Propuesta de un modelo de sistema de gestión de la seguridad de la información en una pyme basado en la norma ISO/IEC 27001

Berríos Mesía, César Augusto, Rocha Cam, Martín Augusto

06 November 2015

This Project “Implementation Proposal of an Information Security Management System (ISMS) in an SME, based on the ISO 27001 standard” propose an implementation model of a Information Security Management System (ISMS) in a SME, in order to obtain the ISO 27001 certification in a simple way, at low cost and reducing implementation periods. For the development of this project, the project team make an exhaustive analysis of the ISO/IEC 27000 family of standards, in order to identify the minimum needed requirements for the implementation of an ISMS in a SME. Based on the analyzed, the project team design an ISMS model that allows their subsequent implementation in a SME. In addition, the project team develop the implementation procedure of the model, which allow an SME to implement the model by their own hands. Finally, the application of the proposed model is performed, following the established methodology, in an SME, to proof their viability and provide an implementation example for future project stakeholders. The long-term goal of this Project is to facilitate the implementation of an ISMS for SMEs on their own, to distinguish itself from competition or some other interest. / El presente proyecto propone un modelo de Sistema de Gestión de la Seguridad de la Información (SGSI) para su implementación en una pequeña y mediana empresa (pyme), con la finalidad de obtener, en un futuro, la certificación ISO 27001 de manera sencilla, a un bajo costo y con los tiempos de implementación reducidos. Para el desarrollo de este proyecto se realiza un análisis exhaustivo de la familia de normas ISO/IEC 27000, con la finalidad de identificar los requerimientos mínimos necesarios para la implementación de un SGSI en una pyme. En base a lo analizado, se elabora el diseño de un modelo de SGSI que permita su posterior implementación en una pyme. Asimismo, se elabora el procedimiento de implementación del modelo, el cual permite a una pyme poder implementar el modelo por sus propios medios. Por último, se realiza la aplicación del modelo propuesto, según la metodología establecida, en una pyme del Perú para comprobar su viabilidad y brindar un ejemplo de implementación para los futuros interesados en el proyecto. El objetivo a largo plazo de este proyecto es facilitar la implementación de un SGSI para una pyme por sus propios medios, para poder salvaguardar su información y poder distinguirse de la competencia.

Seguridad de la información

Sistemas de información administrativa

Normas técnicas

Pequeñas y medianas empresas

Ingeniería de sistemas

Tesis

Implementación de un modelo de la seguridad de la información basados en ITIL v3 para una Pyme de TI

