Elaboración de un plan de implementación de la ISO/IEC 27001:2013 de la empresa TECNOSOFT

Abstract

El proyecto que se presenta en este documento forma parte del Trabajo Final de Máster del Máster Interuniversitario de Seguridad de las Tecnologías de la Información y de las Comunicaciones. El objetivo es el desarrollo de un Plan de Implementación de un Sistema de Gestión de Seguridad de la Información en la organización ficticia TECNOSOFT, empresa dedicada a la implantación de soluciones informáticas, siguiendo la norma ISO/IEC 27001:2013. En primer lugar se ha descrito la organización sobre la que se realiza el proyecto y se ha realizado un análisis diferencial respecto a las normas ISO 27001:2013 e ISO 27002:2013 para conocer el punto de partida del proyecto. En la segunda fase se han definido los documentos necesarios para el cumplimiento normativo de la ISO 27001:2013 política de seguridad, procedimiento de auditorías internas, gestión de indicadores, procedimiento de revisión por la Dirección, gestión de roles y responsabilidades, declaración de aplicabilidad y metodología de análisis de riesgos. A continuación, en la fase 3, se ha realizado el análisis de riesgos de la organización siguiendo la metodología MAGERIT. Para ello, se han identificado todos los activos de la organización y se han valorado. Posteriormente, se han analizado las posibles amenazas a las que está expuesta la organización y, por último, se ha obtenido el impacto y riesgo potencial de cada uno de los activos identificados. En la cuarta fase se han planificado diversos proyectos a realizar con el fin de reducir los principales riesgos encontrados y así mejorar el estado de la seguridad de la información de la organización. En la fase 5, se ha obtenido el grado de madurez de la organización con respecto a las normas ISO 27002:2013 y 27001:2013 y se han presentado los resultados obtenidos. Tras haber finalizado todas las fases del proyecto, se ha mejorado la seguridad de la información de la organización.

El projecte que es presenta en aquest document forma part del Treball Final de Màster del Màster Interuniversitari de Seguretat de les Tecnologies de la Informació i de les Comunicacions. L'objectiu és el desenvolupament d'un Pla d'Implementació d'un Sistema de Gestió de Seguretat de la Informació en l'organització fictícia TECNOSOFT, empresa dedicada a la implantació de solucions informàtiques, seguint la norma ISO/IEC 27001:2013. En primer lloc s'ha descrit l'organització sobre la qual es realitza el projecte i s'ha realitzat una anàlisi diferencial respecte a les normes ISO 27001:2013 i ISO 27002:2013 per a conèixer el punt de partida del projecte. En la segona fase s'han definit els documents necessaris per al compliment normatiu de l'ISO 27001:2013 política de seguretat, procediment d'auditories internes, gestió d'indicadors, procediment de revisió per la Direcció, gestió de rols i responsabilitats, declaració d'aplicabilitat i metodologia d'anàlisi de riscos. A continuació, en la fase 3, s'ha realitzat l'anàlisi de riscos de l'organització seguint la metodologia MAGERIT. Per a això, s'han identificat tots els actius de l'organització i s'han valorat. Posteriorment, s'han analitzat les possibles amenaces a les quals està exposada l'organització i, finalment, s'ha obtingut l'impacte i risc potencial de cadascun dels actius identificats. En la quarta fase s'han planificat diversos projectes a realitzar amb la finalitat de reduir els principals riscos oposats i així millorar l'estat de la seguretat de la informació de l'organització. En la fase 5, s'ha obtingut el grau de maduresa de l'organització respecte a les normes ISO 27002:2013 i 27001:2013 i s'han presentat els resultats obtinguts. Després d'haver finalitzat totes les fases del projecte, s'ha millorat la seguretat de la informació de l'organització.

The project presented in this document is part of the Final Master's Project of the Interuniversity Master's Degree in Information and Communications Technology Security. The objective is the development of an Implementation Plan for an Information Security Management System in the fictitious organization TECNOSOFT, a small company dedicated to the implementation of IT solutions, following the ISO / IEC 27001: 2013 standard. Firstly, the organization on which the project is carried out has been described and a differential analysis has been carried out regarding the ISO 27001: 2013 and ISO 27002: 2013 standards to know the starting point of the project. In the second phase, the necessary documents have been defined for compliance with the ISO 27001: 2013 security policy, internal auditing procedure, indicator management, review procedure by the Directorate, management of roles and responsibilities, declaration of applicability and risk analysis methodology. Then, in phase 3, the risk analysis of the organization was carried out following the MAGERIT methodology. For this, all the assets of the organization have been identified and valued. Subsequently, the possible threats to which the organization is exposed have been analyzed and, finally, the impact and potential risk of each of the identified assets has been obtained. In the fourth phase, several projects have been planned to be carried out in order to reduce the main risks encountered and thus improve the security status of the organization's information. In phase 5, the degree of maturity of the organization has been obtained with respect to the ISO 27002: 2013 and 27001: 2013 standards and the results obtained have been presented. After having completed all phases of the project, the security of the organization's information has been improved.