2024 Tspusil Alonsoechevarria Revisado
2024 Tspusil Alonsoechevarria Revisado
2024 Tspusil Alonsoechevarria Revisado
Asesor:
Dr. Marco Antonio Salcedo Huarcaya
(0000-0002-7831-4056)
Lima – Perú
2024
ii
DEDICATORIA
AGRADECIMIENTO
DEDICATORIA....................................................................................................................2
AGRADECIMIENTO...........................................................................................................3
TABLA DE CONTENIDO...................................................................................................4
LISTA DE TABLAS.............................................................................................................5
LISTA DE FIGURAS...........................................................................................................6
RESUMEN............................................................................................................................8
ABSTRACT..........................................................................................................................9
INTRODUCCIÓN...............................................................................................................10
Ubicación de la empresa......................................................................................................13
Giro de la empresa...............................................................................................................13
Tamaño de la empresa.........................................................................................................14
Organigrama de la empresa.................................................................................................16
Productos y clientes...............................................................................................................6
Contexto..............................................................................................................................12
Problema Identificado.........................................................................................................12
2.3 Objetivos.......................................................................................................................31
2.4 Justificación...................................................................................................................38
2.5.2 Limitaciones...............................................................................................................46
v
vi
LISTA DE TABLAS
Tabla 1.
vii
LISTA DE FIGURAS
RESUMEN
Palabras claves:
ix
ABSTRACT
The objective of this project was to implement an information security management system
(ISMS) for the company MAPFRE PERÚ in accordance with ISO/IEC 27001 standards,
safeguarding information assets against external and internal threats, certifying their
confidentiality, integrity and availability. Information is the main asset of the company, these
guidelines helped the various areas (Pending all areas) of the company to keep the information
safe, protecting the data. The implementation of a management system or QMS based on ISO
27001 allowed us to benefit from the adoption of best market and industry practices around the
world for information security, which allowed us to apply a set of policies, procedures, guides,
resources. and activities associated with a systematic approach that helped us manage and
protect our company's information, gen, reducing the risk of having a security incident,
generating staff awareness regarding the importance of correct handling of information.
Keyworks:
x
INTRODUCCIÓN
En Perú, MAPFRE opera desde 1995, ofreciendo una amplia gama de productos y
servicios en los sectores de seguros generales, de vida y salud, así como en soluciones
financieras y de ahorro. La empresa se ha destacado por su compromiso con la calidad y la
excelencia en el servicio, lo que le ha permitido ganar la confianza de millones de clientes a lo
largo de los años.
Logotipo de la empresa:
Figura 1
Figura 2
Giro de la empresa
Soluciones Financieras
MAPFRE Perú también ofrece una serie de productos financieros que ayudan a sus
clientes a gestionar y optimizar sus inversiones y ahorros:
Reaseguros
Tamaño de la empresa
1
MAPFRE distribuye sus productos a través de oficinas de entidades bancarias y otros
puntos de venta que comercializan los seguros del grupo a través de acuerdos de colaboración.
El grupo dispone de una red de 34.000 empleados y distribuye sus productos a través de
Internet. La actividad del Grupo se desarrolla a través de cuatro unidades de negocio: Seguros,
Asistencia, Global Risks y Reaseguro.
Expansión y Crecimiento
Accionistas Actuales
Organigrama de la empresa
La empresa Mapfre Perú cuenta con un organigrama vertical las cuales las áreas están
divididas de la siguiente forma.
4
Figura 3
Organigrama de la empresa Mapfre Perú.
5
Valores
Los valores fundamentales que guían las operaciones de MAPFRE Perú incluyen:
Productos y clientes
MAPFRE Perú ofrece una amplia gama de productos y servicios en los sectores de
seguros y soluciones financieras. Estos productos están diseñados para satisfacer las
necesidades de diversos segmentos del mercado, desde individuos y familias hasta pequeñas,
medianas y grandes empresas.
Seguros Generales
2. Seguros de Automóviles
y protección jurídica.
3. Seguros de Hogar
responsabilidad civil.
5. Seguros de Viaje
viajes.
