Propuesta de diseño de políticas de seguridad de la información en el estudio contable JC TICONA

Abstract

El presente proyecto se desarrolla ante la ausencia de políticas formales de seguridad de la información en el Estudio Contable JC TICONA, situación que genera vulnerabilidades en la confidencialidad de los datos contables y tributarios que gestiona la organización. El objetivo es formular lineamientos conceptuales para el futuro diseño de políticas de seguridad de la información, basados en la norma internacional ISO/IEC 27001:2022, con el fin de establecer directrices normativas y operativas que fortalezcan la gestión de los activos de información y aseguren la continuidad de las operaciones. El estudio es de tipo aplicado, con enfoque cuantitativo, nivel descriptivo diagnóstico y diseño no experimental de corte transversal. La unidad de análisis corresponde a los procesos, documentos y controles internos relacionados con la seguridad de la información. La recolección de datos se realizó mediante una lista de cotejo estructurada en tres dominios alineados a la ISO/IEC 27001:2022. El análisis se efectuó a través de una valoración porcentual del nivel de cumplimiento de cada control, clasificando los resultados en tres categorías: Cumple (C), Parcialmente cumple (PC) y No cumple (NC). Los resultados del diagnóstico muestran que el 88.9 % de los controles se encuentran en condición de cumplimiento parcial, lo que evidencia que la mayoría de los procesos se ejecutan de forma empírica, sin documentos, procedimientos ni lineamientos formales. Asimismo, el 11.1 % de los controles presentan un nivel de incumplimiento crítico, especialmente en aspectos como la clasificación de la información y el inventario de activos, donde no existe evidencia de prácticas implementadas. Con base en estos hallazgos, se formularon lineamientos conceptuales y una ruta referencial para el futuro diseño e implementación de políticas formales de seguridad de la información, abarcando áreas como control de accesos, respaldo y almacenamiento, uso aceptable de la información y respuesta ante incidentes. La pertinencia de la propuesta fue corroborada mediante validación de expertos en seguridad de la información.