Merino Vásquez, José Christiam, Torres Asencios, Edgar Junior

01 March 2016

El propósito de este proyecto, es proponer un modelo de la Gestión de la Seguridad de la Información aplicando ITIL v3, para que sean implementadas en las Pequeñas y Medianas Empresas, ya que en toda organización es necesario minimizar los riesgos y amenazas que se presenten. Para poder lograr esto, es indispensable contar con una adecuada Gestión de la Seguridad para poder asegurar la continuidad del negocio. Ante esta situación, surge el proyecto de Gestión de la Seguridad de la información para un Pyme de TI, el cual cuenta con las siguientes fases: La investigación pertinente en lo que corresponde la seguridad de la información bajo ITIL V3, el cual es el framework que se emplea durante la elaboración del proyecto. La investigación abarca los grupos de procesos que son aplicables para una pequeña y mediana empresa. Adicionalmente, se obtuvo el análisis del estado actual de una Pyme de TI con el objetivo de modelar e implementar los procesos de la Gestión de la Seguridad de la Información basados en ITIL V3 aplicables a este tipo de empresas. Cabe recalcar que ITIL V3 son buenas prácticas y son aplicables a toda organización de diferente actividad económica. En la segunda fase del proyecto, se desplego un piloto en una herramienta de software libre el cual respalde los procesos, controles que se definirán para la empresa. Para la implementación se toma a la empresa virtual de la UPC: IT-Expert y los servicios TI que esta gestiona como parte de sus procesos. Finalmente, el proyecto tiene como objetivo definir los procesos de gestión de la seguridad de la información en un PYME de TI basados en ITIL V3. En el caso de la empresa virtual: IT-Expert mediante el modelo de gestión de la seguridad de la información desarrollado, se mejoró el estándar de calidad y operatividad de los servicios TI dentro de la empresa. / The purpose of this project is to propose a model for the Management of Information Security by applying ITIL v3, to be implemented in the Small and Medium Enterprises, as in any organization is necessary to minimize the risks and threats that arise. To achieve this, it is essential to have adequate safety management to ensure business continuity. In this situation, the Project Management Information Security for Small Business IT, which has the following phases, arises: The relevant research in the corresponding information security under ITIL V3, which is the framework that is used during the development of the project. The research covers process groups that are applicable for small and medium enterprises. In addition, analysis of the current state of an SME IT in order to model and implement processes Management Information Security based on ITIL V3 applicable to these businesses was obtained. It should be noted that ITIL V3 and best practices are applicable to any organization of different economic activity. In the second phase of the project, a pilot was deployed in a free software tool which supports the processes, controls that are defined for the company. To implement taken to the virtual company UPC: IT-Expert and IT services it manages as part of its processes. Finally, the project aims to define the management processes of information security in SMEs based IT ITIL V3. In the case of the virtual enterprise: IT-Expert by the management model of information security developed, the standard of quality and operability of IT services within the company improved. / Tesis

Seguridad de la información

Sistemas de información administrativa

Tecnología de la información

Pequeñas y medianas empresas

Ingeniería de sistemas de información

Implementación de la gestión de configuración para la empresa virtual It Expert basado en Itil V3

Conislla Murguia, Fernando, Durand Peña, Marcos

01 October 2016

Ingeniería de Sistemas de Información / La empresa IT Expert carece de un óptimo proceso de configuración que cumpla con las necesidades de la empresa y con el control del ciclo de vida de los activos de TI. Por esta razón, el proyecto de Implementación de la Gestión de Configuración para la empresa IT Expert basado en ITIL v3, tiene como finalidad optimizar el proceso de configuración existente en la empresa, asimismo planificar y controlar de manera adecuada las necesidades de configuración. De este modo, se asegura la disponibilidad de todos los servicios que brinda la empresa, por ello el proyecto se encarga de minimizar los riesgos con la propuesta de un nuevo diseño de procesos y un nuevo modelo datos que permita gestionar de manera óptima y alineado a las buenas prácticas las configuraciones de los activos de la empresa. Al carecer de una adecuada gestión de la configuración puede tener como resultado servicios vulnerables o no alineados a las necesidades de la empresa, causando la interrupción de estos. Para una adecuada administración de la configuración y con el fin de beneficiar al negocio, existen buenas prácticas que ayudan a optimizar el proceso de configuración, tal como es el caso de ITIL v3. ITIL brinda un conjunto de buenas prácticas a seguir e implementar, una CMBD que apoya a la rápida e integrada respuesta de todos los componentes de la infraestructura de la empresa. Al seguir estas buenas prácticas la organización logra ser más eficiente y ágil con respecto a las configuraciones que se requiere implementar en la empresa. Para aplicar la guía de buenas prácticas recomendadas por ITIL v3, en el proceso de gestión de configuración, es necesario rediseñar los procedimientos AS-IS de configuración de la empresa IT Expert. Asimismo, la formalización de la documentación y de los procesos es aspecto importante para lograr mantener el equilibrio entre la ejecución de la configuración y la entrega del servicio, con el fin de no afectar a los usuarios. Cuando el proceso de configuración de ITIL se ejecuta interactúa con otros procesos, los cuales son parte de esta guía de buenas prácticas, tales como; la gestión de cambios, gestión de problemas y gestión de incidentes. Todos los procesos mencionados anteriormente forman parte de una buena gestión de la configuración para los servicios TI, ya que ayudan a soportar y asegurar la calidad de todos los servicios. / The IT Expert Company lacks an optimal process configuration that meets the needs of the company and with the control of the life-cycle of IT assets. For this reason, the project Implementation of Configuration Management for the company IT Expert based on ITIL v3, aims to optimize the configuration process existing in the company, also to plan and control adequately the needs of configuration. In this way, it ensures the availability of all the services provided by the company, so the project is responsible for minimizing the risks with the proposal of a new design processes and a new model data that allows to manage optimally and aligned to good practices in the configurations of the assets of the company. The lack of a proper management of the configuration may have as a result services are vulnerable or not aligned to the needs of the enterprise, causing the breakdown of these. For a proper configuration management and in order to benefit the business, there are good practices that help optimize the configuration process, such as is the case with ITIL v3. ITIL provides a set of good practices to follow and implement, a CMBD that supports the rapid and integrated response of all components of the infrastructure of the company. To follow these good practices, the organization could be more efficient and agile with respect to the configurations that are required to implement in the company. To apply the guide to good practices recommended by ITIL v3, in the process of configuration management, it is necessary to redesign the procedures AS-IS configuration of the IT Expert Company. In addition, the completion of the documentation and processes is an important aspect for keeping the balance between the execution of the configuration and delivery of the service, in order not to affect the users. When the configuration process of ITIL is running interacts with other processes, which are part of this guide of good practices, such as; change management, problem management and incident management. All the processes mentioned above are part of a good configuration management for IT services, as they help to support and ensure the quality of all the services. / Tesis

