Elaboración de un plan director de seguridad para la empresa TrendTip

Abstract

El trabajo a desarrollar se centra en la elaboración de un plan director de seguridad de la información de un empresa online de moda cuyo objetivo es servir de escaparate a los pequeños comercios textiles y de calzado, haciendo de intermediario entre éstos y sus potenciales compradores. El Plan Director de Seguridad de la Información está alineado con los estándares ISO 27001 e ISO 27002 y se desarrolla en seis fases: Fase 1: La primera fase consiste en una aproximación a la situación actual de la seguridad de la información de la página online de moda a través del análisis diferencial contra las normas ISO/IEC 27001 e ISO/IEC 27002. Fase 2: La segunda fase consiste en el desarrollo del sistema de gestión documental. Durante este proceso se elaborarán los documentos descritos en la norma ISO 27001 como obligatorios. Fase 3: La tercera fase consiste en la realización del análisis de riesgos. Para ello, se determinarán los activos presentes en la organización y se evaluará el impacto que tiene para ella la materialización de las amenazas. La función de este análisis es determinar el nivel de riesgo al que está expuesta dicha organización y su plan de tratamiento de estos riesgos. Fase 4: Durante esta fase se propondrán y desarrollarán aquellos proyectos que ayuden a la organización a reducir el riesgo que supone la materialización de las amenazas. Además, contribuirán a la evolución del cumplimiento ISO hasta un nivel adecuado. Fase 5: A lo largo de esta fase se evaluará el cumplimiento de la empresa de las controles descritos en la ISO27002.

El treball a desenvolupar se centra en l'elaboració d'un pla director de seguretat de la informació d'un empresa online de moda l'objectiu de la qual és servir d'aparador als petits comerços tèxtils i de calçat, fent d'intermediari entre aquests i els seus potencials compradors. El Pla Director de Seguretat de la Informació està alineat amb els estàndard ISO 27001 i ISO 27002 i es desenvolupa en sis fases: Fase 1: La primera fase consisteix en una aproximació a la situació actual de la seguretat de la informació de la pàgina online de moda a través de l'anàlisi diferencial contra les normes ISO/IEC 27001 i ISO/IEC 27002. Fase 2: La segona fase consisteix en el desenvolupament del sistema de gestió documental. Durant aquest procés s'elaboraran els documents descrits en la norma ISO 27001 com a obligatoris. Fase 3: La tercera fase consisteix en la realització de l'anàlisi de riscos. Per a això, es determinaran els actius presents en l'organització i s'avaluarà l'impacte que té per a ella la materialització de les amenaces. La funció d'aquesta anàlisi és determinar el nivell de risc al qual està exposada aquesta organització i el seu pla de tractament d'aquests riscos. Fase 4: Durant aquesta fase es proposaran i desenvoluparan aquells projectes que ajudin l'organització a reduir el risc que suposa la materialització de les amenaces. A més, contribuiran a l'evolució del compliment ISO fins a un nivell adequat. Fase 5: Al llarg d'aquesta fase s'avaluarà el compliment de l'empresa de les controlis descrits en l'ISO27002.

The work to be developed focuses on the elaboration of an information security master plan for an online fashion company whose objective is to serve as a showcase for small textile and footwear businesses, acting as an intermediary between them and their potential buyers. The Information Security Master Plan is aligned with the ISO 27001 and ISO 27002 standards and is developed in six phases: Phase 1: The first phase consists of an approximation to the current situation of the information security of the online fashion page through differential analysis against ISO/IEC 27001 and ISO/IEC 27002. Phase 2: The second phase consists of the development of the document management system. During this process the documents described in ISO 27001 as mandatory will be elaborated. Phase 3: The third phase consists of carrying out the risk analysis. To this end, the assets present in the organization will be determined and the impact of the materialization of the threats on the organization will be assessed. The function of this analysis is to determine the level of risk to which the organization is exposed and its plan for dealing with these risks. Phase 4: During this phase, projects will be proposed and developed that help the organization to reduce the risk posed by the materialization of threats. In addition, they will contribute to the evolution of ISO compliance to an appropriate level. Phase 5: Throughout this phase, the company's compliance with the controls described in ISO27002 will be evaluated.