• No se han encontrado resultados

DISEÑO DE UN SISTEMA INFORMÁTICO PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DEL TURISMO

N/A
N/A
Protected

Academic year: 2020

Share "DISEÑO DE UN SISTEMA INFORMÁTICO PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DEL TURISMO"

Copied!
10
0
0

Texto completo

(1)

ARTICULO ORIGINAL

DISEÑO DE UN SISTEMA INFORMÁTICO PARA LA GESTIÓN DE RIESGOS DE

SEGURIDAD DE LA INFORMACIÓN EN LA INDUSTRIA DEL TURISMO

DESIGN OF A COMPUTER SYSTEM FOR RISK MANAGEMENT OF INFORMATION

SECURITY IN TOURISM INDUSTRY

Recibido: 12/01/2017 Revisado: 21/02/2017 Aprobado: 06/03/2017

1 2

Pamela V. Espinoza Huerta , Ulises N. Román Concha

RESUMEN

El crecimiento de la “economía de la información” ha establecido nuevas amenazas y vulnerabilidades g l o b a l e s p a r a l a s o r g a n i z a c i o n e s q u e o f r e c e n servicios/bienes usando la TI, las cuales requieren salvaguardar sus activos de información reduciendo niveles de riesgo. En este artículo presentamos una propuesta diseño de un sistema informático para la gestión de riesgos de seguridad de la información en la Industria del turismo y a s í c o n t r i b u i r e n l a d i r e c c i ó n d e s u s p r o c e s o s organizacionales. El diseño fue realizada aplicando el enfoque de riesgos (NIST SP 800-30, ISO/IEC 31000, Microsoft, OCTAVE, CRAMM, y MAGERIT), metodología del producto el ciclo de Deming (Planear, hacer, revisar y actuar) en los entregables finales y para el Diseño del Sistema informático, se ha utilizado la metodología RUP (Rational Unified Process) en sus Flujos de trabajo del proceso: Modelado del negocio, Requisitos, Análisis y diseño. Sus módulos funcionales son: Inicio, Gestión de activos, amenazas y vulnerabilidades, Gestión de riesgos, Consultas y Datos maestros. Los resultados mostrados permiten la identificación, análisis, tratamiento y monitoreo de riesgos en la organización en caso particular la industria del turismo, además facilitará reportes, a través de una base de datos centralizada, como consulta de riesgos por criticidad, historial de riesgos, lista de activos de información; y lista de amenazas y vulnerabilidades.

Palabras clave: información, gestión, gestión de riesgos, riesgo, seguridad, turismo.

ABSTRACT

The growth of "information economy" has established new global threats and vulnerabilities for organizations offering services / goods using IT, which require safeguarding their information assets by reducing levels of risk. In this article we present a proposed design of a computer system for the management of information

security risks in the Tourism industry and thus contribute in the direction of its organizational processes. The design was carried out applying the risk approach (NIST SP 800-30, ISO / IEC 31000, Microsoft, OCTAVE, CRAMM, and MAGERIT), product methodology Deming cycle (Plan, do, review and act) on deliverables The Rational Unified Process (RUP) methodology has been used in its process workflows: Business Modeling, Requirements, Analysis and Design. Its functional modules are: Start, Asset M a n a g e m e n t , T h r e a t s a n d Vu l n e r a b i l i t i e s , R i s k Management, Queries and Master Data. The results indicate the identification, analysis, treatment and monitoring of risks in the organization, in particular the tourism industry, in addition to facilitating reports through a centralized database, such as criticality risk consultation, risk history, list Of information assets; And list of threats and vulnerabilities.

Key Word: information, management, risk, risk management, security, tourism.

I. INTRODUCCIÓN

El uso de las Tecnologías de Información y Comunicaciones resulta de gran importancia para lograr los objetivos de las organizaciones ante un mercado exigente y cambiante. El turismo no se encuentra excepto a esta situación, y representa la segunda actividad del Perú más importante dentro del sector de exportaciones no tradicionales, al aportar 3.9% del producto interno bruto (PIB), según cifras del Ministerio de Comercio Exterior y Turismo. [1]

El dramático crecimiento y la escala de la “economía de la información” han establecido nuevas amenazas y vulnerabilidades globales para las organizaciones en red. Por ejemplo, el internet está revolucionando la distribución de las ventas e información

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(2)

del turismo. En este sentido, las agencias de viaje se encuentran en la necesidad de ofrecer un servicio de calidad y salvaguardar sus activos de información frente a un mercado muy cambiante debido al uso de las tecnologías de la información.

