromiso con la calidad y la
excelencia en el servicio, lo que le ha permitido ganar la confianza de millones de clientes a lo
largo de los años.

1.2 Nombre o razón social de la empresa Empresa: Mapfre Perú Compañía de


seguros y reaseguros
Ruc: 20202380621

Logotipo de la empresa:

Figura 1

Logo de la empresa Mapfre Perú Compañía de seguros y reaseguros.

Nota. Logo de la empresa 2024.


1

1.3 Ubicación de la empresa

Dirección: Av. Armendariz 345, Miraflores, región de Lima y departamento de Lima

Central telefónica: 012133333

Figura 2

Mapa de ubicación de la empresa Mapfre Perú.

Nota. recuperado de google maps.

Giro de la empresa

MAPFRE Perú se dedica a la prestación de servicios de seguros y reaseguros, así como


a ofrecer soluciones financieras y de inversión. Su amplia gama de productos y servicios está
diseñada para satisfacer las necesidades de individuos, familias y empresas en diversas áreas de
protección y gestión de riesgos. A continuación, se detallan los principales sectores en los que
MAPFRE Perú opera:
Seguros de Vida y Salud
MAPFRE Perú ofrece una variedad de seguros generales que cubren diferentes
tipos de riesgos para individuos y empresas, incluyendo:

- Seguros de Automóviles: Coberturas para daños propios, responsabilidad civil, robos y


asistencia en carretera.

- Seguros de Hogar: Protección contra incendios, robos, desastres naturales y daños a la


1
propiedad.

- Seguros para Empresas: Coberturas para riesgos industriales, comerciales y de


responsabilidad civil.

- Seguros de Viaje: Protección integral para viajes nacionales e internacionales,


incluyendo asistencia médica y repatriación.

Seguros de Vida y Salud

En el ámbito de los seguros de vida y salud, MAPFRE Perú proporciona productos


diseñados para proteger el bienestar y la seguridad financiera de sus clientes:

- Seguros de Vida: Planes de vida individuales y colectivos que ofrecen cobertura


en caso de fallecimiento, invalidez y enfermedades graves.
- Seguros de Salud: Planes de salud que cubren gastos médicos, hospitalarios y
tratamientos especializados.
- Planes de Ahorro y Pensiones: Soluciones para la planificación financiera a largo
plazo, incluyendo fondos de pensiones y seguros de ahorro.

Soluciones Financieras
MAPFRE Perú también ofrece una serie de productos financieros que ayudan a sus
clientes a gestionar y optimizar sus inversiones y ahorros:

- Productos de Inversión: Opciones de inversión que buscan maximizar el


rendimiento del capital.
- Planes de Ahorro: Programas de ahorro a corto y largo plazo, adaptados a las
necesidades y objetivos financieros de los clientes.

Reaseguros

Como parte de su estrategia global, MAPFRE Perú también participa en el negocio


de reaseguros, proporcionando capacidad y cobertura a otras compañías de seguros para
gestionar mejor sus riesgos y exposición.

Tamaño de la empresa
1
MAPFRE distribuye sus productos a través de oficinas de entidades bancarias y otros
puntos de venta que comercializan los seguros del grupo a través de acuerdos de colaboración.
El grupo dispone de una red de 34.000 empleados y distribuye sus productos a través de
Internet. La actividad del Grupo se desarrolla a través de cuatro unidades de negocio: Seguros,
Asistencia, Global Risks y Reaseguro.

Breve reseña histórica de la empresa

MAPFRE Perú se estableció en 1995 como parte de la expansión internacional del


Grupo MAPFRE, una aseguradora española fundada en 1933. El Grupo MAPFRE, inicialmente
conocido como "Mutualidad de la Agrupación de Propietarios de Fincas Rústicas de España",
fue creado por un grupo de propietarios agrícolas con el objetivo de ofrecer seguros mutuales en
España. Los accionistas fundadores del Grupo MAPFRE fueron propietarios agrícolas y
cooperativas agrarias que buscaban una forma de gestionar sus riesgos de manera conjunta.

Expansión y Crecimiento

A lo largo de las décadas, MAPFRE experimentó un notable crecimiento,


expandiendo sus operaciones más allá de los seguros agrarios para incluir una
amplia gama de productos aseguradores y financieros. En la década de 1980, el
Grupo MAPFRE inició su expansión internacional, estableciendo filiales en
América Latina, Europa, América del Norte y Asia.

MAPFRE Perú fue una de las filiales clave en esta estrategia de


internacionalización. Desde su fundación, la empresa ha crecido
significativamente en el mercado peruano, ofreciendo productos y servicios
innovadores y ganando la confianza de miles de clientes.

Accionistas Actuales

Actualmente, MAPFRE Perú es una subsidiaria de MAPFRE S.A., la


entidad matriz del Grupo MAPFRE. MAPFRE S.A. cotiza en la Bolsa de Madrid
1
y tiene una estructura de accionariado diversificada. Los principales accionistas
incluyen instituciones financieras, fondos de inversión y accionistas individuales.
La Fundación MAPFRE, una entidad sin ánimo de lucro que promueve diversas
iniciativas sociales y culturales, también posee una participación significativa en
el capital de MAPFRE S.A.

Organigrama de la empresa

La empresa Mapfre Perú cuenta con un organigrama vertical las cuales las áreas están
divididas de la siguiente forma.
4

Figura 3
Organigrama de la empresa Mapfre Perú.
5

Misión, Visión y Política

La misión de MAPFRE Perú es ofrecer soluciones aseguradoras innovadoras y de


calidad que aporten valor a sus clientes, accionistas, empleados y a la sociedad en general.
La empresa busca proteger y mejorar la calidad de vida de las personas, así como
fomentar el desarrollo sostenible y responsable en todas sus actividades.

La visión de MAPFRE Perú es ser la aseguradora de referencia en el mercado peruano,


reconocida por su liderazgo, solidez, y compromiso con el bienestar de sus clientes y la
comunidad. La empresa aspira a mantener un crecimiento rentable y sostenible, basándose en la
innovación y en la mejora continua de sus procesos y servicios

Valores

Los valores fundamentales que guían las operaciones de MAPFRE Perú incluyen:

- Integridad: Actuar con honestidad y transparencia en todas las interacciones.


- Compromiso: Dedicar esfuerzos y recursos para cumplir con las expectativas de
los clientes y las partes interesadas.
- Innovación: Promover la creatividad y la búsqueda constante de nuevas
soluciones y mejoras.
- Excelencia: Buscar la máxima calidad en todos los productos y servicios
ofrecidos.
- Sostenibilidad: Fomentar prácticas responsables y sostenibles que contribuyan al
bienestar social y ambiental.
6

Productos y clientes

1. Líneas de Productos y Servicios

MAPFRE Perú ofrece una amplia gama de productos y servicios en los sectores de
seguros y soluciones financieras. Estos productos están diseñados para satisfacer las
necesidades de diversos segmentos del mercado, desde individuos y familias hasta pequeñas,
medianas y grandes empresas.

