Pla director de seguretat de la informació

Abstract

Aquest Treball de Fi de Màster pertany als estudis del Màster InterUniversitari de Seguretat de les Tecnologies de la Informació i les Comunicacions (abreviat MISTIC). L'objectiu del projecte és l'elaboració d'un Pla Director de Seguretat per una consultora TI, anomenada manera fictícia SCRIPTIX. El Pla Director de Seguretat s'emmarca dins la norma ISO/IEC 27001:2013, i els codis de bones pràctiques esmentats en la ISO/IEC 27002:2013, que estableixen les especificacions per implementar, gestionar, supervisar i millorar un Sistema de Gestió de Seguretat de la Informació (SGSI). S'ha realitzat un anàlisi de la situació actual de la seguretat en l'àmbit de les Tecnologies de la Informació i la Comunicació, per tal de poder definir uns objectius a curt i llarg termini i proposar un conjunt de projectes per tal d'arribar-hi. Dins d'aquest anàlisi realitzat podem destacar l'anàlisi diferencial, l'anàlisi de riscos (utilitzant MAGERIT com a metodologia) i l'anàlisi de compliment de la ISO. Els progressos aconseguits en la implantació del SGSI són: Precisar l'estat de la seguretat de la informació actual en relació als diferents aspectes de la norma (GAP) i fixar l'abast i objectius. Establir una base documental i determinar les responsabilitats de cada un dels components de l'estructura organitzativa de seguretat, de manera que s'asseguri la realització de totes les tasques necessàries i proporcionar Revisió i Millora. Identificar i inventariar els actius crítics de l'organització, determinar la magnitud de les amenaces i, en darrer terme, concretar els riscos als que estan exposats els diferents elements dels Sistemes d'Informació de l'organització. A partir dels riscos trobats, s'han seleccionat i prioritzat un seguit de projectes i mesures que permetran millorar la seguretat de l'organització.

Este Trabajo de Fin de Máster pertenece a los estudios del Máster Interuniversitario de Seguridad de las Tecnologías de la Información y las Comunicaciones (abreviat MISTIC). El objetivo del proyecto es la elaboración de un Pla Director de Seguridad por una consultora TI, llamada manera ficticia SCRIPTIX. El Pla Director de Seguridad se enmarca dentro de la norma ISO/IEC 27001:2013, y los códigos de buenas prácticas mencionados en la ISO/IEC 27002:2013, que establecen las especificaciones para implementar, gestionar, supervisar y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se ha realizado un análisis de la situación actual de la seguridad en el ámbito de las Tecnologías de la Información y la Comunicación, para poder definir unos objetivos a corto y largo plazo y proponer un conjunto de proyectos para llegar. Dentro de este análisis realizado podemos destacar el análisis diferencial, el análisis de riesgos (utilizando MAGERIT como metodología) y el análisis de cumplimiento de la ISO. Los progresos conseguidos en la implantación del SGSI son: Precisar el estado de la seguridad de la información actual en relación a los diferentes aspectos de la norma (GAP) y fijar el alcance y objetivos. Establecer una base documental y determinar las responsabilidades de cada uno de los componentes de la estructura organizativa de seguridad, de forma que se asegure la realización de todas las tareas necesarias y proporcionar Revisión y Mejora. Identificar e inventariar los activos críticos de la organización, determinar la magnitud de las amenazas y, en último término, concretar los riesgos a los que están expuestos los diferentes elementos de los Sistemas de Información de la organización. A partir de los riesgos encontrados, se han seleccionado y priorizado una serie de proyectos y medidas que permitirán mejorar la seguridad de la organización.

This final Master studies belongs to the Inter-University Master's Degree in Information Technology and Communications Security (MISTIC abbreviated) studies. The objective of the project is the development of a Security Master Plan for an IT consultancy, called the SCRIPTIX fictional way. The Security Master Plan is part of the ISO / IEC 27001: 2013 standard, and codes of good practices mentioned in the ISO / IEC 27002: 2013, which establish the specifications for implementing, managing, monitoring and improving a Management System of Information Security (ISMS). An analysis of the current security situation in the field of Information Technology and Communication has been carried out in order to define short and long term goals and propose a set of projects to reach -his Within this analysis we can highlight the differential analysis, the analysis of risks (using MAGERIT as a methodology) and the analysis of compliance with the ISO. The progress achieved in the implementation of the ISMS are: Identify the state of the security of the current information in relation to the different aspects of the standard (GAP) and set the scope and objectives. Establish a documentary base and determine the responsibilities of each of the components of the organizational security structure, in such a way that it ensures the accomplishment of all the necessary tasks and provide Review and Improvement. Identify and inventory the critical assets of the organization, determine the magnitude of the threats and, ultimately, specify the risks to which the different elements of the Information Systems of the organization are exposed. Based on the risks found, a series of projects and measures have been selected and prioritized that will allow to improve the security of the organization.