Evaluación del sistema de gestión de seguridad de la Información según la norma ISO/IEC 27001 en el sub área de seguridad, gobierno y servicio del Scotiabank Perú S.A., San Isidro 2023

Abstract

En el contexto actual de avances tecnológicos y creciente dependencia de la información digital, la seguridad de la información se ha convertido en una preocupación crítica para las organizaciones. El Scotiabank Perú S.A. ha implementado un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO/IEC 27001 para salvaguardar sus activos de información. A pesar de la implementación del SGSI y la certificación ISO/IEC 27001, la subárea de Seguridad, Gobierno y Servicio del Scotiabank Perú S.A. en San Isidro enfrenta desafíos significativos. Estos desafíos incluyen brechas de cumplimiento emergentes, falta de adaptación continua, desafíos en la gobernanza de datos, cultura de seguridad deficiente y complejidad en la integración de servicios, la formulación del problema se centra en garantizar la seguridad de la información en el Scotiabank Perú S.A., considerando la evolución de amenazas cibernéticas, cambios tecnológicos, integración de servicios, desafíos en la gobernanza de datos y la cultura de seguridad, los objetivos de la investigación son evaluar el SGSI del Scotiabank Perú S.A. en términos de conformidad con la norma ISO/IEC 27001, identificar y evaluar riesgos, analizar la eficiencia y efectividad de las medidas de seguridad, y evaluar el cumplimiento de procedimientos y políticas, la hipótesis general plantea la efectividad del SGSI del Scotiabank Perú S.A., mientras que las variables incluyen el sistema de gestión de seguridad de la información según la norma ISO/IEC 27001, la metodología adoptada es de tipo descriptivo y no experimental, con una población centrada en los requisitos de la norma ISO/IEC 27001 aplicados en el área de Seguridad, Gobierno y Servicio del Scotiabank Perú S.A. La recolección de datos se realizará mediante revisión documental, entrevistas y cuestionarios, en los resultados obtenidos, se destaca el grado de conformidad con la norma, el índice de cumplimiento de controles de seguridad, el número de incidentes de seguridad, el nivel de preparación ante incidentes, el tiempo de detección y respuesta a incidentes, y el cumplimiento de procedimientos y políticas.

In the current context of technological advances and increasing reliance on digital information, information security has become a critical concern for organizations. Scotiabank Peru S.A. has implemented an Information Security Management System (ISMS) based on the ISO/IEC 27001 standard to safeguard its information assets. Despite the implementation of the ISMS and ISO/IEC 27001 certification, the Security, Governance, and Service sub-area of Scotiabank Peru S.A. in San Isidro faces significant challenges. These challenges include emerging compliance gaps, lack of continuous adaptation, data governance challenges, poor security culture, and complexity in service integration. The problem formulation focuses on ensuring information security at Scotiabank Peru S.A., considering the evolution of cyber threats, technological changes, service integration, data governance challenges, and security culture. The research objectives are to evaluate Scotiabank Peru S.A.'s ISMS in terms of compliance with the ISO/IEC 27001 standard, identify and assess risks, analyze the efficiency and effectiveness of security measures, and evaluate compliance with procedures and policies. The general hypothesis posits the effectiveness of Scotiabank Peru S.A.'s ISMS, while the variables include the information security management system according to the ISO/IEC 27001 standard. The methodology adopted is descriptive and non-experimental, with a population focused on the requirements of the ISO/IEC 27001 standard applied in the Security, Governance, and Service area of Scotiabank Peru S.A. Data collection will be conducted through document review, interviews, and questionnaires. The obtained results will highlight the degree of compliance with the standard, the compliance index of security controls, the number of security incidents, the level of incident preparedness, the time for detection and response to incidents, and compliance with procedures and policies.