Seguros Generales

2. Seguros de Automóviles

o Cobertura contra daños propios, robos, incendios y responsabilidad civil.

o Servicios adicionales como asistencia en carretera, vehículo de sustitución

y protección jurídica.

3. Seguros de Hogar

o Protección contra incendios, robos, daños por agua, desastres naturales y

responsabilidad civil.

o Cobertura de bienes y contenidos del hogar.

4. Seguros para Empresas

o Seguros comerciales para pequeñas, medianas y grandes empresas.

o Cobertura de riesgos industriales, responsabilidad civil empresarial,

protección de activos y daños a la propiedad.


7

5. Seguros de Viaje

o Cobertura integral para viajes nacionales e internacionales.

o Asistencia médica, repatriación, pérdida de equipaje y cancelación de

viajes.

Seguros de Vida y Salud

1. Seguros de Vida

o Planes de vida individuales y colectivos.

o Cobertura en caso de fallecimiento, invalidez y enfermedades graves.

2. Seguros de Salud

o Cobertura de gastos médicos, hospitalarios y tratamientos especializados.

o Planes de salud individuales y familiares.

3. Planes de Ahorro y Pensiones

o Soluciones para la planificación financiera a largo plazo.

o Fondos de pensiones y seguros de ahorro.

Soluciones Financieras

1. Productos de Inversión

o Opciones de inversión diseñadas para maximizar el rendimiento del capital.


8
o Fondos de inversión, bonos y otros instrumentos financieros.

2. Planes de Ahorro

o Programas de ahorro a corto y largo plazo adaptados a las necesidades y

objetivos financieros de los clientes.

Reaseguros
o Provisión de capacidad y cobertura a otras compañías de seguros para

gestionar mejor sus riesgos y exposición.


9

Relación de la empresa con la sociedad

1. Responsabilidad Social Empresarial (RSE)

Estas actividades la realizan en conjunto con el área de relaciones comunitarias MAPFRE


Perú cuenta con una política de Responsabilidad Social Empresarial (RSE) robusta y bien
definida, que refleja su compromiso con el bienestar de la comunidad y el desarrollo sostenible.
La empresa entiende que su éxito a largo plazo está intrínsecamente ligado al bienestar de la
sociedad en la que opera, y por ello, desarrolla una serie de iniciativas y programas destinados a
generar un impacto positivo en diferentes ámbitos.

Principales Áreas de Actuación en RSE

2. Educación y Cultura

o Programas Educativos: MAPFRE Perú apoya proyectos educativos que

buscan mejorar la calidad de la educación y facilitar el acceso a

oportunidades de aprendizaje para niños y jóvenes en comunidades

vulnerables.

o Becas y Capacitación: La empresa otorga becas y realiza programas de

capacitación para fomentar el desarrollo profesional y personal de los

jóvenes y adultos.

3. Salud y Bienestar

o Campañas de Salud: MAPFRE Perú organiza y financia campañas de

salud pública que incluyen jornadas médicas, programas de vacunación y

talleres de promoción de la salud.


10

o Apoyo a la Infraestructura Sanitaria: La empresa contribuye a mejorar

la infraestructura sanitaria en comunidades necesitadas, apoyando la

construcción y equipamiento de centros de salud.

4. Medio Ambiente

o Proyectos de Reforestación: MAPFRE Perú participa en proyectos de

reforestación y conservación de áreas naturales, promoviendo la

biodiversidad y la sostenibilidad ambiental.

o Gestión de Residuos: La empresa implementa prácticas de gestión de

residuos y reciclaje en sus operaciones, y promueve la conciencia

ambiental entre sus empleados y la comunidad.

5. Inclusión y Diversidad

o Inclusión Social: MAPFRE Perú desarrolla programas que fomentan la

inclusión social de personas en situación de vulnerabilidad, incluyendo

personas con discapacidad, minorías étnicas y comunidades rurales.

o Igualdad de Género: La empresa promueve la igualdad de género en el

lugar de trabajo y en sus programas comunitarios, apoyando iniciativas que

empoderan a las mujeres y fomentan la igualdad de oportunidades.

6. Desarrollo Comunitario

o Voluntariado Corporativo: MAPFRE Perú alienta a sus empleados a

participar en actividades de voluntariado, proporcionando tiempo y

recursos para apoyar proyectos comunitarios.


11

o Apoyo a Emprendedores: La empresa ofrece programas de apoyo y

mentoría a emprendedores locales, ayudándoles a desarrollar sus negocios

y contribuir al crecimiento económico de sus comunidades.

7. Impacto de la Interacción con la Sociedad

Las prácticas de RSE de MAPFRE Perú han generado un impacto significativo en diversas áreas:

o Mejora de la Calidad de Vida: A través de sus programas de salud y

educación, MAPFRE Perú ha contribuido a mejorar la calidad de vida de

miles de personas en comunidades vulnerables.

o Promoción de la Sostenibilidad: Los proyectos ambientales y las

prácticas sostenibles de la empresa han promovido la conservación del

medio ambiente y la adopción de hábitos responsables en la comunidad.

o Fortalecimiento del Tejido Social: Las iniciativas de inclusión y apoyo al

desarrollo comunitario han fortalecido el tejido social, promoviendo la

cohesión y la solidaridad en las comunidades donde MAPFRE Perú opera.

o
12

CAPÍTULO II: PLANTEAMIENTO DEL PROBLEMA

Contexto

MAPFRE Perú, como parte del Grupo MAPFRE, es una aseguradora líder en el
mercado peruano que ofrece una gama diversa de productos y servicios en seguros y soluciones
financieras. La empresa ha experimentado un crecimiento significativo y ha consolidado su
posición en el mercado. Sin embargo, en un entorno altamente competitivo y en constante
cambio, enfrenta varios desafíos que requieren atención estratégica para asegurar su continuidad
y éxito.

Problema Identificado

1. Amenazas a la Seguridad de la Información

Con el aumento de la digitalización y el uso de tecnologías avanzadas, MAPFRE Perú


enfrenta crecientes amenazas a la seguridad de la información. Los riesgos incluyen:

o Ciberataques y Brechas de Seguridad: La empresa es vulnerable a

ciberataques que podrían comprometer datos sensibles de clientes y

operaciones internas.

o • Cumplimiento Normativo: La necesidad de cumplir con

regulaciones nacionales e internacionales de protección de datos es cada

vez más estricta.


13
o Protección de Datos Personales: El manejo seguro de información

personal es crucial para mantener la confianza de los clientes y evitar

sanciones legales.
14

2. Adaptación a la Innovación y Transformación Digital

La rapidez en la evolución tecnológica presenta desafíos y oportunidades:

o Integración de Nuevas Tecnologías: La empresa debe integrar

tecnologías emergentes como la inteligencia artificial y el análisis de big

data en sus operaciones para mantenerse competitiva.

o Transformación de Procesos: La modernización de procesos tradicionales

y la adaptación a nuevos modelos de negocio digitales son esenciales para

mejorar la eficiencia y la experiencia del cliente.