Entonces, resulta esencial las instituciones públicas y privadas que participan en el sector del turismo, cuenten con un sistema informático de gestión de riesgos, permitiendo mantener el riesgo por debajo del nivel aceptable que haya sido determinado por la dirección de la organización.

Se han estudiado diferentes enfoques para la gestión de riesgos, entre los cuales se encuentran: NIST SP 800-30, ISO/IEC 31000, Microsoft, OCTAVE, CRAMM, ETSI TVRA y MAGERIT. Además se citan ejemplos y referencias de otros libros tales como: Nine Steps to Success, Information Security Management, Information Technology Risk Management in Enterprise Environments, PMBOK Guide, etc.

Por tanto, el presente trabajo tiene como objetivo principal el diseño de un sistema informático para la gestión de riesgos de seguridad de la información en la Industria del turismo.

II. CONTENIDO

2.1 Fundamentación Teórica

2.1.1. Gobierno de TI

Gobierno de TI.- Es un marco de trabajo que permite asegurar que las TICs soporten y permitan el logro de los objetivos y estrategias del negocio y cuyas áreas de enfoque son: Alineamiento estratégico, entrega de valor, manejo de riesgos, manejo de recursos y mediciones de desempeño. Para la entrega de valor y gestión de riesgos se pueden destacar respectivamente

· VAL IT. Marco de trabajo de gobernabilidad que se puede utilizar para crear valor de negocio de las inversiones en TI.

· RISK IT. Establece las mejores prácticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados a su negocio.

2.1.2. Seguridad de la Información

L a O r g a n i z a c i ó n I n t e r n a c i o n a l p a r a l a Estandarización (ISO) y la Comisión Electrónica Internacional (IEC) publicaron la serie de normas ISO/IEC 27000, que son los estándares de seguridad y contiene las mejores prácticas recomendadas en ese ámbito.

a) ISO/IEC 27001. “ISO/IEC 27001 - Information technology – Security techniques – Information security management systems - Requirements”. Este estándar internacional

monitorear, revisar, mantener y mejorar un SGSI documentado dentro del contexto de los riesgos globales del negocio de la organización. Se especifica los requerimientos para la implementación de los controles de seguridad adaptados a las necesidades individuales de la organización o partes del mismo.

b) ISO/IEC 27003. “ISO/IEC 27003 – Information technology – Security techniques – Information security management system implementation guidance”. El propósito de este estándar internacional es proveer una guía práctica en desarrollar el plan de implementación para un SGSI dentro de una organización de acuerdo con el ISO/IEC 27001:2005. Se focaliza en los aspectos críticos necesarios para un diseño e implementación exitosa de un SGSI.

c) ISO/IEC 27005. “ISO/IEC 27005 – Information technology – Security techniques – Information security risk management”. Este estándar internacional provee directrices para la gestión de los riesgos de la seguridad de la información en una organización, soportando en particular los requerimientos de una gestión de la seguridad de la información de acuerdo al ISO/IEC 27001. Sin embargo, este estándar no provee algún método específico para la gestión de los riesgos de la seguridad de la información, debido a que la organización define su enfoque para gestionar los riesgos. Un número de metodologías existentes pueden ser usadas bajo el marco de trabajo de este estándar internacional para implementar los requerimientos de un SGSI.

2.1.3 Turismo

E-Tourism

El eTourism se reduce a menudo al uso del Internet como canal de la comercialización del turismo. Dentro del concepto holístico de eTurismo desarrollado por Feratel, el objetivo es proporcionar apoyo tecnológico para tantos aspectos de la gestión de destinos como sea posible y aprovechar todos los posibles canales de ventas.

Proyecciones del turismo a nivel mundial

Según el Tourism Towards 2030, se espera que el número de llegadas de turistas internacionales en el mundo aumente anualmente 3.3% en promedio durante el período de 2010 a 2030. En cifras absolutas, las llegadas de turistas internacionales aumentarán en unos 43 millones al año en comparación con un aumento de 28 millones anuales durante el período 1995-2010.