Seguridad de la información

Sistemas de información administrativa

Tecnología de la información

Empresas virtuales

Ingeniería de sistemas de información

Diseño de un sistema de gestión de la seguridad de la información (SGSI) para la Cooperativa de Ahorro y Crédito ABC, basado en la norma ISO 27001:2013

Moscaiza Moncada, Omar Israel

28 February 2018

Diseño de un modelo que permite gestionar la seguridad de la Información para la Cooperativa de Ahorro y Crédito ABC, en base a la norma ISO 27001:2013, teniendo en consideración la evolución, normativas y problemática interna de este tipo de instituciones financieras, las cuales poseen aspectos que evidencian la necesidad de direccionar sus procesos hacia una efectiva gestión de riesgos,así como, la adecuación a los requerimientos regulatorios vigentes, permitiendo que se preserve la disponibilidad, confidencialidad e integridad de la información. / Work a model has been designed which allows to manage the security of the Information for the ABC Savings and Credit Cooperative, based on the ISO 27001:2013 standard, taking into consideration the evolution, regulations and internal problems of this type of financial institutions, which have aspects that demonstrate the need to address their processes towards an effective risk management, as well as, the conformity to the current regulatory requirements allowing it to be preserved the availability, confidentiality and integraty of the information. / Tesis

Seguridad de la información

Gestión del riesgo

Sistemas de información administrativa

Cooperativas de crédito

Ingeniería de Redes y Comunicaciones

Propuesta de marco de gobierno de seguridad de la información para el mercado de valores del Perú

Dextre Alarcón, Jymmy Stuwart, Huamán Camayo, María del Rosario, Sánchez Arias, Jorge Raúl

