Desarrollo de un plan director de seguridad de la información para la implementación de un SGSI

Abstract

El presente TFM, tiene como objeto desarrollar el Plan Director de la seguridad de la información de una empresa, basado en el estándar internacional ISO/IEC 27001:2013 certificable y el manual de buenas prácticas ISO/IEC 27002 :2013 que describe los controles o salvaguardias para mitigar las amenazas. La implementación de un SGSI y mediante la metodología de análisis de riesgo MAGERIT, ha permitido a la empresa realizar un inventario de sus activos y valorarlos en las dimensiones de seguridad, así como identificar las amenazas que se podrían materializar en los activos. Calcular el impacto potencial y medir el nivel de riesgo de los activos, para posteriormente realizar una propuesta de proyectos, que tiene la finalidad de mejorar el nivel de cumplimiento de los estándares ISO/IEC 27001-27002. Finalizando con una auditoria de cumplimiento usando el modelo de madurez de la capacidad (CMM).

The purpose of this TFM is to develop the Master Plan for information security of a company, based on the ISO / IEC 27001: 2013 international certifiable standard and also based on the ISO / IEC 27002: 2013 good practices manual that describes the controls or safeguards to mitigate the threats. The implementation of an SGSI using the MAGERIT risk analysis methodology has allowed to the company to carry out an inventory of its assets and value them in the security dimensions, as well as identify the threats that could materialize in the assets. Calculate the potential impact and measure the level of risk of the assets, to subsequently make a project proposal, which aims to improve the level of compliance with ISO / IEC 27001-27002 standards. Finalizing with a compliance audit using the Capability Maturity Model CMM-

El present TFM, té com a objecte desenvolupar el Pla Director de la seguretat de la informació d'una empresa, basat en l'estàndard internacional ISO/IEC 27001:2013 certificable i el manual de bones pràctiques ISO/IEC 27002 :2013 que descriu els controls o salvaguardes per a mitigar les amenaces. La implementació d'un SGSI i mitjançant la metodologia d'anàlisi de risc MAGERIT, ha permès a l'empresa realitzar un inventari dels seus actius i valorar-los en les dimensions de seguretat, així com identificar les amenaces que es podrien materialitzar en els actius. Calcular l'impacte potencial i mesurar el nivell de risc dels actius, per a posteriorment realitzar una proposta de projectes, que té la finalitat de millorar el nivell de compliment dels estàndard ISO/IEC 27001-27002. Finalitzant amb una auditoria de compliment usant el model de maduresa de la capacitat (CMM).