El crecimiento más fuerte por región se verá en Asia y el Pacífico, donde se prevé que las llegadas aumentarán en 331 millones para llegar a 535 millones en 2030 (+ 4,9% al año). También se espera que Oriente Medio y África aumenten más del doble de su número de llegadas en este período, de 61 millones a 149 millones y de 50 a 134 millones, respectivamente. Europa (de 475 millones a 744 millones) y las Américas (de 150 millones a 248 millones)

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(3)

Fuente: World Tourism Organization (UNWTO)

Figura 1. Turismo hacia el 2030: Tendencia actual y proyección 1950 -2030.

Sector Turismo en Perú respecto a los países de la región

En el análisis del comportamiento de la llegada de turistas internacionales y del Índice de Competitividad de Viajes y Turismo a 2013, se observa una posición favorable del Perú en relación a otros países de Latinoamérica, debido al mayor crecimiento del turismo receptivo que

Fuente: Compendio de Estadísticas de Turismo 2006-2010, OMT; índice de Competitividad de Viajes y Turismo 2011, WEF.

Figura 2. Comportamiento de llegada de turistas internacionales respecto a Perú y países de América.

presenta su sector.

Sector Turismo en Perú respecto al mundo

Por otro lado, en comparación con los países asiáticos y del Medio Oriente, la posición del Perú es menos ventajosa en el comportamiento de la llegada de turistas internacionales y del Índice de Competitividad de Viajes y Turismo a 2013, debido a que otros países presentan un

Fuente: Compendio de Estadísticas de Turismo 2006-2010, OMT; índice de Competitividad de Viajes y Turismo 2011, WEF.

Figura 3. Comportamiento de llegada de turistas internacionales respecto a Perú y países de América.

mayor dinamismo en el crecimiento del turismo receptivo. A t r a v é s d e l r e p o r t e t o t a l d e t u r i s t a s internacionales trabajado por la Superintendencia Nacional de Migraciones, se tiene que los cinco países con mayor llegada de turistas entre Enero a Mayo de 2016, son Chile, EE.UU., Ecuador, Colombia y Costa Rica con una participación de 30.8%, 15.4%,6.8%, 4.8% y 1.3% respectivamente.

El Turismo es un sector económico con bastante potencial en el Perú, debido a los recursos y atractivos que presenta el país. Para atender al flujo de turistas creciente, con mayor calidad de servicio, es necesario capacitar a más profesionales en el sector y mejorar la infraestructura. Por tanto, el desarrollo y promoción de atractivos turísticos debe considerar una segmentación de mercados con turistas que demandan nuevas experiencias, crecimiento personal, necesidad de descubrir civilizaciones antiguas, alto contacto con la naturaleza, gastronomía, cultura, entre otros.

Según la escuela de negocios London School of Economics (LSE), la inteligencia artificial, la realidad virtual y el uso de tecnologías portátiles podrían cambiar

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(4)

drásticamente la industria de la distribución de viajes. La OMT emitió en 1991 la siguiente definición del Turismo, todavía vigente:

El turismo comprende las actividades que realizan las personas durante sus viajes y estancias en lugares distintos al de su entorno habitual, por un periodo de tiempo consecutivo inferior a un año, con fines de ocio, por negocios y otros motivos (OMT, 1995:11)

Las agencias de viajes son empresas de servicios dedicadas a facilitar y promover la realización de los viajes.

El presente trabajo, se enfoca en el tipo de viaje: Turismo organizado, por las agencias de viaje, teniendo como caso de estudio: Perú.

2.2 Metodología

Los principales métodos que se utilizan son: análisis, síntesis, deductivo, inductivo, descriptivo y estadístico. Mientras que los principales instrumentos que se aplican son: Guía de análisis documental, encuestas y estadísticas. Se utiliza como metodología del producto el ciclo de Deming (Planear, hacer, revisar y actuar) en los entregables finales del trabajo de investigación. Se han estudiado diferentes enfoques para la gestión de riesgos, entre los cuales se encuentran: NIST SP 800-30, ISO/IEC 31000, Microsoft, OCTAVE, CRAMM, y MAGERIT. Para el Diseño del Sistema informático, se ha utilizado la metodología RUP (Rational Unified Process) en sus Flujos de trabajo del proceso: Modelado del negocio, Requisitos, Análisis y diseño.

