Propuesta de un modelo de sistema de gestión de la seguridad de la información en una pyme basado en la norma ISO/IEC 27001

Abstract

This Project “Implementation Proposal of an Information Security Management System (ISMS) in an SME, based on the ISO 27001 standard” propose an implementation model of a Information Security Management System (ISMS) in a SME, in order to obtain the ISO 27001 certification in a simple way, at low cost and reducing implementation periods. For the development of this project, the project team make an exhaustive analysis of the ISO/IEC 27000 family of standards, in order to identify the minimum needed requirements for the implementation of an ISMS in a SME. Based on the analyzed, the project team design an ISMS model that allows their subsequent implementation in a SME. In addition, the project team develop the implementation procedure of the model, which allow an SME to implement the model by their own hands. Finally, the application of the proposed model is performed, following the established methodology, in an SME, to proof their viability and provide an implementation example for future project stakeholders. The long-term goal of this Project is to facilitate the implementation of an ISMS for SMEs on their own, to distinguish itself from competition or some other interest.

El presente proyecto propone un modelo de Sistema de Gestión de la Seguridad de la Información (SGSI) para su implementación en una pequeña y mediana empresa (pyme), con la finalidad de obtener, en un futuro, la certificación ISO 27001 de manera sencilla, a un bajo costo y con los tiempos de implementación reducidos. Para el desarrollo de este proyecto se realiza un análisis exhaustivo de la familia de normas ISO/IEC 27000, con la finalidad de identificar los requerimientos mínimos necesarios para la implementación de un SGSI en una pyme. En base a lo analizado, se elabora el diseño de un modelo de SGSI que permita su posterior implementación en una pyme. Asimismo, se elabora el procedimiento de implementación del modelo, el cual permite a una pyme poder implementar el modelo por sus propios medios. Por último, se realiza la aplicación del modelo propuesto, según la metodología establecida, en una pyme del Perú para comprobar su viabilidad y brindar un ejemplo de implementación para los futuros interesados en el proyecto. El objetivo a largo plazo de este proyecto es facilitar la implementación de un SGSI para una pyme por sus propios medios, para poder salvaguardar su información y poder distinguirse de la competencia.