3. Competencia en el Mercado Asegurador

El mercado asegurador peruano es altamente competitivo, con la presencia de

múltiples actores que ofrecen productos similares:

o Diferenciación de Productos: MAPFRE Perú necesita diferenciar sus

productos y servicios para atraer y retener clientes en un mercado saturado.

o Innovación en Productos: El desarrollo de nuevos productos y servicios

que respondan a las cambiantes necesidades de los clientes es fundamental

para mantenerse relevante.

4. Gestión de la Responsabilidad Social y Sostenibilidad

La creciente preocupación por el impacto social y ambiental de las empresas exige

una gestión efectiva de la responsabilidad social:


15
o Implementación de Proyectos de RSE: La empresa debe asegurar que sus

iniciativas de responsabilidad social empresarial (RSE) sean efectivas y

alineadas con sus objetivos corporativos.

o Impacto y Medición: Es importante medir y comunicar el impacto de las

acciones de RSE para demostrar el valor generado para la comunidad y

fortalecer la reputación de la empresa.

5. Retención y Desarrollo del Talento

La capacidad de atraer, retener y desarrollar talento es crucial para el éxito de

MAPFRE Perú:

o Desarrollo Profesional: La empresa debe ofrecer oportunidades de

crecimiento y capacitación para mantener a sus empleados motivados y

comprometidos.

o Competitividad en el Mercado Laboral: La competencia por talento en el

sector asegurador requiere estrategias efectivas de reclutamiento y

retención.

o Enfoque Propuesto

Para abordar estos problemas, MAPFRE Perú debe:

1. Fortalecer su Estrategia de Seguridad de la Información:

Implementar soluciones avanzadas de ciberseguridad, mejorar los

protocolos de protección de datos y asegurar el cumplimiento de las

normativas vigentes.
16
2. Acelerar la Transformación Digital: Adoptar tecnologías

emergentes, modernizar procesos internos y desarrollar productos digitales

innovadores que mejoren la experiencia del cliente.

3. Innovar y Diferenciar sus Productos: Realizar investigaciones de

mercado para identificar necesidades no satisfechas y desarrollar productos

y servicios diferenciados.

4. Optimizar la Gestión de RSE: Implementar proyectos de RSE con

un enfoque estratégico, medir el impacto y comunicar los resultados a los

stakeholders.

5. Fomentar el Desarrollo del Talento: Ofrecer programas de

formación continua, desarrollar planes de carrera y crear un entorno laboral

atractivo para retener a los mejores profesionales.

2.1 Caracterización del área

1. Principales Funciones del Área de Seguridad de la Información

El área de Seguridad de la Información en MAPFRE Perú se encarga de

proteger la confidencialidad, integridad y disponibilidad de la información

y los sistemas de la empresa. Sus principales funciones incluyen:

2. Gestión de Riesgos de Seguridad de la Información

o Identificación, evaluación y mitigación de riesgos asociados con la

información.

o Implementación de controles y medidas de seguridad para reducir riesgos.


17
3. Cumplimiento Normativo

o Asegurar el cumplimiento de leyes y regulaciones relacionadas con la

protección de datos y seguridad de la información.

o Realización de auditorías internas y externas para verificar el

cumplimiento.

4. Protección de Datos Personales

o Implementación de políticas y procedimientos para proteger la información

personal de clientes y empleados.

o Gestión de incidentes relacionados con la seguridad de datos.

5. Desarrollo e Implementación de Políticas de Seguridad

o Creación y actualización de políticas y procedimientos de seguridad de la

información.

o Asegurar que las políticas sean seguidas por todos los empleados y

departamentos.

6. Capacitación y Concienciación

o Formación continua para empleados sobre prácticas de seguridad de la

información.
18
o Promoción de una cultura de seguridad a través de campañas de

concienciación.

7. Gestión de Incidentes y Respuesta a Brechas

o Monitorización de sistemas para detectar y responder a incidentes de

seguridad.

o Coordinación de la respuesta ante brechas de seguridad y recuperación de

sistemas.

8. Innovación y Mejora Continua

o Evaluación de nuevas tecnologías y herramientas de seguridad.

o Mejora continua de procesos y controles de seguridad.

9. Organigrama del Área de Seguridad de la Información

El organigrama del área de Seguridad de la Información refleja la

estructura jerárquica y las responsabilidades principales:

Figura 4
Organigrama del área de Tecnología
19

Objetivos e Indicadores

Objetivos del Área:

Proteger la Información:

o Objetivo: Garantizar la seguridad de la información y los sistemas críticos.

o Indicador: Número de incidentes de seguridad reportados y resueltos.

Cumplimiento Normativo:

o Objetivo: Asegurar el cumplimiento con las normativas vigentes.

o Indicador: Porcentaje de auditorías de cumplimiento exitosas.


20
Capacitación y Concienciación:

o Objetivo: Aumentar la conciencia sobre seguridad entre los empleados.

o Indicador: Porcentaje de empleados capacitados en seguridad de la

información.

Gestión de Incidentes:

o Objetivo: Minimizar el impacto de los incidentes de seguridad.

o Indicador: Tiempo promedio de respuesta y resolución de incidentes.

Innovación en Seguridad:

o Objetivo: Implementar nuevas tecnologías y prácticas para mejorar la

seguridad.

o Indicador: Número de nuevas herramientas y tecnologías implementadas.

El área de trabajo donde nos ubicamos es el área de Infraestructura de TI, y nosotros

conformamos el equipo de Gestión de Seguridad de la Información, donde nuestra labor

consiste en realizar revisiones de seguridad que permitan detectar vulnerabilidades de

seguridad, de manera reactiva proactiva y preventiva, para ello día a día utilizamos la

herramienta Nessus ejecutando y planificando acciones para corregir las vulnerabilidades.

Cabe indicar que nuestro alcance corresponde al país (Perú) alineado a estrategia de la

Dirección Corporativa de Seguridad.