Enfoques en la Gestión de riesgos:

NIST SP 800-30: Ofrece una visión general de la gestión de riesgos, cómo se integra en el ciclo de vida de desarrollo de sistemas, y las funciones de las personas que apoyan y utilizan este proceso.

ISO/IEC 31000: Proporciona principios y directrices genéricas sobre la gestión de riesgos. Microsoft: Un enfoque proactivo puede ayudar a

las organizaciones de todos los tamaños con su respuesta a los requerimientos presentados por estos desafíos ambientales y legales.

OCTAVE: Un enfoque para las evaluaciones de riesgo de seguridad de la información que es sistemática, impulsada en el contexto y auto dirigido.

CRAMM: Aplicable a todo tipo de sistemas y redes de información y se puede aplicar en todas etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad. MAGERIT: Implementa el proceso de gestión de

riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de las TIC.

ü

ü

ü

ü

ü

ü

El Proceso Racional Unificado o RUP (por sus siglas en inglés de Rational Unified Process) es un proceso de desarrollo de software elaborado por la empresa Rational Software, actualmente propiedad de IBM.

La estructura del proceso tiene dos dimensiones:

1. El eje horizontal representa el tiempo y muestra los aspectos del ciclo de vida del proceso y como estos se despliegan.

2. El eje vertical representa las disciplinas principales, que agrupan las actividades

Fuente: Libro: The Rational Unified Process

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(5)

lógicamente por naturaleza. 2.3 Resultados

2.3.1 Alcance de la solución

El incremento de tecnologías de información en todos los sectores, requieren la adopción de medidas que aseguren un nivel adecuado de seguridad. En la actualidad no existe un Sistema informático libre para la gestión de seguridad a través de la evaluación y gestión de riesgos de los activos de información. Los sistemas informáticos que apoyan la gestión en cuanto a la seguridad de los activos informáticos son costosos y licenciados, entre ellos podemos encontrar: GxSGSI, R-Box. El alcance de la solución contempla, el diseño de ventanas que permitirán al usuario realizar la gestión de riesgos a través de las categorías: riesgo estratégico, riesgo operativo, riesgo financiero, riesgo de cumplimiento y riesgo de tecnología.

2.3.2 Características del Producto

Diseñada para automatizar, y hacer un efectivo análisis de gestión de riesgos de seguridad de la organización. Reduce el tiempo de obtención de reportes a través de

simples consultas en el portal. Es intuitivo y escalable.

Facilita una base sólida para diseñar un plan de continuidad de negocios.

2.3.3 Especificaciones Funcionales

• Inicio: Presenta una visión general, en cuánto a estándares de la gestión de riesgos y la metodología propuesta en el proyecto de tesis.

• Gestión de activos: Representa la sección en donde se registrará y clasificará los activos de información. Así como también, permitirá identificar y valorar las amenazas y vulnerabilidades para posteriormente ser asignadas a los activos. Además, en esta sección se presenta el Documento de aplicabilidad, documento generado en función de las contramedidas que hayan sido asignadas a las amenazas del catálogo junto a los controles aplicables y su posterior documentación.

• Gestión de riesgos: Este módulo incluye los formularios para la identificación de riesgos, su análisis, tratamiento y monitoreo.

• Consultas: Se crearán ventanas que le permitirán al usuario realizar consultas sobre los riesgos por área, criticidad y su historial. Así como listar los activos de información de la organización según parámetros de búsqueda específicos.

• Datos maestros: Este módulo permitirá de forma parametrizable brindar el mantenimiento a los macro procesos, procesos, categoría del riesgo y niveles de riesgo.

ü

ü

ü ü

Fuente: Elaboración propia

Figura 5. Especificaciones funcionales – Diseño de Aplicación Informática

2.3.4 Perfiles de ingreso

El presente proyecto será realizado para cuatro perfiles de usuario, definido de acuerdo a su rol:

A. Asistente de seguridad de la información B. Analista de Riesgos

C. Oficial de seguridad de la información (Administrador del sistema)

ü ü

ü ü

Tabla 2. Perfiles de ingreso – Diseño de Aplicación Informática.

Fuente: Elaboración propia.

