Implementación sistema de gestión de seguridad de la información Grupo Empresarial XYZ

El proyecto buscó la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) que surge de la necesidad de prevenir ataques informáticos (cada vez más comunes en las grandes compañías) y proteger la información de los usuarios mediante la disminución de la superficie de riesgos de la organización XYZ con un adecuado gobierno, gestión de riesgos, medición y operación de la seguridad de la información alineado con el modelo definido por la norma Técnica ISO 27001:2013. Para el desarrollo de lo referido, el proyecto se dividió en 5 fases las cuales son: el diagnostico de seguridad de la información (estado actual), definición de gobiernos de seguridad de la información, análisis de riesgos de seguridad de la información, definición de controles normativos y técnicos de seguridad de la información, y la certificación del sistema de gestión de seguridad de la información (verificación de cumplimiento de objetivos). Como resultado del proyecto se logró la reducción de la superficie de riesgos de la organización de un 80% a un 30%, se formalizaron los componentes de seguridad de la información de forma transversal en los procesos de la compañía y se implementa el ciclo de mejora continua anual para el sistema de gestión.

The project sought the implementation of an Information Security Management System (ISMS) that arises from the need for computer attacks (increasingly common in large companies) and to protect user information by reducing the surface of risks of the XYZ organization with adequate governance, risk management, measurement and operation of information security aligned with the model defined by the Technical standard ISO 27001: 2013. For the development of the aforementioned, the project was divided into 5 phases which are: information security diagnosis (current status), definition of information security governments, analysis of information security risks, definition of regulatory and technical information security controls, and certification of the information security management system (verification of compliance with objectives). As a result of the project, the risk area of the organization was reduced from 80% to 30%, the information security components were formalized in a transversal way in the company's processes and the improvement cycle was implemented continuous annual for the management system.