Figura 5

Diagrama de Ishikawa que muestra el problema de la empresa Mapfre Perú


21

Amenazas a la
Fortalecer su Estrategia de Competencia en el
Seguridad de la
Seguridad de la Información Mercado Asegurador
Información

Acelerar la
Transformación Digital Diferenciación de Ciberataques
Productos
Innovar y Diferenciar sus Cumplimiento
Productos Optimizar la Gestión Innovación en Normativo
de RSE Productos
Protección de Datos
Personales

Fomentar el Desarrollo del las cambiantes necesidades Brechas de Seguridad


Talento de los clientes

Implementación de la ISO
27001 para la gestión de la
seguridad de la
información, MAPFRE
Perú, 2024
Mejorar la eficiencia y la
Desarrollo Profesional Impacto experiencia del cliente

Competitividad en el Medición
Transformación de Procesos
Mercado Laboral
Fortalecer la reputación
Enfoque Propuesto
Integración de Nuevas
Implementación de Proyectos Tecnologías
de RSE

Retención y Desarrollo del Gestión de la Adaptación a la Innovación y


Talento Responsabilidad Social y Transformación Digital
Sostenibilidad
Nota. Elaboración propia con datos obtenidos de la empresa 22
23

2.2 Contextualización y definición del problema

Una MAPFRE Perú es una de las principales aseguradoras en el mercado peruano,


ofreciendo una amplia gama de productos y servicios en seguros generales, seguros de
vida y salud, soluciones financieras y reaseguro. Como parte de una multinacional con
una fuerte presencia en América Latina y otras regiones, MAPFRE Perú enfrenta un
entorno altamente competitivo y regulado, con constantes demandas de innovación y
adaptación tecnológica.

En este contexto, el área de Seguridad de la Información juega un papel crítico en proteger


la integridad, confidencialidad y disponibilidad de la información que sustenta tanto las
operaciones internas como el servicio al cliente. La transformación digital y el aumento en
la sofisticación de las amenazas cibernéticas han elevado la importancia de una estrategia
robusta en seguridad de la información.

 Definición del Problema

1. Vulnerabilidades en la Seguridad de la Información

Descripción: MAPFRE Perú enfrenta amenazas crecientes a la seguridad de su


información y sistemas debido al aumento en la actividad de ciberataques y a la
sofisticación de las amenazas. La empresa maneja una gran cantidad de datos sensibles
relacionados con clientes, empleados y operaciones, lo que la convierte en un objetivo
atractivo para ataques cibernéticos.

Impacto Potencial:

o Riesgo de Brechas de Datos: Posibilidad de pérdida o exposición no

autorizada de datos personales y financieros.

o Daño a la Reputación: Pérdida de confianza de los clientes y socios

comerciales, afectando la imagen de la empresa.


24

o Costos Financieros: Posibles multas, sanciones y costos asociados con la

gestión de incidentes y la recuperación de datos.

2. Necesidad de Cumplimiento Normativo y Regulatorio

Descripción: La empresa debe cumplir con diversas normativas nacionales e

internacionales sobre protección de datos y seguridad de la información. La creciente

complejidad y las actualizaciones frecuentes en las regulaciones exigen una gestión

continua y rigurosa del cumplimiento.

Impacto Potencial:

o Sanciones Legales: Multas y sanciones por incumplimiento de leyes y

regulaciones.

o Costos Operativos: Inversiones en auditorías y ajustes de políticas para

cumplir con las normativas.

o Confianza del Cliente: Posibles repercusiones en la confianza de los

clientes si no se cumplen las expectativas de privacidad y seguridad.

3. Adaptación a la Transformación Digital

Descripción: La integración de nuevas tecnologías como inteligencia artificial,

análisis de big data y sistemas basados en la nube requiere una revisión y actualización de

las políticas y controles de seguridad para proteger los nuevos vectores de riesgo.

Impacto Potencial:
25
o Riesgos Tecnológicos: Nuevas vulnerabilidades introducidas por

tecnologías emergentes.
26

o Desafíos en la Implementación: Complejidades en la integración de

tecnologías sin comprometer la seguridad.

4. Capacitación y Concienciación del Personal

Descripción: El personal debe estar continuamente capacitado en prácticas de

seguridad de la información para prevenir errores humanos que puedan comprometer la

seguridad.

Impacto Potencial:

o Errores Humanos: Riesgos derivados de falta de conocimiento y prácticas

inadecuadas.

o Cultura de Seguridad: Necesidad de fortalecer la cultura organizacional

en torno a la seguridad de la información.

5. Gestión Efectiva de Incidentes de Seguridad

Descripción: El área debe estar preparada para responder rápidamente a incidentes de

seguridad, minimizando el impacto y restaurando la normalidad operativa.

Impacto Potencial:

o Tiempo de Inactividad: Interrupciones en el servicio y operaciones

afectadas.

o Recuperación Costosa: Gastos asociados con la recuperación y gestión de

incidentes.
27

2.2.1 Contextualización del problema

Para contextualizar el problema de seguridad de la información en MAPFRE


Perú, realizaremos un análisis que va de lo general a lo específico, utilizando
herramientas de análisis como el análisis FODA (Fortalezas, Oportunidades,
Debilidades y Amenazas) y el análisis de causa y efecto (Diagrama de Ishikawa o
espina de pescado). A continuación, se presenta una estructura detallada.

 Análisis General

1. Contexto General

En el entorno actual, las empresas aseguradoras enfrentan un panorama complejo en


términos de seguridad de la información. La creciente digitalización y el uso intensivo
de tecnologías avanzadas, como inteligencia artificial y análisis de datos, han ampliado
la superficie de riesgo para ciberataques y vulnerabilidades. Adicionalmente, las
estrictas normativas de protección de datos y privacidad exigen un alto nivel de
cumplimiento.

2. Síntomas del Problema

o Incremento en los Incidentes de Seguridad: Aumento en el número de

intentos de ciberataques y brechas de seguridad.

o Desafíos en el Cumplimiento Normativo: Dificultades para mantenerse al

día con las actualizaciones regulatorias.

o Problemas de Adaptación Tecnológica: Retos en la integración de

nuevas tecnologías sin comprometer la seguridad.


28

o Falta de Conciencia y Formación: Deficiencias en la capacitación del

personal en prácticas de seguridad.

3. Causas del Problema

 Causas Internas:

o Políticas de Seguridad Inadecuadas: Políticas y procedimientos de

seguridad obsoletos o insuficientes.

o Capacitación Insuficiente: Falta de programas de formación continua para

el personal.

o Deficiencias en Tecnología de Protección: Uso de tecnologías

desactualizadas o inadecuadas para la protección de datos.

 Causas Externas:

o Amenazas Cibernéticas Evolutivas: Técnicas de ataque cada vez más

sofisticadas y dirigidas.

o Cambios Regulatorios Rápidos: Nuevas normativas y leyes que requieren

ajustes rápidos y precisos.

4. Objeto del Problema

El objeto del problema es la seguridad de la información, que abarca la


protección de datos personales y corporativos, la gestión de riesgos asociados con la
seguridad cibernética, el cumplimiento de normativas y la integración segura de nuevas
tecnologías.
29

5. Efectos del Problema

o Impacto Financiero: Costos asociados con la gestión de incidentes de

seguridad, sanciones por incumplimiento y posibles pérdidas financieras

por fraude o interrupciones operativas.

o Daño a la Reputación: Pérdida de confianza de los clientes y socios

comerciales, afectando la imagen y credibilidad de la empresa.

o Interrupciones Operativas: Tiempo de inactividad y disrupción de los

servicios a causa de brechas de seguridad.

o Problemas Regulatorios: Multas y sanciones debido a la falta de

cumplimiento con las normativas de protección de datos.

