Pla director de seguretat de BI4Revolution

Abstract

El present TFM té com a objectiu la realització del pla director de seguretat de l'empresa ficticia BI4Revolution. En primer lloc s'ha realitzat una descripció dels objectius, abast i expectatives a complir, partint d'un anàlisi de la situació inicial a nivell de seguretat de la informació. S'han desenvolupat els principals documents del SGSI de BI4Revolution: política de seguretat, procediment d'auditories internes, gestió d'indicadors, procediment de revisió per direcció, gestió de rols i responsabilitats, comitè de seguretat, SOA i anàlisi de riscos. Seguidament s'ha fet un anàlisi de riscos per a quantificar la importància dels actius. I a partir d'aquesta informació, s'han definit un conjunt d'iniciatives i projectes necessaris per tal d'aconseguir el nivell de seguretat que BI4Revolution necessita. Un cop implementats els projectes i amb l'objectiu d'avaluar la maduresa de la seguretat, s'ha realitzat una auditoria de compliment de la norma ISO/IEC 27001:2013, per tal de determinar la maduresa dels controls un cop implementats els nous processos.

El presente TFG tiene como objetivo la realización del plan director de seguridad de la empresa ficticia BI4Revolution. En primer lugar se ha realizado una descripción de los objetivos, alcance y expectativas a cumplir, partiendo de un análisis de la situación inicial a nivel de seguridad de la información. Se han desarrollado los principales documentos del SGSI de BI4Revolution: política de seguridad, procedimiento de auditorías internas, gestión de indicadores, procedimiento de revisión por dirección, gestión de roles y responsabilidades, comité de seguridad, SOA y análisis de riesgos. Seguidamente se ha hecho un análisis de riesgos para cuantificar la importancia de los activos. Y a partir de esta información, se han definido un conjunto de iniciativas y proyectos necesarios para conseguir el nivel de seguridad que BI4Revolution necesita. Una vez implementados los proyectos y con el objetivo de evaluar la madurez de la seguridad, se ha realizado una auditoría de cumplimiento de la norma ISO/IEC 27001:2013, para determinar la madurez de los controles una vez implementados los nuevos procesos.

The aim of this project is to develope the Security Plan of BI4Revolution. This project is focused on developing information security management system (ISMS). Developing an ISMS, based on ISO/IEC 27001:2013, is a must for all companies which are concerned with information security management or IT related risks. First of all, the project describes the objectives, scope, the expectation of the ISMS and methodology associated with the definition in order to create a model information security for BI4Revolution organization, based on the ISO 27001:2013. After understanding critical processes of organization, document management system has been developed and then, it has been elaborated its risk analysis. With the objective of improving the initial diagnostic of information security system, a set of new projects has been defined. When all the projects have been developed, ISMS has been audited, checking ISO/IEC 27001:2013.