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(6)

D. Gerente de Seguridad de la Información 2.3.5 Vistas

Se realizó un diseño de aplicación informática SGSI con enfoque en gestión de riesgos, lo cual reduce el tiempo de obtención de reportes a través de simples consultas en el portal, permitiendo que el Sistema sea auditable en un menor tiempo. Y facilita una base sólida para diseñar un plan de continuidad de negocios. [17]

La propuesta del Sistema de gestión de seguridad de la información, tiene las pestañas principales: Inicio, Gestión de activos, amenazas y vulnerabilidades, gestión

Fuente: Elaboración propia.

Figura 6. Vista: Página Principal – Diseño de Aplicación Informática

de riesgos, consultas y datos maestros.

La vista del Registro de riesgo, sirve para registrar el proceso, detalle, descripción y fecha de riesgo. Asimismo, también se debe ingresar cuáles fueron sus

Fuente: Elaboración propia.

Figura 7. Vista: Registro del riesgo – Diseño de Aplicación Informática

posibles causas, y cuáles serán sus consecuencias. A través de la vista búsqueda de riesgo, se podrá colocar la descripción del riesgo, su tipo y proceso al que pertenece. A partir de ello, se podrá iniciar la búsqueda del

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(7)

Fuente: Elaboración propia.

Figura 8. Vista: Búsqueda del riesgo – Diseño de Aplicación Informática

riesgo.

Para realizar el análisis del riesgo, previamente debe ingresarse el código del riesgo a través del icono. Luego de ello, se mostrará automáticamente los datos del riesgo los cuales serán de lectura, se ingresará la probabilidad e impacto y en la sección Control, que se encuentra al lado derecho se podrá seleccionar los controles que se usarán para realizar el análisis del riesgo.

Fuente: Elaboración propia.

Figura 9. Vista: Realizar análisis del riesgo – Diseño de Aplicación Informática

La vista nuevo tratamiento del riesgo, permite definir las fechas de inicio y cierre, ejecución y seguimiento. También se definirá el tipo de tratamiento, la propuesta; y

Figura 10. Vista: Nuevo tratamiento del riesgo – Diseño de Aplicación Informática

Fuente: Elaboración propia.

cuáles serán las acciones a considerar.

A fin de realizar la evaluación de riesgos, se diseñó la vista de matriz de riesgos, en el cual se podrá realizar la búsqueda a través de su código, descripción, estado y/o fecha de cambio de estado. Los campos que incluye esta vista son: Código de riesgos, riesgo, estado del riesgo, fecha de registro, proceso, probabilidad, impacto y nivel de

Fuente: Elaboración propia.

Figura 11. Vista: Matriz de riesgo – Diseño de Aplicación Informática

riesgo.

La vista de mapa de riesgos, se diseñó a fin que se tenga una mayor visibilidad de la información del riesgo. Para ello, la consulta incluye: Código del riesgo, riesgo, controles identificados, índice de exposición al riesgo, nivel de exposición al riesgo, tipo de tratamiento, propuesta de tratamiento, acciones realizadas, solución al tratamiento,

Fuente: Elaboración propia.

Figura 12. Vista: Mapa del riesgo – Diseño de Aplicación Informática

estado del riesgo y fecha de cambio de estado.

El sistema permitirá mantener los riesgos g e s t i o n a d o s y s e p o d r á o b t e n e r r e p o r t e s c o n semaforización, para una mejor visibilidad del impacto y la

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(8)

Tabla 3. Matriz de zona de riegos Fuente: Elaboración propia.

El significado para cada nivel de probabilidad de ocurrencia se detalla a continuación:

Tabla 4. Probabilidad de ocurrencia del evento Fuente: Elaboración propia.

probabilidad de ocurrencia del riesgo. 2.3.6 Análisis de Encuestas

EY elaboró la “Encuesta Global de Seguridad de la Información”, que fue realizada entre junio 2014 y agosto 2014. Participaron más de 1,800 encuestados entre las principales industrias de 60 países. Para la encuesta, participaron CIOs, CISOs, CFOs, CEOs y otros ejecutivos de seguridad de información. Se distribuyó un cuestionario a profesionales de EY en cada país, junto con instrucciones para una administración consistente del proceso de encuesta. La mayoría de respuestas de la encuesta fueron recolectadas durante entrevistas. Cuando esto no fue posible, el cuestionario fue conducido online. El margen de error es menos de 1%.

Dicha encuesta, mostró que en el mundo el 27% de los encuestados indica que se realiza una evaluación de riesgos periódica a sus socios externos sobre cómo protegen la información de la organización. Mientras que en el Perú es un 5%.

