Elaboración del plan director de implementación del SGSI basado en la ISO/IEC27001 para una empresa de Servicios y Soluciones Informáticas

Abstract

El presente Trabajo Final de Master tiene como propósito presentar la implementación del Sistema de Gestión de la Seguridad de la Información de la empresa de servicios y soluciones informáticas EXPERTEC basado en la norma ISO/IEC 27001 y los controles del estándar ISO/IEC 27002 referente a las buenas prácticas. Para la implementación del SGSI se estableció diferentes etapas iniciando con un análisis DAFO para contextualizar y comprender la situación actual de la empresa en referencia al ámbito de la seguridad de la información, posterior se realizó un análisis diferencial de la empresa para evaluar la norma ISO/IEC 27001 y los controles de la norma ISO/IEC 27002 en su estado inicial; así mismo, se establecieron los documentos para el cumplimiento normativo de la implementación del SGSI. Por otra parte, se utilizó la metodología de análisis y gestión de riesgos MAGERIT para orientar a la empresa en la gestión de riesgos a los que está expuesta la empresa. Una vez definido el análisis y gestión de riesgos se establecieron propuestas de proyectos para implementar mejoras y medidas de control adecuadas que permitan mitigar los riesgos encontrados. Finalizando las etapas, se estableció un proceso de auditoría para analizar el nivel de capacidad de madurez en la que avanzo el SGSI después de implementar las propuestas de proyectos planteados junto con los resultados obtenidos.

The purpose of this Master's Final Project is to present the implementation of the Information Security Management System of the IT services and solutions company EXPERTEC located in Colombia in the Department of Cauca in the city of Popayán, based on the ISO/IEC 27001 standard and the controls of the ISO/IEC 27002 standard referring to good practices. For the implementation of the ISMS, different stages were established, starting with a SWOT analysis to contextualize and understand the current situation of the company in reference to the field of information security, followed by a differential analysis of the company to evaluate the ISO/IEC 27001 standard and the controls of the ISO/IEC 27002 standard in its initial state; likewise, the documents for the regulatory compliance of the implementation of the ISMS were established. On the other hand, the MAGERIT risk analysis and management methodology was used to guide the company in managing the risks to which the company is exposed. Once the risk analysis and management was defined, project proposals were established to implement improvements and adequate control measures to mitigate the risks found. At the end of the stages, an audit process was established to analyze the level of maturity of the ISMS after implementing the project proposals and the results obtained.

El present Treball Final de Màster té com a propòsit presentar la implementació de el Sistema de Gestió de la Seguretat de la Informació de l'empresa de serveis i solucions informàtiques EXPERTEC basat en la norma ISO / IEC 27001 i els controls de l'estàndard ISO / IEC 27002 referent a les bones pràctiques. Per a la implementació de l'SGSI es va establir diferents etapes iniciant amb una anàlisi DAFO per contextualitzar i comprendre la situació actual de l'empresa en referència a l'àmbit de la seguretat de la informació, posterior es va realitzar una anàlisi diferencial de l'empresa per avaluar la norma ISO / IEC 27001 i els controls de la norma ISO / IEC 27002 en el seu estat inicial; així mateix, es van establir els documents per al compliment normatiu de la implementació de l'SGSI. D'altra banda, es va utilitzar la metodologia d'anàlisi i gestió de riscos MAGERIT per orientar l'empresa en la gestió de riscos als quals està exposada l'empresa. Un cop definit l'anàlisi i gestió de riscos es van establir propostes de projectes per implementar millores i mesures de control adequades que permetin mitigar els riscos trobats. Finalitzant les etapes, es va establir un procés d'auditoria per analitzar el nivell de capacitat de maduresa en la qual avanço el SGSI després d'implementar les propostes de projectes plantejats juntament amb els resultats obtinguts.