 Herramienta de Análisis

Análisis FODA

Fortalezas:

o Experiencia en el Sector: Amplia experiencia en el sector asegurador y en

la gestión de riesgos.

o Recursos y Tecnología: Disponibilidad de recursos y tecnologías

avanzadas para implementar medidas de seguridad.


30

Oportunidades:

o Innovación Tecnológica: Oportunidad de implementar nuevas tecnologías

para mejorar la seguridad.

o Mejora en la Capacitación: Posibilidad de fortalecer la formación del

personal en seguridad de la información.

Debilidades:

o Políticas de Seguridad Desactualizadas: Necesidad de actualizar y

mejorar las políticas y procedimientos de seguridad.

o Capacitación Insuficiente: Deficiencias en la formación continua de los

empleados en prácticas de seguridad.

Amenazas:

o Ciberataques Evolutivos: Amenazas cada vez más sofisticadas y

dirigidas.

o Cambios Regulatorios Rápidos: Adaptación continua a nuevas

normativas y regulaciones.

Diagrama de Ishikawa

Categorías de Causas:

o Métodos: Procedimientos y políticas de seguridad actuales.

o Maquinaria/Tecnología: Herramientas y tecnologías utilizadas para la

protección de la información.
31

o Mano de Obra: Capacitación y concienciación del personal.

o Materiales/Recursos: Recursos disponibles para la implementación de

medidas de seguridad.

o Medio Ambiente/Normativas: Cambios en el entorno regulatorio y de

amenazas.

Causas Raíz Identificadas:

1. Políticas de Seguridad Inadecuadas: Falta de

actualizaciones y alineación con las mejores prácticas.

2. Capacitación Deficiente: Programas de formación

inadecuados o inexistentes.

3. Tecnología Obsoleta: Herramientas de seguridad

desactualizadas frente a nuevas amenazas.

• Recomendaciones

1. Actualizar Políticas de Seguridad: Revisar y actualizar

las políticas y procedimientos de seguridad de la

información para alinearse con las mejores prácticas y

regulaciones actuales.

2. Invertir en Capacitación: Implementar programas de

capacitación continua para empleados en materia de

seguridad de la información.
32

3. Adoptar Tecnologías Avanzadas: Invertir en

tecnologías de protección de última generación para

mejorar la seguridad de los datos.

4. Monitoreo y Respuesta Proactiva: Establecer

mecanismos de monitoreo continuo y una estrategia de

respuesta proactiva para gestionar incidentes de seguridad

de manera eficiente.

2.2.2 Formulación del problema

Proposición:

La carencia de un sistema integral y actualizado de seguridad de la

información en MAPFRE Perú está exponiendo a la empresa a riesgos significativos de

ciberataques y brechas de datos, afectando su capacidad para cumplir con las normativas

de protección de datos, adaptarse a las nuevas tecnologías y mantener la confianza de sus

clientes y socios. Esta deficiencia en la gestión de la seguridad de la información

compromete la integridad, confidencialidad y disponibilidad de la información crítica, lo

que podría derivar en daños financieros, pérdida de reputación y problemas regulatorios.

Coherencia con el Título del Trabajo:

El título del trabajo, "Implementación de la ISO 27001 para la gestión de la

seguridad de la información en MAPFRE Perú, 2024", se alinea con la formulación del

problema al abordar directamente la necesidad de establecer un sistema de gestión de


33
seguridad de la información conforme a la norma ISO 27001. La implementación de esta

norma está destinada a resolver la carencia actual en el sistema de seguridad de la

información, proporcionando un marco integral para la protección de datos y el

cumplimiento normativo.

2.3 Objetivos

La gestión eficaz de la seguridad de la información es fundamental para cualquier

empresa que maneje datos sensibles y se enfrente a un entorno de amenazas cibernéticas

en constante evolución. Para MAPFRE Perú, la implementación de un sistema robusto y

actualizado de seguridad de la información es esencial para proteger la integridad,

confidencialidad y disponibilidad de la información crítica. La adopción de la norma ISO

27001 ofrece una estructura estandarizada y probada para enfrentar estos desafíos y

garantizar el cumplimiento con las regulaciones vigentes. A continuación, se detallan los

objetivos clave de este proceso de implementación.

2.3.1 Objetivo general

• Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)

conforme a la norma ISO 27001 en MAPFRE Perú para fortalecer la protección de la

información, garantizar el cumplimiento normativo y mejorar la gestión de riesgos

cibernéticos.

2.3.2 Objetivos específicos

1. Desarrollar e Implementar Políticas y Procedimientos de Seguridad de la

Información:
34
o Crear y poner en práctica políticas y procedimientos de seguridad de la

información alineados con los requisitos de la norma ISO 27001.

o Asegurar que las políticas sean claras, comprensibles y aplicables a todas

las áreas de la empresa.

2. Realizar una Evaluación de Riesgos y Vulnerabilidades:

o Identificar y evaluar los riesgos y vulnerabilidades actuales en los sistemas

de información de MAPFRE Perú.

o Implementar medidas y controles para mitigar los riesgos identificados y

proteger la integridad, confidencialidad y disponibilidad de la información.

3. Cumplir con las Normativas y Regulaciones de Protección de Datos:

o Asegurar que el SGSI cumpla con las normativas locales e internacionales

de protección de datos y privacidad.

o Realizar auditorías periódicas para verificar el cumplimiento y ajustar las

prácticas según sea necesario.

4. Capacitar y Concienciar al Personal en Seguridad de la Información:

o Desarrollar e implementar un programa de capacitación continua para todos

los empleados sobre prácticas de seguridad de la información.

o Fomentar una cultura de seguridad mediante campañas de concienciación y

formación regular.
35
5. Implementar un Sistema de Gestión de Incidentes de Seguridad:

o Establecer un procedimiento eficaz para la gestión y respuesta a incidentes

de seguridad de la información.

o Crear un equipo de respuesta a incidentes y establecer mecanismos de

monitoreo continuo para detectar y reaccionar rápidamente ante posibles

amenazas.

6. Adoptar y Integrar Tecnologías de Seguridad Avanzadas:

o Investigar y adoptar tecnologías de seguridad avanzadas que fortalezcan la

protección de datos y sistemas.

o Integrar herramientas de seguridad en los sistemas existentes y realizar

actualizaciones regulares para enfrentar nuevas amenazas.

7. Monitorear y Evaluar la Eficiencia del SGSI:

o Implementar un sistema de monitoreo para evaluar la eficacia del SGSI y

su alineación con los objetivos de la norma ISO 27001.

o Realizar revisiones periódicas y mejoras continuas en el sistema para

asegurar su efectividad y adaptabilidad a nuevas amenazas y requisitos.