Asimismo, se obtuvo que en el mundo el 58% de las organizaciones no tiene una función que se focalice en el análisis y evaluación de tecnologías emergentes y su impacto en su organización. Sin embargo, en el Perú esto representa el 83%.

2.3.7 Agencia de Viajes

Modelo del Proceso de Agencia de Viajes

La agencia de viajes obtiene diversas ofertas y luego le agrega valor a través de sus procedimientos internos, con el fin de realizar la comercialización de productos/servicio a sus clientes.

Entre los proveedores de una agencia de viajes se puede encontrar: Hospedaje, restaurante, transportes, eventos organizados y operadores. Mientras que los

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(9)

Los clientes se pueden clasificar en: turistas nacionales, turistas internacionales y empresas.

Funciones de las Agencias de Viajes

• Reservaciones y emisión de boletos y cupones de reservación en transportes.

• Elaboración de itinerarios, planes de viaje, etc. • Reservación y renta de servicios de hospedaje y movilidad.

• Venta por comisión de componentes de viaje y/o paquetes turísticos.

• Trámites y expedición de documentos de migración y tránsito.

• P r o m o c i ó n , p u b l i c i d a d y m e r c a d e o d e componentes y/o paquetes turísticos.

Modelo del Sistema de Agencia de Viajes

En el modelo del sistema de agencia de viajes se puede apreciar las distintas unidades que interactúan en el Sistema; entre ellas: Cliente, contrato, itinerario, proveedor, reservación, transporte y sucursal. Esta información se integrará en una base de datos empresarial centralizada, con el fin de brindar un servicio de calidad al cliente a través de los distintos canales de comunicación.

Sin embargo, para cumplir dicho propósito, es necesario que se realice una adecuada gestión de riesgos para así contribuir a la integridad, confidencialidad y disponibilidad de la información.

Es por ello, que la gestión de riesgos se da desde la planificación a la entrega del servicio.

CONCLUSIONES

L a o p e r a t i v i d a d y c o n t i n u i d a d e n l a s organizaciones del sector turismo se ven positivamente impactados a través de una adecuada gestión de riesgos de seguridad de la información, permitiendo salvaguardar los activos de la información a través de la confidencialidad, integridad y disponibilidad de la información.

Se diseñó un Sistema informático alineado a los requerimientos funcionales descritos en la norma ISO/IEC 27001 orientado a facilitar el proceso de gestión de riesgos, el cual incluye cuatro perfiles: Asistente de Seguridad de la Información, Analista de Riesgos, Oficial de Seguridad de la información y Gerente de Seguridad de la Información; esto a fines que se realice una adecuada gestión de riesgos y la Dirección tenga información oportuna para la toma de decisiones.

La organización obtiene mejores resultados en la gestión de seguridad de la información, es decir, información organizada y oportuna mediante reportes consolidados con una base de datos centralizada, esto a través de contar con una aplicación informática que automatice los procesos organizacionales, permitiendo crear valor al negocio.

RECOMENDACIONES

Las agencias de viaje deben contar con un Plan de Seguridad que se encuentre alineado a las necesidades del Plan Estratégico de la Organización y de TI; esto a fines de definir estrategias sostenibles que salvaguarden los activos de la Información.

Sería adecuado que también se elabore un Plan de continuidad del negocio y un Plan de auditoría, que permitirá reforzar la seguridad de la empresa.

S e r e c o m i e n d a a p l i c a r e s f u e r z o s p a r a implementar el sistema informático propuesto en el artículo para facilitar una adecuada gestión de riesgos en la industria del turismo.

AGRADECIMIENTOS

A Dios todopoderoso, por haber guiado e iluminado mi camino cada uno de mis días. A mi querida familia, en especial a mi madre, Lucinda por haberme brindado su apoyo incondicional.

REFERENCIAS BIBLIOGRÁFICAS

Egger, R. y Buhalis, D. (2008). eTourism Case Studies. 1st Ed, pp246. ISBN: 978-0-7506-8667-9, [Online]. Available: https://books.google.com

El Comercio (2016). Lo que hará el Gobierno para duplicar la llegada de turistas. (Consultado el 15 de octubre d e 2 0 1 6 ) . [ O n l i n e ] . A v a i l a b l e : http://www.elcomercio.pe/economia/peru/lo-que- hara-gobierno-duplicar-llegada-turistas-noticia-1934932

El Comercio (Agosto, 2016). ¿De qué países son los turistas que más vienen al Perú. (Consultado el 15 de octubre de 2016). [Online]. Available: http://www.elcomercio.pe/vamos/peru/que- paises-son-turistas-que-mas-vienen-al-peru-noticia.

