Sistemes de gestió de la seguretat de la informació

Abstract

El Treball de Final de Màster està contextualitzat en l'àrea de Sistemes de Gestió de Seguretat de la Informació, el qual consisteix precisament a implementar un Sistema de Gestió de Seguretat de la Informació (SGSI) a una organització que basa la seva activitat de negoci amb la gestió hotelera, basant-nos en la norma ISO/IEC 27001:2013 i el seu annex, ISO/IEC 27002. En concret, hem definit l'abast del Pla Director de Seguretat (PDS) en l'oficina central de la divisió hotelera seleccionada, on es vol protegir els següents processos de negoci: procés de venda, la informació dels clients, la informació confidencial de l'empresa i el software de la gestió hotelera. El treball està orientat a establir les bases del PDS implementat per un SGSI des del seu inici, realitzant una anàlisi de la situació actual, definir la política de seguretat de l'empresa, revisar la gestió de rols i responsabilitats, elaborar una anàlisi de riscos juntament amb la declaració d'aplicabilitat, realitzar un inventari d'actius de l'organització, analitzar les possibles amenaces i el seu impacte i probabilitat, descriure propostes de projectes de millora i finalment amb tota aquesta informació, realitzar l'auditoria de compliment de la ISO/IEC 27001:2013. Un cop finalitzat el treball i haver duit a terme l'execució d'aquest projecte, podem dir que s'han millorat certs aspectes de la Seguretat de la Informació de l'organització, tot i que no s'ha arribat al nivell desitjat que shhavia proposat podem dir que s'han assolit els objectius d'aquest PDS.

The Master's Thesis is contextualised in Information Security Management Systems, which consists precisely in implementing an Information Security Management System (ISMS) in an organisation that bases its business activity with hotel management, based on ISO / IEC 27001: 2013 and its annexe, ISO / IEC 27002. Specifically, we have defined the scope of the Security Master Plan (PDS) in the central office of the selected hotel division, where you want to protect the following business processes: sales process, customer information, confidential company information and hotel management software. The work is aimed at establishing the basis of the PDS implemented by an ISMS since its inception, conducting a first analysis of the current situation, defining the company's security policy, reviewing the management of roles and responsibilities, and developing an analysis of risks together with the declaration of applicability, make an inventory of the organisation's assets, analyse possible threats and their impact and probability, describe proposals for improvement projects and finally with all this information, perform the compliance audit of ISO / IEC 27001: 2013. Once has been completed and this project has been carried out, we can say that certain aspects of the organization's Information Security have been improved. Although the desired level has not been reached, we can say that this PDS has been successfully completed.

El Trabajo de Final de Máster está contextualizado en el área de Sistemas de Gestión de Seguridad de la Información, el cual consiste precisamente a implementar un Sistema de Gestión de Seguridad de la Información (SGSI) a una organización que basa su actividad de negocio con la gestión hotelera, basándonos en la norma ISO/IEC 27001:2013 y su anexo, ISO/IEC 27002. En concreto, hemos definido el alcance del Plan Director de Seguridad (PDS) en la oficina central de la división hotelera seleccionada, donde se quiere proteger los siguientes procesos de negocio: proceso de venta, la información de los clientes, la información confidencial de la empresa y el software de la gestión hotelera. El trabajo está orientado a establecer las bases del PDS implementado por un SGSI desde su inicio, realizando un análisis de la situación actual, definir la política de seguridad de la empresa, revisar la gestión de roles y responsabilidades, elaborar un análisis de riesgos junto con la declaración de aplicabilidad, realizar un inventario de activos de la organización, analizar las posibles amenazas y su impacto y probabilidad, describir propuestas de proyectos de mejora y finalmente con toda esta información, realizar l¿auditoría de cumplimiento de la ISO/IEC 27001:2013. Una vez finalizada el trabajo y haber duit a término la ejecución de este proyecto, podemos decir que se han mejorado ciertos aspectos de la Seguridad de la Información de la organización, a pesar de que no se ha llegado al nivel deseado que se havia propuesto podemos decir que se han logrado los objetivos de este PDS.