Diseño del sistema de gestión de seguridad de la información para el instituto tolimense de formación técnica profesional- ITFIP para el departamento de sistemas, bajo la norma ISO 27001:2013

Abstract

El presente proyecto de grado se enfocó en la elaboración del diseño de un sistema de gestión de seguridad de la información (SGSI) en la dependencia de sistemas en la Institución de Educación Superior – ITFIP del Espinal, Tolima. Para llevar a cabo este proyecto se basó en la norma ISO 27001:2013 utilizando como herramienta metodológica para el análisis y gestión de riesgos MAGERIT V3. La norma ISO 27001:2013 para establecer y gestionar un SGSI, hace uso de las fases de la metodología PHVA (Planificar-Hacer-Verificar-Actuar), ya que es tradicional en los sistemas de gestión de calidad. Para el desarrollo del proyecto se especifican cuatro capítulos, que se detallan de la siguiente manera: En primer lugar se documenta datos elementales del proyecto, como lo son el título, planteamiento del problema, justificación, objetivos, alcances y limitaciones, también el respectivo marco teórico de la norma ISO 27001:2013 junto con una descripción de cada uno de los libros de la metodología, con su respectivo marco conceptual; detallando los términos elementales de MAGERIT V3, se define su respectivo cronograma de actividades. Se describe el contexto organizacional, se realiza el reconocimiento y se describe la estructura organizacional. A partir de ahí se empieza con el diagnóstico de la organización con respecto a la norma ISO/IEC 27001:2013, de acuerdo con los diferentes dominios de la misma. A continuación se realiza un análisis y gestión de riesgos, en donde se utiliza una herramienta propietaria llamada MAGERIT V3; con ella, se especifica paso a paso como encontrar los riesgos sobre cada activo a través de la identificación del inventario de activos, determinar la valorización de los activos, analizar las amenazas, estimar el impacto y riesgo potencial e identificación de las salvaguardas. Posteriormente, se realiza una declaración aplicabilidad, que consiste en describir los 14 dominios que tiene la ISO 27001:2013 con cada uno de sus controles y por medio de una entrevista al gerente o en este caso al rector del ITFIP. Se explica cada uno de ellos y este decide en si los aplicara, en la organización. Por último, se proponen una serie de políticas y lineamientos de seguridad de la información de acuerdo con análisis, que servirán para que los activos de información sean mucho más seguros.