36
37

MATRIZ DE CONSISTENCIA/OPERACIONALIZACIÓN DE LAS VARIABLES

Título: Implementación de la ISO 27001 para la gestión de la seguridad de la información, MAPFRE Perú, 2024
Autor: Alonso Echevarria/Cristian Martinez
Problema Objetivos Hipótesis Variables e indicadores
Problema general Objetivo general: Hipótesis general: Variable 1: Gestión de Riesgos de Seguridad de la Información
La implementación de un Dimensiones Indicadores Ítems
Escala de Niveles
La falta de un sistema integral y • Implementar un Sistema Sistema de Gestión de medición y rangos
actualizado de gestión de la Identificación Indicador 1.1:  Ítem 1.1.1: Número total de Escala de Muy
de Gestión de Seguridad de la Seguridad de la Información Proporción de riesgos de seguridad identificados bueno
seguridad de la información de Riesgos Likert
Información (SGSI) conforme a la (SGSI) conforme a la norma riesgos en el último año. (87 –
en MAPFRE Perú está identificados y  Ítem 1.1.2: Frecuencia de 100)
norma ISO 27001 en MAPFRE ISO 27001 en MAPFRE Perú 5.
exponiendo a la empresa a documentados. actualización del inventario de
Perú para fortalecer la mejorará significativamente riesgos. Siempre Bueno
riesgos significativos de Indicador 1.2:
protección de la información, la protección de la  Ítem 1.1.3: Participación de áreas 4. Casi (67 – 86)
ciberataques y brechas de Complejidad y
garantizar el cumplimiento información crítica, asegurará detalle en la clave en la identificación de riesgos.
datos, afectando su  Ítem 1.2.1: Grado de detalle en la siempre Regular
capacidad para cumplir con normativo y mejorar la gestión el cumplimiento normativo y documentación
descripción de cada riesgo. 3. A (45 – 66)
de riesgos.
las normativas de protección de riesgos cibernéticos. aumentará la confianza de  Ítem 1.2.2: Inclusión de factores veces
de datos, adaptarse a las clientes y socios, reduciendo de impacto y probabilidad en la 2. Casi Malo
nuevas tecnologías y documentación. (29 – 44)
Objetivos específicos: los riesgos de ciberataques y nunca
mantener la confianza de sus Evaluación de Indicador 2.1:  Ítem 2.1.1: Uso de
1. Nunca
brechas de datos. Riesgos Metodología de metodologías estandarizadas Muy
clientes y socios. 1. Desarrollar e Implementar evaluación de para la evaluación de riesgos malo
Problemas específicos Políticas y Procedimientos de Hipótesis específicas: riesgos (por ejemplo, análisis cualitativo (00 – 28)
Seguridad de la Información: Indicador 2.2: y cuantitativo).
1.  Deficiencias en la Resultados de la  Ítem 2.1.2: Nivel de
1. Si MAPFRE Perú implementa evaluación de formación del personal en la
Identificación y Gestión de 2. Realizar una Evaluación de riesgos.
un enfoque sistemático y metodología de evaluación de
Riesgos: Riesgos y Vulnerabilidades: continuo para la identificación riesgos.
2.  Inadecuada Capacitación y
y gestión de riesgos según la  Ítem 2.2.1: Número de riesgos
Concienciación del 3. Cumplir con las Normativas y clasificados por niveles de
norma ISO 27001, entonces
Personal: Regulaciones de Protección de gravedad (alto, medio, bajo).
reducirá significativamente la
3.  Falta de Cumplimiento Datos  Ítem 2.2.2: Proporción de
probabilidad y el impacto de
Normativo y Legal: riesgos evaluados en
incidentes de seguridad. 38 comparación con el total
identificado.
2. Si el personal de MAPFRE Mitigación de Indicador 3.1:  Ítem 3.1.1: Número de riesgos
Riesgos Implementación mitigados con éxito en el último
Perú recibe formación de medidas de año.
continua y adecuada sobre mitigación.  Ítem 3.1.2: Frecuencia de
prácticas de seguridad de la Indicador 3.2: revisión y actualización de las
información, entonces se Eficacia de las medidas de mitigación.
reducirá el riesgo de errores medidas de  Ítem 3.2.1: Reducción en la
mitigación.
humanos y brechas de probabilidad de ocurrencia de
seguridad. riesgos tras la implementación
de medidas.
 Ítem 3.2.2: Disminución en el
3. Si MAPFRE Perú adopta las
impacto de los riesgos tras la
políticas y procedimientos implementación de medidas.
requeridos por la norma ISO
Variable 2: Capacitación y Concienciación en Seguridad de la Información
27001, entonces cumplirá con
Escala de Niveles
las normativas locales e Dimensiones Indicadores Ítems
medición y rangos
internacionales en materia de Programas de Indicador 1.1:  Ítem 1.1.1: Porcentaje de Escala de Muy
protección de datos, evitando Capacitación Alcance y empleados capacitados en Likert bueno
sanciones y mejorando su cobertura de los seguridad de la información. (87 –
reputación. programas de  Ítem 1.1.2: Frecuencia de las 100)
5.
capacitación. sesiones de capacitación.
Indicador 1.2:  Ítem 1.2.1: Grado de actualización Siempre Bueno
Calidad del del contenido de los programas de 4. Casi (67 – 86)
contenido de capacitación.
capacitación.  Ítem 1.2.2: Satisfacción de los siempre Regular
empleados con la calidad de la 3. A (45 – 66)
capacitación (encuestas post- veces
capacitación). 2. Casi Malo
Concienciació Indicador 2.1:  Ítem 2.1.1: Resultados de (29 – 44)
nunca
n del Personal Nivel de evaluaciones de conocimientos
concienciación post-capacitación.
1. Nunca Muy
sobre prácticas  Ítem 2.1.2: Número de incidentes malo
de seguridad. de seguridad relacionados con (00 – 28)
Indicador 2.2: errores humanos.
Participación  Ítem 2.2.1: Número de empleados
en actividades que participan en campañas de
de concienciación.
concienciación.  Ítem 2.2.2: Frecuencia de
actividades de concienciación
realizadas en la empresa.
Impacto de la Indicador 3.1:  Ítem 3.1.1: Número de incidentes
Capacitación y Reducción de de seguridad reportados antes y
Concienciació incidentes de después de la capacitación.
n 39
seguridad.  Ítem 3.1.2: Severidad de los
Indicador 3.2: incidentes de seguridad antes y
Mejora en la después de la capacitación.
cultura de  Ítem 3.2.1: Percepción del
seguridad. personal sobre la importancia de la
seguridad de la información
(encuestas internas).
 Ítem 3.2.2: Adopción de prácticas
seguras en el trabajo diario
(observaciones y auditorías
internas).

