Diseño de un sistema integrado de gestión de seguridad de la información para la empresa qwerty S.A

Abstract

Sin lugar a dudas el activo más importante para una empresa es la información. En los últimos tiempos esta visión se ha ampliado dando una cobertura global, no solo a la información en sí misma, sino a todos los procesos que acompañan el tratamiento de dicha información a través de los sistemas actuales que están bajo las normas vigentes. La empresa QWERTY S.A. no posee dicho sistema, siendo vulnerable a diferentes ataques que se ven a diario en el mundo informático. Por esto se quiere “diseñar” un sistema de seguridad de la información que cumpla con las expectativas y se acomode al presupuesto de la empresa, con los objetivos de control referenciados en las normativas ISO-27001, y la metodología MAGERIT V.3.

Este sistema de seguridad se quiere diseñar e implementar para prevenir los delitos informáticos establecidos en la legislación colombiana “ley 1273-2009”. Por personajes como Hackers, Crackers o Lammers. Y educar en ingeniería social a los usuarios para que no permitan la perdida de datos indiscriminadamente.

Se requiere establecer una investigación cuantitativa que analice los datos de los CI (ítems de configuración, por sus siglas en inglés) actuales de la empresa, los procesos que se llevan a cabo sobre la información y la documentación de dichos procesos, las vulnerabilidades, las amenazas, el impacto de los riesgos a presentar, y el costo de no implementar este SIGSI para la empresa tanto monetariamente como funcionalmente. A fin de establecer el alcance del sistema, en proporción a las necesidades básicas de seguridad identificadas, los controles que se pueden aplicar y el monitoreo de dichos controles a través del ciclo PHVA propuesto por Edwards Deming.