01 January 2012

La tesis aborda desde una perspectiva multidisciplinaria el concepto del gobierno de seguridad de la información y su aplicación en el Mercado de Valores del Perú. Para ello, el análisis ha sido efectuado bajo un enfoque sistémico, buscando el alineamiento de estrategias, la entrega de valor, así como el aseguramiento de que el riesgo de la información está siendo abordado adecuadamente.Si bien, el Mercado de Valores del Perú juega un rol trascendental en nuestro país porque es uno de los medio para captar inversiones y su situación es un indicador de la estabilidad de la economía peruana, el alcance de la tesis se centra en el Mercado Secundario Bursátil. En el capítulo 1 se presenta el marco teórico, en el que se revisa los aspectos centrales de gobierno de seguridad de la información, los mercados de valores y la descripción del Mercado de Valores del Perú. En el capítulo 2 se realiza una evaluación y diagnóstico del gobierno de seguridad de la información en el Mercado de Valores del Perú; mientras que el capítulo 3 muestra la propuesta para un efectivo gobierno: visión, estrategia, propuestas y el plan de implementación. Finalmente, como resultado de este trabajo, se concluye que el gobierno de seguridad de la información, a pesar de ser un componente fundamental para lograr la confianza de los inversionistas y la competitividad del Mercado de Valores del Perú, actualmente es “inefectivo”. Por ello se recomienda que la Superintendencia del Mercado de Valores fortalezca la cultura de gobierno, ejecute la propuesta compuesta de 5 proyectos de implementación gradual y promueva que los participantes del Mercado de Valores del Perú, especialmente los agentes de intermediación inicien la implementación de su sistema de gestión de seguridad de la información. / Tesis

Seguridad de datos

Seguridad de la información

Arquitectura de software

Mercado financiero

Tesis

Propuesta de un marco de seguridad de la información en la nube pública para la SUNAT: Caso Sistema de Cuenta Única del Contribuyente

Sullca Recharte, Nilton

01 November 2018

El propósito del presente trabajo de investigación es proponer un marco de seguridad de la información que permita a la SUNAT garantizar la seguridad de la información, la reserva tributaria y la protección de datos personales en la Nube Publica. Para ello se analizó el estado del arte en materia de seguridad en la nube tanto en el Perú como en el extranjero, destaca en ello que en el Perú recién este año la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros saca el documento “Lineamientos para el uso de servicios en la Nube para entidades de la Administración pública del estado peruano”, por otro lado a nivel internacional la “Cloud Security Alliance” saca la V4 de su “Security Guidance for critical áreas of focus in cloud computing”. Estos documentos se tomaron como base para proponer un marco de seguridad que le permitirá a SUNAT cubrir la brecha que existe entre sus políticas de seguridad actuales y las que requieren para garantizar la seguridad de la información y la reserva tributaria en los Sistemas de Información que construya sobre la Nube Publica. / The purpose of this research work is to propose an information security framework that allows SUNAT to guarantee the security of information, the tax reserve and the protection of personal data in the Public Cloud. In order to do this, the state of the art in the field of cloud security was analyzed both in Peru and abroad. It is worth mentioning that in Peru, this year the Digital Government Secretariat of the Presidency of the Council of Ministers draws up the document " Guidelines for the use of services in the Cloud for entities of the public administration of the Peruvian state ", on the other hand at international level the" Cloud Security Alliance "takes the V4 from its" Security Guidance for critical areas of focus in cloud computing ". These documents were taken as a basis to propose a security framework that will allow SUNAT to cover the gap that exists between its current security policies and those required to guarantee the security of information and the tax reserve in the Information Systems that it builds on the Public Cloud. / Trabajo de investigación

Seguridad de la información

Seguridad de datos

Arquitectura de software

Computación en la nube

Sector público

Enfoque Metodológico para la selección de controles de seguridad de la información