Tipo de estudio Población y muestra Técnicas e instrumentos Estadística a utilizar

Tipo de estudio según su Población: Variable 1: DESCRIPTIVA:


Método: Técnicas: Encuesta
Técnica matemática que obtiene, organiza, presenta y describe un conjunto
Método Analítico Tamaño de muestra: Instrumentos: Cuestionario
de datos con el propósito de facilitar el uso, generalmente con el apoyo de
tablas, medidas numéricas o gráficas.
Tipo de estudio según
Se ocupa de resumir datos recopilados en Eventos Pasados.
Enfoque: Variable 2:
Enfoque cualitativo Técnicas: Entrevista
Instrumentos: Guía de
Tipo de estudio según su entrevista
Finalidad:
Investigación Aplicada

Tipo de estudio según su


Nivel:
Investigación Descriptiva
40

2.4 Justificación

Justificación Teórica, Social y Práctica

1. Introducción

La implementación de la norma ISO 27001 en MAPFRE Perú ofrece beneficios


significativos a nivel teórico, social y práctico. Este marco estandarizado proporciona un
enfoque integral para la gestión de la seguridad de la información, permitiendo a la
empresa abordar de manera sistemática y eficiente los desafíos relacionados con la
protección de datos y el cumplimiento normativo. A continuación, se detallan los
beneficios y la justificación en cada una de estas áreas.

2. Justificación Teórica

Beneficio General: La norma ISO 27001 establece un conjunto de principios y


mejores prácticas para la gestión de la seguridad de la información. Teóricamente, la
adopción de esta norma permite a MAPFRE Perú basar su sistema de gestión en un marco
reconocido y validado internacionalmente, proporcionando una estructura sólida para
identificar y mitigar riesgos, proteger la información crítica y asegurar el cumplimiento
normativo.

Áreas Relacionadas:

3. Teoría de la Gestión de Riesgos:

o Beneficio: La implementación de ISO 27001 permite una identificación

sistemática y evaluación de riesgos, lo que mejora la capacidad de la

empresa para gestionar las amenazas de manera proactiva y eficaz.


41

o Análisis Cualitativo: La norma proporciona un enfoque estructurado para

la evaluación de riesgos, asegurando que todos los aspectos relevantes sean

considerados y que las medidas de control sean adecuadas para mitigar los

riesgos identificados.

4. Teoría del Cumplimiento Regulatorio:

o Beneficio: ISO 27001 ayuda a MAPFRE Perú a cumplir con las

regulaciones locales e internacionales, evitando sanciones y garantizando la

protección de datos según las normativas vigentes.

o Análisis Cualitativo: La norma ofrece un marco que facilita la adaptación

a cambios regulatorios, asegurando que las políticas y procedimientos estén

alineados con los requisitos legales y estándares de la industria.

5. Teoría de la Protección de Datos:

o Beneficio: La norma proporciona directrices para la protección de datos

personales y confidenciales, mejorando la seguridad y privacidad de la

información gestionada por la empresa.

o Análisis Cualitativo: La implementación de ISO 27001 asegura que se

adopten medidas de seguridad adecuadas para proteger la información

sensible, lo que reduce el riesgo de brechas y accesos no autorizados.


42

6. Justificación Social

Beneficio General: Desde un punto de vista social, la adopción de ISO 27001

mejora la confianza de clientes, empleados y socios al demostrar un compromiso

con la protección de datos y la privacidad. Esto contribuye a una reputación

positiva y a la satisfacción de las partes interesadas.

Áreas Relacionadas:

1. Confianza del Cliente:

o Beneficio: Al implementar ISO 27001, MAPFRE Perú refuerza su

compromiso con la protección de datos, lo que incrementa la confianza de

los clientes en la seguridad de la información que manejan.

o Análisis Cualitativo: La certificación ISO 27001 actúa como un sello de

garantía para los clientes, mostrando que la empresa adopta prácticas

rigurosas en la protección de su información personal.

2. Satisfacción del Empleado:

o Beneficio: La capacitación y concienciación en seguridad de la

información promueven un entorno de trabajo seguro y responsable,

mejorando la moral y el compromiso del personal.

o Análisis Cualitativo: Empleados capacitados en prácticas de seguridad se

sienten más seguros y responsables en sus funciones, lo que puede

aumentar la productividad y la satisfacción laboral.


43

3. Relaciones con Socios y Proveedores:

o Beneficio: La implementación de ISO 27001 facilita la colaboración con

socios y proveedores al garantizar que todos los actores involucrados

cumplen con estándares de seguridad de la información.

o Análisis Cualitativo: La norma establece requisitos para la gestión de la

seguridad en la cadena de suministro, fortaleciendo las relaciones

comerciales y minimizando riesgos asociados con terceros.

7. Justificación Práctica

Beneficio General: Desde una perspectiva práctica, la implementación de ISO

27001 proporciona a MAPFRE Perú un sistema estructurado y documentado para

la gestión de la seguridad de la información, facilitando la identificación y

respuesta a incidentes, la protección de datos y la mejora continua de los procesos

de seguridad.

Áreas Relacionadas:

1. Mejora de Procesos Internos:

o Beneficio: La adopción de la norma permite la estandarización de procesos

y procedimientos relacionados con la seguridad de la información,

mejorando la eficiencia y efectividad en la gestión de riesgos.

o Análisis Cualitativo: La norma ofrece directrices claras para la

implementación de controles y la documentación de procesos, lo que

facilita la gestión y auditoría continua del sistema de seguridad.


44

2. Gestión Efectiva de Incidentes:

o Beneficio: Un sistema de gestión conforme a ISO 27001 proporciona

procedimientos detallados para la identificación, respuesta y recuperación

ante incidentes de seguridad, minimizando el impacto de posibles brechas.

o Análisis Cualitativo: La norma establece un enfoque sistemático para la

gestión de incidentes, garantizando que los procedimientos sean efectivos y

que la empresa pueda recuperarse rápidamente de cualquier incidente.

3. Adaptación a Cambios Tecnológicos:

o Beneficio: ISO 27001 facilita la integración de nuevas tecnologías y la

adaptación a cambios en el entorno tecnológico, asegurando que las

medidas de seguridad se mantengan efectivas y actualizadas.

o Análisis Cualitativo: La norma proporciona un marco flexible que permite

a MAPFRE Perú incorporar nuevas soluciones tecnológicas mientras

mantiene una protección robusta de la información.

• Prevenir que se reporte vulnerabilidades conocidas.

Mejorar la seguridad de los sistemas ampliando el alcance

de los lineamientos existentes.

• Que todo nuevo requerimiento y/o proyecto tome fuentes limpias de

vulnerabilidades preexistentes, evitando incremento de actividades y

desvíos en sus cronogramas de trabajo.

• Tener procedimiento para actualizar los sistemas proactivamente.


