Diseño e implementación de un sistema de gestión de seguridad de la información basado en la Norma Técnica ISO 27001, en una Empresa Retail

Abstract

El presente trabajo de investigación tiene por finalidad la sustentación de la tesis de grado con el tema “Diseño e Implementación de un Sistema de Gestión de seguridad de la información” para optar el título profesional de Ingeniero de Sistemas, se tuvo como base del SGSI a la familia de normas ISO 27000. La empresa en estudio es una empresa del sector comercio minorista (retail) en expansión, la organización para el presente año ha fijado como objetivo estratégico la gestión de la seguridad de la información pues se sabe que los diversos ataques que sufren las organizaciones podrían tener origen interno o externo, de forma tal que se podrían estar aprovechando de la falta de toma de conciencia de colaboradores y usuarios, haciendo sencilla la tarea de obtener información confidencial y sensible, propia de la organización, así resultaba frecuente encontrar passwords escritos en notitas de papel, bajo el teclado, sobre los márgenes del monitor del usuario. En el 2014 la organización identificó esta permisible configuración en equipos terminales punto de venta y estableció interés por implementar el SGSI a fin de garantizar la disponibilidad, confidencialidad e integridad de la información. En cumplimiento de los requisitos de la norma internacional ISO 27001:2013 iniciamos un diagnóstico inicial, posteriormente desarrollamos el sistema de gestión de Seguridad de la Información el cual consistió en la definición del alcance, la política de seguridad de la información, los objetivos de la seguridad de la información, un mapa de procesos, las caracterizaciones de los procesos, se definió la declaración de aplicabilidad y se seleccionó una metodología de evaluación de riesgos para fortalecer todo el análisis de riesgos, luego iniciamos la documentación de todo el sistema de gestión, identificamos los indicadores de gestión, programas de concienciación, monitoreo, control y medición de los controles y procedimientos de seguridad de la información, además se realizó el tratamiento de riesgos con el único objetivo de mitigarlos mediante el cumplimiento de políticas y procedimientos de seguridad de la información, finalmente se continuo con las revisiones del sistema de gestión de la Seguridad de la Información y se aplicó las medidas correctivas en el marco de la ISO 27001. Finalmente se concluyó que existe mejora sustancial a consecuencia de la implementación del sistema de gestión de Seguridad de la Información y podemos advertir que el no identificar una amenaza oportuna representará para la organización pérdidas económicas y en algún caso resultará perjudicial en imagen y confianza de manera irreversible. Esto se evita a través del monitoreo, medición, control y mejora permanente del sistema de gestión y se consigue impactar en ahorro de costos, un fortalecimiento de la imagen y la confianza de los clientes en la organización. Palabras clave: Sistema de Gestión, ISO 27001, información

This research aims at supporting the thesis with the theme "Design and Implementation of a Safety Management System information" to choose the professional title of Systems Engineer, was taken as the basis for ISMS ISO 27000 family of standards.

The joint study is a company in the retail sector (retail) expanding the organization for this year has set a strategic goal the management of information security it is known that the various attacks suffered by organizations may have origin internal or external, so that could be taking advantage of the lack of awareness of employees and users, making the simple task of obtaining confidential and sensitive information of the organization itself, so it was common to find passwords written on sticky notes paper under the keyboard, on the margins of the user's monitor. In 2014 the organization identified this configuration permissible equipment POS terminals and established interest in implementing the ISMS to ensure the availability, confidentiality and integrity of information.

In compliance with the requirements of the international standard ISO 27001:2013 began an initial diagnosis, then we develop the management system Information Security which consisted in defining the scope, security policy information, the objectives of the information security, a process map, characterizations of processes, the statement of applicability is defined and risk assessment methodology was selected to strengthen the entire risk analysis, then we started the documentation of all management system, We identify the indicators, awareness programs, monitoring, control and measurement of Controls and

procedures for information security, risk further treatment was carried out with the solé aim of reducing them through compliance with security policies and procedures of the information, finally continued with revisions of information security management system and corrective measures applied under ISO 27001. Finally it was concluded that there is substantial improvement as a result of the implementation of Safety Management System Information and realize that we can not identify the threats represent a timely organization for economic losses and in some cases be detrimental to image and confidence irreversibly. This is prevented by monitoring, measurement, control and continuous improvement of management system and achieved cost savings impact, strengthening the image and customer confidence in the organization. Keywords : Management System, ISO 27001, information.