1. Seguros de Vida
2. Seguros de Salud
Soluciones Financieras
1. Productos de Inversión
2. Planes de Ahorro
Reaseguros
o Provisión de capacidad y cobertura a otras compañías de seguros para
2. Educación y Cultura
vulnerables.
jóvenes y adultos.
3. Salud y Bienestar
4. Medio Ambiente
5. Inclusión y Diversidad
6. Desarrollo Comunitario
Las prácticas de RSE de MAPFRE Perú han generado un impacto significativo en diversas áreas:
o
12
Contexto
MAPFRE Perú, como parte del Grupo MAPFRE, es una aseguradora líder en el
mercado peruano que ofrece una gama diversa de productos y servicios en seguros y soluciones
financieras. La empresa ha experimentado un crecimiento significativo y ha consolidado su
posición en el mercado. Sin embargo, en un entorno altamente competitivo y en constante
cambio, enfrenta varios desafíos que requieren atención estratégica para asegurar su continuidad
y éxito.
Problema Identificado
operaciones internas.
sanciones legales.
14
MAPFRE Perú:
comprometidos.
retención.
o Enfoque Propuesto
normativas vigentes.
16
2. Acelerar la Transformación Digital: Adoptar tecnologías
y servicios diferenciados.
stakeholders.
información.
cumplimiento.
información.
o Asegurar que las políticas sean seguidas por todos los empleados y
departamentos.
6. Capacitación y Concienciación
información.
18
o Promoción de una cultura de seguridad a través de campañas de
concienciación.
seguridad.
sistemas.
Figura 4
Organigrama del área de Tecnología
19
Objetivos e Indicadores
Proteger la Información:
Cumplimiento Normativo:
información.
Gestión de Incidentes:
Innovación en Seguridad:
seguridad.
seguridad, de manera reactiva proactiva y preventiva, para ello día a día utilizamos la
Cabe indicar que nuestro alcance corresponde al país (Perú) alineado a estrategia de la
Figura 5
Amenazas a la
Fortalecer su Estrategia de Competencia en el
Seguridad de la
Seguridad de la Información Mercado Asegurador
Información
Acelerar la
Transformación Digital Diferenciación de Ciberataques
Productos
Innovar y Diferenciar sus Cumplimiento
Productos Optimizar la Gestión Innovación en Normativo
de RSE Productos
Protección de Datos
Personales
Implementación de la ISO
27001 para la gestión de la
seguridad de la
información, MAPFRE
Perú, 2024
Mejorar la eficiencia y la
Desarrollo Profesional Impacto experiencia del cliente
Competitividad en el Medición
Transformación de Procesos
Mercado Laboral
Fortalecer la reputación
Enfoque Propuesto
Integración de Nuevas
Implementación de Proyectos Tecnologías
de RSE
Impacto Potencial:
Impacto Potencial:
regulaciones.
análisis de big data y sistemas basados en la nube requiere una revisión y actualización de
las políticas y controles de seguridad para proteger los nuevos vectores de riesgo.
Impacto Potencial:
25
o Riesgos Tecnológicos: Nuevas vulnerabilidades introducidas por
tecnologías emergentes.
26
seguridad.
Impacto Potencial:
inadecuadas.
Impacto Potencial:
afectadas.
incidentes.
27
Análisis General
1. Contexto General
Causas Internas:
el personal.
Causas Externas:
sofisticadas y dirigidas.
Herramienta de Análisis
Análisis FODA
Fortalezas:
la gestión de riesgos.
Oportunidades:
Debilidades:
Amenazas:
dirigidas.
normativas y regulaciones.
Diagrama de Ishikawa
Categorías de Causas:
protección de la información.
31
medidas de seguridad.
amenazas.
inadecuados o inexistentes.
• Recomendaciones
regulaciones actuales.
seguridad de la información.
32
de manera eficiente.
Proposición:
ciberataques y brechas de datos, afectando su capacidad para cumplir con las normativas
cumplimiento normativo.
2.3 Objetivos
27001 ofrece una estructura estandarizada y probada para enfrentar estos desafíos y
cibernéticos.
Información:
34
o Crear y poner en práctica políticas y procedimientos de seguridad de la
formación regular.
35
5. Implementar un Sistema de Gestión de Incidentes de Seguridad:
de seguridad de la información.
amenazas.