Diéguez Rebolledo, Mauricio

18 February 2022

La gestión de la seguridad de la información es un desafío que ha ido cobrando cada vez más importancia. A medida que el número y gravedad de los ataques informáticos han crecido en el mundo, las empresas han comenzado a tomar conciencia de cuán importante es estar protegidos frente a acciones maliciosas que buscan vulnerar sus sistemas y acceder a sus activos de información. En particular, la automatización de los procesos y la digitalización de la información han expuesto a las organizaciones a ataques que buscan robar información o dañar sus sistemas. Cada vez es menos extraño escuchar noticias sobre un secuestro de información a través de los ransomware, o sobre ataques de denegación de servicio (DoS) para bloquear los accesos a dichos servicios. Estos ataques provocan cientos de millones de dólares en pérdidas en el mundo entero e incluso pueden llegar a detener la continuidad operacional de una organización. Frente a este escenario, es primordial que las organizaciones realicen una correcta gestión de la seguridad de la información, con el objetivo de proteger sus activos de información. Para ello, las organizaciones deben adoptar una actitud proactiva en lo referente a la seguridad, e implementar un conjunto de buenas prácticas en el quehacer de la organización que les permitan disminuir el riesgo de ser afectados por ataques informáticos. Con el fin de lograr este objetivo, existen estándares de seguridad en los que las organizaciones pueden apoyarse. Un estándar de seguridad de la información es una guía de implementación de buenas prácticas de seguridad, desde una perspectiva holística e integrada, que busca disminuir las vulnerabilidades de la organización a través de la implementación de un sistema de gestión de la seguridad de la información. Por tanto, a simple vista, la acción de protegerse es sencilla, ya que en teoría debería bastar con implementar el estándar para considerarse protegido. Sin embargo, la situación es algo más compleja, ya que se debe considerar que cada organización es un mundo aparte, con condiciones de operación y disponibilidad de recursos distintas. Lamentablemente el problema no consiste solo en implementar el estándar, sino que radica en determinar cuál es la mejor ruta de avance que puede tener una organización, considerando sus objetivos y condiciones particulares, así como su disponibilidad de recursos. Esto implica que cada definición de ruta es propia para cada organización. Desafortunadamente, hasta el momento no existe un modelo estándar que haya sistematizado el proceso de la definición de una ruta de avance de manera que pueda ser aplicada por cualquier organización. Actualmente la definición de una ruta de avance se traduce en la selección y planificación de la implementación de controles de un estándar de seguridad, y se basa principalmente en el juicio experto. Sin embargo, este proceder es subjetivo, ya que depende de la experiencia y visión del asesor, que no siempre considera las condiciones propias de la organización. Además, es un proceso que puede tomar bastante tiempo, ya que son múltiples las variables que se deben considerar. Otro problema es que este modo de definir la ruta de avance no asegura que la respuesta sea la óptima para la organización en base a sus condiciones, ya que, si bien se utilizan algunas técnicas como la gestión de riesgos, estas mayormente son de índole cualitativa. Por último, dado que el proceso de recomendación de la selección e implementación de controles de seguridad no está estandarizado ni es sistemático y dependen del asesor de seguridad, éste no es replicable, es decir, nada asegura que, de realizarse nuevamente, se obtendrían los mismos resultados. Esta tesis pretende paliar estos problemas, para lo cual plantea un enfoque metodológico para la selección y planificación de la implementación de controles de seguridad que estandarice y sistematice dicho proceso a través de la aplicación de modelos y técnicas de optimización. Estos modelos y técnicas permiten modelar la situación particular de la organización (Objetivos y restricciones) y aseguran una solución óptima para las condiciones representadas. La principal contribución de este trabajo es por tanto la propuesta de un proceso estándar y sistemático, pero que puede ser aplicado a cualquier organización, ajustándose a sus condiciones particulares, y que entrega la mejor solución para dichas condiciones. Este proceso se presenta como un apoyo útil para el asesor de seguridad a la hora de que éste realice sus recomendaciones de seguridad respecto de los controles que cada organización debe implementar para avanzar en el logro de un estándar de seguridad. Como contribuciones secundarias, se ha definido un marco conceptual de seguridad de la información que integra diversas visiones de las variables y relaciones que involucra la seguridad de la información. Es este marco conceptual el que apoya la modelación de los problemas de optimización que genera nuestra propuesta. Otro aporte es la identificación y categorización de los diversos problemas o escenarios que podrían considerarse para la modelación, es decir, basada en los diversos tipos de situaciones que una organización podría querer resolver. Esta categorización va más allá de los casos particulares de la industria que se suelen reportar en la literatura, y ha permitido identificar casos de las categorías más complejas que las que suelen encontrarse en dicha literatura. En esta línea, hemos desarrollado un ejemplo con una situación de una categoría compleja, lo que representa una contribución en sí misma. Un cuarto aporte es la generación de una herramienta informática que soporta el enfoque propuesto y apoya al asesor de seguridad en la aplicación de nuestra propuesta. La herramienta facilita, principalmente, la modelación y la resolución de dichos modelos, por lo que el asesor solo debe preocuparse del análisis de las respuestas. No hemos encontrado en otras propuestas descritas en la literatura herramientas que apoyen sus propuestas. Por último, el trabajo presenta una evaluación de la propuesta, a través de un estudio de adopción de métodos, con estudiantes de pregrado en un curso de auditoría informática. Este estudio evidenció una tendencia de los sujetos en estudio hacia la adopción de la propuesta, percibiéndola como un elemento útil y que se ajusta a su manera de trabajar. La principal debilidad de la propuesta se centró en la facilidad de uso, ya que la modelación y resolución del problema requiere de conocimientos avanzados de técnicas de optimización. En definitiva, la propuesta de este trabajo provee a la comunidad de la gestión de la seguridad de la información de un enfoque metodológico que permite sistematizar un proceso que hasta el momento solo se sustentaba en propuestas sobre casos particulares, por lo que no había sido estandarizado y su alcance era bastante limitado. Esto representa un avance en un ámbito que se encuentra en desarrollo y que aún no logra abarcar y solucionar todas las complejidades que presenta este problema. Creemos que la propuesta de esta tesis representa un avance en la dirección correcta, al definir lineamientos y soluciones sobre problemas que aún no habían sido enfrentados.

