Diseño de un sistema de gestión de seguridad de la información basado en la Norma ISO 27001 para el aseguramiento de la información en la Empresa Tecno Fuego S.A.S. de la ciudad de Barranquilla.

Abstract

Esta disertación comprende la preparación para la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) basado en las pautas de la familia de estándares ISO / IEC 27000 y fue desarrollado en un entorno organizacional. En el desarrollo de este plan de implementación, formó parte de un conjunto de procesos específicos para cumplir con los requisitos de NP ISO / IEC 27001: 2013 y, dada la amplitud de su alcance y la caracterización de la organización donde se realizó este trabajo, adicional y particularmente marcos adoptados para uso interno de la organización. Presenta un enfoque teórico sobre la caracterización de un Sistema de Gestión de Seguridad de la Información (SGSI) y su relevancia en el contexto de la dinámica de la organización, su impacto en la estructura de los sistemas y tecnologías de la información, que continuamente requieren generar nuevos desafíos a la seguridad de la información. Se enfatiza el marco documental de los estándares requeridos en la gestión de la seguridad de la información y la estructura de recursos y responsabilidades para asegurar la implementación y continuidad de un SGSI. A través de análisis documental, con entrevistas semiestructuradas y observación directa, se realizó una evaluación de la situación actual en respuesta a los requisitos de control recomendados por ISO / IEC 27001. Además, el proceso de gestión de riesgos de seguridad de la información como herramienta facilitadora en el análisis, evaluación y control de los factores de riesgo organizacionales y que dieron como resultado la realización de la matriz de riesgo que evoca el tratamiento que se aplicará al riesgo en cuestión. El resultado final de este trabajo, representa la "primera piedra" para la construcción del sistema de gestión de seguridad de la información. La "Declaración de Aplicabilidad" presenta un conjunto de propuestas divididas en cinco ejes de acción: organizacional, personal, tecnológico, físico y ambiental, legal y regulatorio. Para cada eje de acción, se definen medidas específicas a implementar. Las medidas presentadas, acciones a tomar, son el resultado del vasto trabajo realizado aguas arriba, en el que fue posible analizar y evaluar el estado actual de madurez y la capacidad procesal, tecnológica y de recursos y, por lo tanto, documentar, definir y estructurar las líneas lineamientos para implementar un sistema de gestión de seguridad de la información, de acuerdo con los requisitos de ISO / IEC 27001 y 27002, en línea con los objetivos estratégicos de TECNO FUEGO S.A.S. y con el alcance previamente definidos, en su primera etapa.