Implantació d’un SGSI basat en la ISO 27001 en una ONG del Tercer Sector

Abstract

L’estudi de com fer la implementació d’un SGSI en una ONG del tercer sector és l’objectiu d’aquest treball, l’organització representada és fictícia, tot i que esta sustentada sobre una ONG real. Assegurar la informació, es vital en l’àmbit social, i la ISO 27001 ens proporciona aquests mecanismes, per tant el treball es basa en la implementació del SGSI en tot l’àmbit empresarial en que s’ofereixen serveis essencials als usuaris i que tenen relació directe amb els sistemes d’informació. L’estudi de com fer aquest implementació en una ONG del tercer sector és l’objectiu d’aquest treball, l’organització representada és fictícia, tot i que esta sustentada sobre una ONG real. Per realitzar el treball em seguit la Norma ISO 27001 i una metodologia d’anàlisi de risc basada en Magerit. Cal destacar l’elaboració d’una política de Seguretat que fins el moment era inexistent a l’Organització. Els resultats obtinguts són esperançadors i tot i que l’objectiu inicial era una mica ambiciós quasi s’aconsegueix, caldrà seguir treballant i aprofundir en alguns aspectes. La conclusió és que cal molta experiència i un bon assessorament en el procés de implementació d’un SGSI i la ISO, però que val molt la pena l’esforç. Apostar i donar suport a la incorporació d’aquest mètode és una decisió encertada per part de la direcció.

The study of how to implement an SGSI in a third sector NGO is the objective of this work, the organization represented is fictitious, although it’s based on a real NGO. Securing information is vital in the social sphere, and ISO 27001 provides us with these mechanisms, therefore the work is based on the implementation of the SGSI throughout the business sphere in which essential services are offered to users and which have direct relationship with information systems. The study of how to implement this in a third sector NGO is the objective of this work, the organization represented is fictitious, although it is based on a real NGO. To carry out the work I followed the ISO 27001 Standard and a risk analysis methodology based on Magerit. It is worth noting the elaboration of a Security policy which, until now, was non-existent in the Organization. The results obtained are hopeful and although the initial objective was a bit ambitious it has almost been achieved, it will be necessary to continue working and deepen some aspects. The conclusion is that a lot of experience and good advice is needed in the process of implementing an ISMS and ISO, but that it is well worth the effort. Betting on and supporting the incorporation of this method is a wise decision on the part of the management.

El estudio de como hacer la implementación de un SGSI en una ONG del tercer sector es el objetivo de este trabajo, la organización representada es ficticia, a pesar de que esta sustentada sobre una ONG real. Asegurar la información, se vital en el ámbito social, y la ISO 27001 nos proporciona estos mecanismos, por lo tanto el trabajo se basa en la implementación del SGSI en todo el ámbito empresarial en que se ofrecen servicios esenciales a los usuarios y que tienen relación directo con los sistemas de información. El estudio de como hacer este implementación en una ONG del tercer sector es el objetivo de este trabajo, la organización representada es ficticia, a pesar de que esta sustentada sobre una ONG real. Para realizar el trabajo me seguido la Norma ISO 27001 y una metodología de análisis de riesgo basada en Magerit. Hay que destacar la elaboración de una política de Seguridad que hasta el momento era inexistente a la Organización. Los resultados obtenidos son esperanzadores y a pesar de que el objetivo inicial era un poco ambicioso casi se consigue, habrá que seguir trabajando y profundizar en algunos aspectos. La conclusión es que hace falta mucha experiencia y un buen asesoramiento en el proceso de implementación de un SGSI y la ISO, pero que vale mucho la pena el esfuerzo. Apostar y apoyar a la incorporación de este método es una decisión acertada por parte de la dirección.