Título: Implementación de la ISO 27001 para la gestión de la seguridad de la información, MAPFRE Perú, 2024
Autor: Alonso Echevarria/Cristian Martinez
Problema Objetivos Hipótesis Variables e indicadores
Problema general Objetivo general: Hipótesis general: Variable 1: Gestión de Riesgos de Seguridad de la Información
La implementación de un Dimensiones Indicadores Ítems
Escala de Niveles
La falta de un sistema integral y • Implementar un Sistema Sistema de Gestión de medición y rangos
actualizado de gestión de la Identificación Indicador 1.1: Ítem 1.1.1: Número total de Escala de Muy
de Gestión de Seguridad de la Seguridad de la Información Proporción de riesgos de seguridad identificados bueno
seguridad de la información de Riesgos Likert
Información (SGSI) conforme a la (SGSI) conforme a la norma riesgos en el último año. (87 –
en MAPFRE Perú está identificados y Ítem 1.1.2: Frecuencia de 100)
norma ISO 27001 en MAPFRE ISO 27001 en MAPFRE Perú 5.
exponiendo a la empresa a documentados. actualización del inventario de
Perú para fortalecer la mejorará significativamente riesgos. Siempre Bueno
riesgos significativos de Indicador 1.2:
protección de la información, la protección de la Ítem 1.1.3: Participación de áreas 4. Casi (67 – 86)
ciberataques y brechas de Complejidad y
garantizar el cumplimiento información crítica, asegurará detalle en la clave en la identificación de riesgos.
datos, afectando su Ítem 1.2.1: Grado de detalle en la siempre Regular
capacidad para cumplir con normativo y mejorar la gestión el cumplimiento normativo y documentación
descripción de cada riesgo. 3. A (45 – 66)
de riesgos.
las normativas de protección de riesgos cibernéticos. aumentará la confianza de Ítem 1.2.2: Inclusión de factores veces
de datos, adaptarse a las clientes y socios, reduciendo de impacto y probabilidad en la 2. Casi Malo
nuevas tecnologías y documentación. (29 – 44)
Objetivos específicos: los riesgos de ciberataques y nunca
mantener la confianza de sus Evaluación de Indicador 2.1: Ítem 2.1.1: Uso de
1. Nunca
brechas de datos. Riesgos Metodología de metodologías estandarizadas Muy
clientes y socios. 1. Desarrollar e Implementar evaluación de para la evaluación de riesgos malo
Problemas específicos Políticas y Procedimientos de Hipótesis específicas: riesgos (por ejemplo, análisis cualitativo (00 – 28)
Seguridad de la Información: Indicador 2.2: y cuantitativo).
1. Deficiencias en la Resultados de la Ítem 2.1.2: Nivel de
1. Si MAPFRE Perú implementa evaluación de formación del personal en la
Identificación y Gestión de 2. Realizar una Evaluación de riesgos.
un enfoque sistemático y metodología de evaluación de
Riesgos: Riesgos y Vulnerabilidades: continuo para la identificación riesgos.
2. Inadecuada Capacitación y
y gestión de riesgos según la Ítem 2.2.1: Número de riesgos
Concienciación del 3. Cumplir con las Normativas y clasificados por niveles de
norma ISO 27001, entonces
Personal: Regulaciones de Protección de gravedad (alto, medio, bajo).
reducirá significativamente la
3. Falta de Cumplimiento Datos Ítem 2.2.2: Proporción de
probabilidad y el impacto de
Normativo y Legal: riesgos evaluados en
incidentes de seguridad. 38 comparación con el total
identificado.
2. Si el personal de MAPFRE Mitigación de Indicador 3.1: Ítem 3.1.1: Número de riesgos
Riesgos Implementación mitigados con éxito en el último
Perú recibe formación de medidas de año.
continua y adecuada sobre mitigación. Ítem 3.1.2: Frecuencia de
prácticas de seguridad de la Indicador 3.2: revisión y actualización de las
información, entonces se Eficacia de las medidas de mitigación.
reducirá el riesgo de errores medidas de Ítem 3.2.1: Reducción en la
mitigación.
humanos y brechas de probabilidad de ocurrencia de
seguridad. riesgos tras la implementación
de medidas.
