Implementació d'un SGSI en una cooperativa

Abstract

L'objectiu d'aquest Treball Final de Màster és implementar un Sistema de Gestió de la Seguretat de la Informació (SGSI) en una cooperativa agrícola fictícia. La seguretat de la informació és fonamental per a aquesta organització, atès que gestiona dades sensibles de clients i empleats, i està subjecta a regulacions de protecció de dades. El SGSI en l’empresa funciona com a un conjunt de polítiques basat en els estàndards internacionals ISO/IEC 27001 i 27002 (2023), així com la Metodologia d'Anàlisi i Gestió de Riscos de MAGERIT, que permeten realitzar una avaluació exhaustiva dels riscos i una identificació dels actius crítics, seguit per la implementació de controls de seguretat i la formació del personal. El projecte s'ha estructurat en sis fases, començant per la contextualització i definició d'objectius, seguit per la creació d'un sistema de gestió documental, la identificació i valoració dels riscos, la proposta de projectes per mitigar aquests riscos, una auditoria de compliment de la ISO i la presentació dels resultats. Els resultats es troben visibles, mostrant un anàlisi de riscs, unes propostes de projectes i una primera auditoria de compliment com a parts més contundents respecte a les millores de seguretat de la informació de l’empresa. Com a conclusió, implantar un SGSI és una inversió crucial, i la direcció de la cooperativa ha pres una decisió encertada en adoptar aquest sistema, ja que la seva desatenció podria haver desembocat en conseqüències costoses.

The purpose of this Master’s Thesis is to implement an Information Security Management System (ISMS) in a fictitious agricultural cooperative. Information security is paramount for this organization, as it manages sensitive data of clients and employees and is subject to data protection regulations. The ISMS in the company functions as a set of policies based on the international standards ISO/IEC 27001 and 27002 (2023), as well as the Risk Analysis and Management Methodology for Information Systems (MAGERIT), enabling a comprehensive assessment of risks and identification of critical assets, followed by the implementation of security controls and staff training. The project has been structured into six phases, starting with contextualization and goal definition, followed by the creation of a document management system, risk identification and assessment, proposal of projects to mitigate these risks, an ISO compliance audit, and presentation of the results. The results are evident, showcasing a risk analysis, project proposals, and an initial compliance audit as the most robust parts concerning the improvements in the company's information security. In conclusion, implementing an ISMS is a crucial investment, and the cooperative's management has made the right decision in adopting this system, as neglecting it could have led to costly consequences.