45
2.5 Alcances y limitaciones

2.5.1 Alcances

La investigación para la implementación de la norma ISO 27001 en MAPFRE

Perú abarcó las siguientes áreas de la empresa:

• 1. Área de Seguridad de la Información

Descripción: Esta área es responsable de la protección de los sistemas de

información y datos sensibles de la empresa. Incluye la definición de políticas y

procedimientos de seguridad, la gestión de riesgos, la monitorización de sistemas y la

respuesta a incidentes.

Alcance de la Investigación:

 Evaluación de las políticas y procedimientos actuales de seguridad de la

información.

 Identificación de vulnerabilidades y riesgos en los sistemas existentes.

 Revisión de la efectividad de los controles de seguridad implementados.

 Desarrollo de un plan de acción para cumplir con los requisitos de la norma ISO

27001.

2. Área de Tecnologías de la Información (TI)

Descripción: El área de TI se encarga de la infraestructura tecnológica de la

empresa, incluyendo servidores, redes, aplicaciones y sistemas de almacenamiento. Su rol

es crucial en la implementación de controles técnicos de seguridad.


46

Alcance de la Investigación:

 Análisis de la infraestructura tecnológica y su adecuación a los estándares de

seguridad.

 Evaluación de las medidas de protección de datos y sistemas informáticos.

 Identificación de áreas de mejora en la integración de tecnologías seguras.

 Recomendaciones para actualizar y fortalecer la tecnología de protección de la

información.

 3. Área de Cumplimiento Normativo y Legal

Descripción: Este departamento es responsable de garantizar que la empresa

cumpla con todas las leyes y regulaciones aplicables, especialmente en lo que respecta a la

protección de datos y privacidad.

Alcance de la Investigación:

 Revisión del cumplimiento actual con las normativas de protección de datos.

 Identificación de brechas y áreas de riesgo en relación con las regulaciones

vigentes.

 Desarrollo de procedimientos para asegurar el cumplimiento continuo con la

norma ISO 27001 y otras leyes relevantes.

 4. Área de Recursos Humanos


47
Descripción: El área de Recursos Humanos gestiona el personal de la empresa y

es responsable de la formación y concienciación en materia de seguridad de la

información.

Alcance de la Investigación:

 Evaluación de los programas de capacitación y concienciación existentes en

seguridad de la información.

 Identificación de necesidades de formación adicional para el personal.

 Desarrollo de un plan de formación continua y actualización en seguridad de la

información.

 5. Área de Gestión de Riesgos

Descripción: Este departamento se enfoca en la identificación, evaluación y

mitigación de riesgos en toda la empresa, incluyendo los relacionados con la seguridad de

la información.

Alcance de la Investigación:

 Revisión de los procedimientos actuales para la gestión de riesgos relacionados

con la seguridad de la información.

 Identificación de riesgos adicionales y evaluación de su impacto potencial.

 Desarrollo de estrategias para la mitigación y gestión proactiva de riesgos.

 6. Área de Operaciones
48
Descripción: El área de Operaciones asegura la ejecución eficiente y segura de las

actividades diarias de la empresa, afectando la forma en que se maneja y protege la

información en los procesos operativos.

Alcance de la Investigación:

 Evaluación de los procesos operativos en relación con la seguridad de la

información.

 Identificación de posibles puntos débiles en la gestión de información durante las

operaciones.

 Recomendaciones para la integración de controles de seguridad en los procesos

operativos.

2.5.2 Limitaciones

En el proceso de implementación de la norma ISO 27001 para la gestión de la

seguridad de la información en MAPFRE Perú, se identificaron diversas limitaciones de

carácter teórico, práctico, legal y financiero que influyeron en el alcance y ejecución del

estudio. A continuación, se detallan estas limitaciones:

1. Limitaciones Teóricas

2. Conocimiento Preexistente:

o Descripción: La profundidad del conocimiento y la experiencia previa del

personal en relación con la norma ISO 27001 puede variar, lo que afecta la

capacidad para implementar el sistema de manera uniforme.


49
o Impacto: La falta de experiencia y comprensión teórica sobre la norma

puede limitar la eficacia en la aplicación de sus requisitos y en la

interpretación de sus directrices.

3. Adaptación de Modelos Teóricos:

o Descripción: Las teorías y modelos aplicables a la gestión de la seguridad

de la información deben adaptarse a la realidad específica de MAPFRE

Perú.

o Impacto: La adaptación de modelos teóricos generales a la práctica

específica de la empresa puede ser un desafío, requiriendo ajustes que no

siempre son precisos o completos.

4. Limitaciones Prácticas

1. Disponibilidad de Recursos:

o Descripción: La implementación de la norma ISO 27001 requiere recursos

significativos en términos de tiempo, personal y tecnología.

o Impacto: La disponibilidad limitada de estos recursos puede restringir la

capacidad para llevar a cabo una implementación completa y efectiva en el

tiempo previsto.

2. Integración con Sistemas Existentes:

o Descripción: Integrar nuevos controles y procedimientos de seguridad con

los sistemas y procesos existentes puede ser complejo y llevar tiempo.


50
o Impacto: La necesidad de adaptar o modificar sistemas actuales para

alinearse con los requisitos de ISO 27001 puede generar desafíos técnicos y

operativos.

3. Resistencia al Cambio:

o Descripción: La implementación de nuevos procedimientos y políticas

puede enfrentar resistencia por parte del personal.

o Impacto: La resistencia al cambio puede dificultar la adopción efectiva de

nuevas prácticas y procedimientos de seguridad.

5. Limitaciones Legales

1. Cumplimiento con Normativas Locales:

o Descripción: En algunos casos, las regulaciones locales pueden tener

requisitos específicos que no siempre se alinean completamente con la

norma ISO 27001.

o Impacto: La necesidad de cumplir simultáneamente con la norma ISO

27001 y las regulaciones locales puede crear desafíos adicionales en la

implementación y el mantenimiento del sistema de gestión de seguridad.

2. Cambios Regulatorios:

o Descripción: Las leyes y regulaciones relacionadas con la protección de

datos y la seguridad de la información están en constante evolución.


51
o Impacto: Los cambios frecuentes en las normativas pueden requerir ajustes

continuos en el sistema de gestión, lo que puede complicar su

implementación y mantenimiento.

6. Limitaciones Financieras

1. Costos de Implementación:

o Descripción: La implementación de ISO 27001 implica costos

significativos, incluyendo consultoría, formación, tecnología y auditorías.

o Impacto: Las limitaciones financieras pueden restringir la capacidad de la

empresa para invertir en todas las áreas necesarias para una

implementación completa y efectiva.

2. Presupuesto para Capacitación:

o Descripción: La formación continua del personal en prácticas de seguridad

y en el uso de nuevas tecnologías puede requerir una inversión

significativa.

o Impacto: Las limitaciones en el presupuesto para capacitación pueden

afectar la calidad y la cobertura de los programas de formación, limitando

la efectividad en la concienciación y educación en seguridad de la

información.
52

También podría gustarte