Seguridad de la información

Estándar de seguridad

Control de seguridad

Selección de controles de seguridad

Evaluación del riesgo

Enfoque metodológico

Intención de adopción

Utilidad

Facilidad de Uso

Compatibilidad

Norma Subjetiva

UMAM

Herramienta informática

Lenguajes y Sistemas Informáticos

Software integral de seguridad

Candela Luyo, Carlos Manuel, Nakamura Novoa, Jinjemon Rodolfo

27 July 2015

Consulte en el módulo de atención del Centro de Información de Monterrico.

Desarrollo de software

Sistemas de información administrativa

Diseño de sistemas

Seguridad de datos

Seguridad de la información

Arquitectura de software

Ingeniería de software

Tesis

Diseño de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001:2013 para la Municipalidad Distrital de El Agustino / Design of an Information Security Management System based on the ISO/IEC 27001:2013 standard for the District Municipality of El Agustino

Monteza Mera, Lisbet Odelly

26 February 2019

Este proyecto describe el diseño del Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001:2013 para proteger los activos de información asociados al proceso de recaudación y fiscalización tributaria de la Municipalidad Distrital de El Agustino. Tal como sugiere la norma ISO 27001 se siguió el ciclo de Deming o PDCA y consta de las siguientes etapas: en la primera se realizó el diagnóstico inicial de la entidad con respecto a la norma ISO/IEC 27001:2013; en la segunda se estableció el contexto de la organización, definiendo los procesos, el alcance, la política de seguridad y el comité de seguridad de la información; en la tercera se siguió la metodología de análisis y gestión de riesgo bajo la norma ISO/IEC 31000 donde se identificó, clasificó y valoró los activos de información, se identificaron las amenazas y vulnerabilidades, se realizó el cálculo del impacto y del riesgo para luego realizar el plan de tratamiento de riesgos identificando los controles de la norma ISO/IEC 27002:2013; en la cuarta etapa se elaboró la Declaración de Aplicabilidad y finalmente se elaboró el documento del Manual del SGSI. Dentro de este marco el trabajo nos permitió concluir en la importancia de protección de los activos de información garantizando la confidencialidad, integridad y disponibilidad de estos. / This project describes the design of the Information Security Management System based on ISO / IEC 27001: 2013 to protect the information assets associated with the tax collection and control process of the District Municipality of El Agustino. As the ISO 27001 standard suggests, the Deming or PDCA cycle was followed and consists of the following stages: in the first one the initial diagnosis of the entity was made with respect to the ISO / IEC 27001: 2013 standard; in the second, the context of the organization was established, defining the processes, scope, security policy and information security committee; in the third, the risk analysis and management methodology was followed under the ISO / IEC 31000 standard where information assets were identified, classified and valued, threats and vulnerabilities were identified, impact and risk calculation was performed and then carry out the risk treatment plan identifying the controls of ISO / IEC 27002: 2013; in the fourth stage the Declaration of Applicability was prepared and finally the document of the ISMS Manual was prepared. Within this framework, the work allowed us to conclude on the importance of protection of information assets, guaranteeing their confidentiality, integrity and availability. / Tesis