Ítem 3.2.2: Disminución en el
3. Si MAPFRE Perú adopta las
impacto de los riesgos tras la
políticas y procedimientos implementación de medidas.
requeridos por la norma ISO
Variable 2: Capacitación y Concienciación en Seguridad de la Información
27001, entonces cumplirá con
Escala de Niveles
las normativas locales e Dimensiones Indicadores Ítems
medición y rangos
internacionales en materia de Programas de Indicador 1.1: Ítem 1.1.1: Porcentaje de Escala de Muy
protección de datos, evitando Capacitación Alcance y empleados capacitados en Likert bueno
sanciones y mejorando su cobertura de los seguridad de la información. (87 –
reputación. programas de Ítem 1.1.2: Frecuencia de las 100)
5.
capacitación. sesiones de capacitación.
Indicador 1.2: Ítem 1.2.1: Grado de actualización Siempre Bueno
Calidad del del contenido de los programas de 4. Casi (67 – 86)
contenido de capacitación.
capacitación. Ítem 1.2.2: Satisfacción de los siempre Regular
empleados con la calidad de la 3. A (45 – 66)
capacitación (encuestas post- veces
capacitación). 2. Casi Malo
Concienciació Indicador 2.1: Ítem 2.1.1: Resultados de (29 – 44)
nunca
n del Personal Nivel de evaluaciones de conocimientos
concienciación post-capacitación.
1. Nunca Muy
sobre prácticas Ítem 2.1.2: Número de incidentes malo
de seguridad. de seguridad relacionados con (00 – 28)
Indicador 2.2: errores humanos.
Participación Ítem 2.2.1: Número de empleados
en actividades que participan en campañas de
de concienciación.
concienciación. Ítem 2.2.2: Frecuencia de
actividades de concienciación
realizadas en la empresa.
Impacto de la Indicador 3.1: Ítem 3.1.1: Número de incidentes
Capacitación y Reducción de de seguridad reportados antes y
Concienciació incidentes de después de la capacitación.
n 39
seguridad. Ítem 3.1.2: Severidad de los
Indicador 3.2: incidentes de seguridad antes y
Mejora en la después de la capacitación.
cultura de Ítem 3.2.1: Percepción del
seguridad. personal sobre la importancia de la
seguridad de la información
(encuestas internas).
Ítem 3.2.2: Adopción de prácticas
seguras en el trabajo diario
(observaciones y auditorías
internas).
2.4 Justificación
1. Introducción
2. Justificación Teórica
Áreas Relacionadas:
considerados y que las medidas de control sean adecuadas para mitigar los
riesgos identificados.
6. Justificación Social
Áreas Relacionadas:
7. Justificación Práctica
de seguridad.
Áreas Relacionadas:
2.5.1 Alcances
respuesta a incidentes.
Alcance de la Investigación:
información.
Desarrollo de un plan de acción para cumplir con los requisitos de la norma ISO
27001.
Alcance de la Investigación:
seguridad.
información.
cumpla con todas las leyes y regulaciones aplicables, especialmente en lo que respecta a la
Alcance de la Investigación:
vigentes.
información.
Alcance de la Investigación:
seguridad de la información.
información.
la información.
Alcance de la Investigación:
6. Área de Operaciones
48
Descripción: El área de Operaciones asegura la ejecución eficiente y segura de las
Alcance de la Investigación:
información.
operaciones.
operativos.
2.5.2 Limitaciones
carácter teórico, práctico, legal y financiero que influyeron en el alcance y ejecución del
1. Limitaciones Teóricas
2. Conocimiento Preexistente:
personal en relación con la norma ISO 27001 puede variar, lo que afecta la
Perú.
4. Limitaciones Prácticas
1. Disponibilidad de Recursos:
tiempo previsto.
alinearse con los requisitos de ISO 27001 puede generar desafíos técnicos y
operativos.
3. Resistencia al Cambio:
5. Limitaciones Legales
2. Cambios Regulatorios:
implementación y mantenimiento.
6. Limitaciones Financieras
1. Costos de Implementación:
significativa.
información.
52