Elaboración de un plan de implementación de la ISO/IEC 27001:2013 para una ISP

Abstract

En este trabajo de fin de máster se presenta la propuesta para implementar el plan director a la empresa ISP ubicada en Imbabura Ecuador, siguiendo las especificaciones para la implantación del Sistema de Gestión de la Seguridad de la Información de la norma ISO/IEC 27001:2013 y la guía de buenas prácticas de la ISO 27002:2013. Como punto de partida, se realizó un análisis de la situación actual de la empresa con respecto a los requisitos de seguridad de la información para analizar su grado de cumplimiento. Posterior a esto se hizo un análisis de riesgos sobre los activos relevantes en términos de seguridad, con el fin de determinar el impacto potencial que sufrirían al verse materializada cualquier amenaza a la que se encuentran expuestos. A partir de esta información se logra determinar el nivel de riesgo aceptable y proponer proyectos para reducir aquellos riesgos que son tratables. Cada uno de estos proyectos están diseñados con la planificación para ejecutarse y el coste económico que le representará a la organización, el cual no supondrá un gasto mayor al de asumir el riesgo. Finalmente se presentan los resultados esperados, luego de poner en marcha cada uno de los proyectos propuestos, en cuanto al cumplimiento normativo de la ISO/IEC 27002:2013 y cada uno de sus 14 dominios.

En aquest treball de fi de màster es presenta la proposta per implementar el pla director a l'empresa ISP situada a Imbabura Equador, seguint les especificacions per a la implantació de el Sistema de Gestió de la Seguretat de la Informació de la norma ISO / IEC 27001: 2013 i la guia de bones pràctiques de la ISO 27002: 2013. Com a punt de partida, es va realitzar una anàlisi de la situació actual de l'empresa pel que fa als requisits de seguretat de la informació per analitzar el seu grau de compliment. Posterior a això es va fer una anàlisi de riscos sobre els actius rellevants en termes de seguretat, per tal de determinar l'impacte potencial que patirien a l'veure materialitzada qualsevol amenaça a la qual es troben exposats. A partir d'aquesta informació s'aconsegueix determinar el nivell de risc acceptable i proposar projectes per reduir aquells riscos que són tractables. Cada un d'aquests projectes estan dissenyats amb la planificació per executar-se i el cost econòmic que li representarà a l'organització, el qual no suposarà una despesa major a el d'assumir el risc. Finalment es presenten els resultats esperats, després de posar en marxa cada un dels projectes proposats, pel que fa a l'acompliment normatiu de la ISO / IEC 27002: 2013 i cadascun dels seus 14 dominis.

This master¿s thesis proposes to implement the master plan to ISP Company located in Imbabura Ecuador. Following the specifications for the implementation of the information security management according to the International Organization for Standardization ISO/IEC 27001: 2013, and the standards on the best practice recommendations in ISO 27002: 2013. As a starting point, a diagnosis of the company's current situation with respect to information security requirements was carried out to analyze its degree of compliance. Subsequently, a risk analysis was made on the relevant assets in terms of safety, to determine the potential impact, they would suffer in any case exposed to threat. Indeed, with this information it is possible to determine the acceptable level of risk and propose projects to reduce those risks that are treatable. Each of these projects is designed with the planning to be executed, and the estimated cost that the Company would have to assume. Which will not be more costly than taking the risk. Finally, the expected results are presented, after starting each of the proposed projects, regarding the compliance conforming to ISO/IEC 27002:2013, and each of its fourteen domains.