Pla director de seguretat de l'Organització

Abstract

La creixent rellevància de les tecnologies de la informació per a la consecució dels objectius de negoci de l'empresa analitzada fa que augmenti cada cop més la importància de la seguretat de la informació. El present treball planteja l'establiment de les bases per a la realització del pla director de seguretat de l'Organització, perseguint com a objectiu final la millora de la seguretat de la mateixa i possibilitant la implantació d'un sistema de gestió en procés de millora contínua. Primerament, es determina quina és la situació actual de l'Organització des del punt de vista de la seguretat, en base a allò definit a l'estàndard internacional ISO/IEC 27001 i als controls ISO/IEC 27002. Com a part de l'estudi, es realitza també una anàlisi de riscos, basat en la metodologia Magerit. Un cop analitzada la situació inicial i identificats els possibles punts de millora, es proposen un conjunt de projectes amb la finalitat d'augmentar el nivell de seguretat de l'empresa. Es compara, ara, l'estat inicial amb l'estat després de l'aplicació de les mesures proposades. Finalment, i suposant una implementació completa dels projectes proposats, es realitza una auditoria de seguretat, en la que s'avalua el compliment de la norma ISO/IEC 27001, dels controls ISO/IEC 27002 i dels objectius de seguretat definits. A més, s'identifiquen les no-conformitats existents, així com es fan recomanacions de possibles millores.

La creciente relevancia de las tecnologías de la información para la consecución de los objetivos de negocio de la empresa analizada hace que aumente cada vez más la importancia de la seguridad de la información. El presente trabajo plantea el establecimiento de las bases para la realización del plan director de seguridad de la Organización, persiguiendo como objetivo final la mejora de la seguridad de la misma y posibilitando la implantación de un sistema de gestión en proceso de mejora continua. Primeramente, se determina cuál es la situación actual de la Organización desde el punto de vista de la seguridad, en base a aquello definido al estándar internacional ISO/IEC 27001 y a los controles ISO/IEC 27002. Como parte del estudio, se realiza también un análisis de riesgos, basado en la metodología Magerit. Una vez analizada la situación inicial e identificados los posibles puntos de mejora, se proponen un conjunto de proyectos con el fin de aumentar el nivel de seguridad de la empresa. Se compara, ahora, el estado inicial con el estado después de la aplicación de las medidas propuestas. Finalmente, y suponiendo una implementación completa de los proyectos propuestos, se realiza una auditoría de seguridad, en la que se evalúa el cumplimiento de la norma ISO/IEC 27001, de los controles ISO/IEC 27002 y de los objetivos de seguridad definidos. Además, se identifican las no-conformidades existentes, así como se hacen recomendaciones de posibles mejoras.

The growing relevance of information technologies for the achievement of the business objectives of the analyzed company makes the importance of information security increase more and more. The present work proposes the establishment of the bases for the realization of the Organization's security master plan, pursuing as a final objective the improvement of its security and making possible the implementation of a management system in a process of continuous improvement. First of all, the current situation of the organization is determined from the security point of view, based on what is defined in the international standard ISO/IEC 27001 and the ISO/IEC 27002 controls. As part of the study, a risk analysis is also performed, based on the Magerit methodology. Once the initial situation has been analyzed and possible points for improvement have been identified, a set of projects are proposed in order to increase the company's security level. The initial state is now compared with the state after the implementation of the proposed measures. Finally, and assuming full implementation of the proposed projects, a security audit is performed, in which compliance with ISO/IEC 27001, ISO/IEC 27002 controls and the defined security objectives are evaluated. In addition, existing non-conformities are identified and recommendations for possible improvements are made.