Elaboración de un plan de implementación de la ISO/IEC 27001:2013 de la empresa TECNOSOFT
El proyecto que se presenta en este documento forma parte del Trabajo Final de Máster del Máster Interuniversitario de Seguridad de las Tecnologías de la Información y de las Comunicaciones. El objetivo es el desarrollo de un Plan de Implementación de un Sistema de Gestión de Seguridad de la Informa...
| Autor: | |
|---|---|
| Tipo de recurso: | tesis de maestría |
| Fecha de publicación: | 2019 |
| País: | España |
| Institución: | Universitat Oberta de Catalunya (UOC) |
| Repositorio: | O2, repositorio institucional de la UOC |
| OAI Identifier: | oai:openaccess.uoc.edu:10609/97008 |
| Acceso en línea: | http://hdl.handle.net/10609/97008 |
| Access Level: | acceso abierto |
| Palabra clave: | plan director de seguridad SGSI Magerit pla director de seguretat ISMS security master plan Computer security -- TFM Seguretat informàtica -- TFM Seguridad informática -- TFM |
| Sumario: | El proyecto que se presenta en este documento forma parte del Trabajo Final de Máster del Máster Interuniversitario de Seguridad de las Tecnologías de la Información y de las Comunicaciones. El objetivo es el desarrollo de un Plan de Implementación de un Sistema de Gestión de Seguridad de la Información en la organización ficticia TECNOSOFT, empresa dedicada a la implantación de soluciones informáticas, siguiendo la norma ISO/IEC 27001:2013. En primer lugar se ha descrito la organización sobre la que se realiza el proyecto y se ha realizado un análisis diferencial respecto a las normas ISO 27001:2013 e ISO 27002:2013 para conocer el punto de partida del proyecto. En la segunda fase se han definido los documentos necesarios para el cumplimiento normativo de la ISO 27001:2013 política de seguridad, procedimiento de auditorías internas, gestión de indicadores, procedimiento de revisión por la Dirección, gestión de roles y responsabilidades, declaración de aplicabilidad y metodología de análisis de riesgos. A continuación, en la fase 3, se ha realizado el análisis de riesgos de la organización siguiendo la metodología MAGERIT. Para ello, se han identificado todos los activos de la organización y se han valorado. Posteriormente, se han analizado las posibles amenazas a las que está expuesta la organización y, por último, se ha obtenido el impacto y riesgo potencial de cada uno de los activos identificados. En la cuarta fase se han planificado diversos proyectos a realizar con el fin de reducir los principales riesgos encontrados y así mejorar el estado de la seguridad de la información de la organización. En la fase 5, se ha obtenido el grado de madurez de la organización con respecto a las normas ISO 27002:2013 y 27001:2013 y se han presentado los resultados obtenidos. Tras haber finalizado todas las fases del proyecto, se ha mejorado la seguridad de la información de la organización. |
|---|