Gestión de riesgos

Plan de tratamiento de riesgos

Information Security Management System

Risk management

Risk treatment plan

Modelo de referencia para la protección de datos personales en el sector microfinanciero peruano / Reference model for personal data protection in the Peruvian microfinance sector

Alejo Alarcón, Claudio Alfredo Aarón, Navarro Ruíz, Alan Jesús

30 November 2020

La protección de datos personales consiste en resguardar la información de las personas en todo su ciclo de vida dentro de una entidad y emplearla únicamente para los fines por los cuales fueron proporcionados. Todas las empresas se convierten en titulares de bancos de datos personales al poseer información de sus clientes, colaboradores y/o proveedores, ya sea empleando tecnologías de información para su tratamiento, o documentos y almacenes físicos. La aplicación de las medidas de seguridad adecuadas para la protección de datos personales es de gran importancia en las organizaciones, en especial, en uno de los sectores de mayor crecimiento como es el microfinanciero. De lo contrario, pone en riesgo los derechos y libertades de las personas, además de recibir costosas sanciones económicas. En la presente tesis, se propone un modelo de referencia que brinda un conjunto de medidas legales, organizativas y técnicas para proteger los datos personales custodiados por una entidad microfinanciera, garantizando su adecuado tratamiento a lo largo de su ciclo de vida. Estas medidas están basadas en la Ley 29733 y su reglamento, ISO 27001, COBIT 5, NIST 800-53 y CIS CSC. El modelo de referencia fue implementado en una Cooperativa peruana de ahorro y créditos donde se recopiló información relacionada al tratamiento de datos personales, se evaluó el nivel de protección de datos personales y se implementó un plan de mejora. El resultado de la implementación fue un incremento del 57% en el nivel de protección de datos personales, alcanzando así un 74%. / The protection of personal data consists of safeguarding the information of people throughout its life cycle within an entity and using it only for the purposes for which it was provided. All companies become owners of personal data banks by having information on their clients, collaborators and / or suppliers, either by using information technologies for their treatment, or documents and physical warehouses. The application of adequate security measures for the protection of personal data is of great importance in organizations, especially in one of the fastest growing sectors such as microfinance. Otherwise, it puts the rights and freedoms of people at risk, in addition to receiving costly financial penalties. In this thesis, a reference model is proposed that provides a set of legal, organizational and technical measures to protect the personal data kept by a microfinance entity, guaranteeing its adequate treatment throughout its life cycle. These measures are based on Law 29733 and its regulations, ISO 27001, COBIT 5, NIST 800-53 and CIS CSC. The reference model was implemented in a Peruvian savings and loan cooperative where information related to the processing of personal data was collected, the level of protection of personal data was evaluated and an improvement plan was implemented. The result of the implementation was a 57% increase in the level of protection of personal data, thus reaching 74%. / Tesis

Datos personales

Sector microfinanciero

Seguridad de la información

ISO 27001

Personal data

Microfinance

Information security