Figura 13. Modelo del Sistema de una Agencia de Viajes Fuente: Elaboración propia

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

(10)

ISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance, ISO/IEC Standard, Feb. 2010.

ISO/IEC 27005:2011 Information technology -- Security t e c h n i q u e s - - I n f o r m a t i o n s e c u r i t y r i s k management, ISO/IEC Standard, Jun. 2011. Ministerio de Comercio, Exterior y Turismo (Julio, 2013).

PENTUR Plan Estratégico Nacional de Turismo 2012-2021. (Consultado el 15 de octubre de 2 0 1 6 ) . [ O n l i n e ] . A v a i l a b l e : h t t p : / / w w 2 . m i n c e t u r . g o b . p e / w p -content/uploads/documentos/turismo/PENTUR_ Final.pdf

Ministerio de Comercio, Exterior y Turismo (Diciembre, 2014). Plan Operativo Institucional 2015. (Consultado el 15 de octubre de 2016). [Online]. Available:http://www.mincetur.gob.pe/newweb/po rtals/0/transparencia/POI_2015_MINCETUR.pdf Mitre, M. La producción e Intermediación Turística en el

Sector de las Agencias de Viajes, 1st Ed., Ed. Universidad de Oviedo, 2006, p7. , ISBN-13: 978-8 4 - 978-8 3 1 7 - 5 6 6 - 978-8 , [ O n l i n e ] . A v a i l a b l e : https://www.uniovi.es/publicaciones

Kruchten, P. ISACA (2004). The Rational Unified Process an Introduction. ISBN 0-321-19770-4, 3rd ed. Ed. Boston: Pearson Education, Inc. [Online]. Available: https://www.books.google.com.pe UNWTO (2015). UNWTO Tourism Highlights. (Consultado

el 25 de octubre de 2016). [Online]. Available: http://www.unwto.org

Espinoza, P. (Diciembre, 2013). Gobierno de TI. (Consultado el 24 de septiembre de 2016). [Online].Available:http://www.pamela7913.wixsite .com/pamvic/niveles-de-gobernanza

Espinoza, P. (Noviembre, 2015). Implementación del Sistema de Gestión de Seguridad de la Información con Enfoque en la Gestión de Riesgos en las Entidades Públicas del Perú. Tesis. Universidad Nacional Federico Villarreal.

EY (2015). Encuesta Global de Seguridad de la I n f o r m a c i ó n . [ O n l i n e ] . A v a i l a b l e : http://www.ey.com/Publication/vwLUAssets/Encu esta_global_de_seguridad_de_informaci%C3%B 3 n _ 2 0 1 4 / $ F I L E / E Y e n c u e s t a g l o b a l d e -seguridad-de-informacion-2014.pdf

ISACA (2012). COBIT 5 Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa. ISBN 978-1-60420-282-3. [Online]. Available: http://www.isaca.org

ISO/IEC (Junio, 2008). ISO/IEC 38500 Corporate governance of information technology. (1st ed.) [Online]. Available: http://www.iso.org

IT Governance Institute (2008). Enterprise Value; Governance of IT Investments, The Val IT Framework 2.0. ISBN 978-1-60420-066-9. [Online]. Available: http://www.itgi.org

ISACA (2009). Marco de Riesgos de TI. The Risk IT Framework. ISBN 978-1-60420-111-6. [Online]. Available: http://www.isaca.org

ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems -- Requirements, ISO/IEC Standard, Oct. 2013.

U P P

Universidad Privada de Pucallpa Resolución 093-05-CONAFU

Referencias

Documento similar

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)

If certification of devices under the MDR has not been finalised before expiry of the Directive’s certificate, and where the device does not present an unacceptable risk to health

In addition to the requirements set out in Chapter VII MDR, also other MDR requirements should apply to ‘legacy devices’, provided that those requirements

The notified body that issued the AIMDD or MDD certificate may confirm in writing (after having reviewed manufacturer’s description of the (proposed) change) that the

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que