Diseño de un sistema de gestión de seguridad de la información para los procesos de soporte y desarrollo de software en la empresa ALFCOM S.A basado en la norma ISO/IEC 27001:2013

Abstract

En la actualidad la información se ha convertido en uno de los activos más importantes para las organizaciones, lo cual hace que ellas trabajen día a día en busca de estrategias para asegurar su integridad, confidencialidad y disponibilidad, tres aspectos fundamentales que enmarcan un sistema de gestión de seguridad de la información teniendo como objetivo principal proteger todos los datos de las empresas. Es un hecho que los sistemas informáticos soportan, automatizan y gestionan la mayoría de los procesos de las empresas, al igual que los procedimientos de información apoyan la actividad gerencial y la toma de decisiones, sin excluir que es la propia información y el acceso a la misma, el principal activo de toda organización. En el presente trabajo se lleva a cabo el diseño de un Sistema de Gestión de Seguridad de la Información aplicado a los procesos de desarrollo de software y soporte a clientes de la empresa ALFCOM S.A, desarrolladora de software financiero, basado en la norma ISO/IEC 27001: 2013. Se trata de dos procesos misionales críticos en la compañía y la alta gerencia considera que son los que requieren la mayor atención por el tipo de información que manejan, razón por la cual en ellos se van a concentrar inicialmente los esfuerzos para proteger su seguridad. El objetivo primordial de un Sistema de gestión de seguridad de la información es proteger la integridad, confidencialidad y disponibilidad de todos los activos de una organización, realizando como primera medida un minucioso análisis de los riegos a los que se enfrentan los activos de información para luego, implementar los controles necesarios que protegerán dichos activos. En la actualidad las Pymes afrontan una gran problemática debido a que muchas de ellas no destinan recursos para afrontar la falta de seguridad, ni prevenir los riesgos que corren sus activos de información, lo que en muchas ocasiones genera pérdidas tanto económicas como de información. Teniendo en cuenta lo anterior y buscando no verse afectada por un incidente es que ALFCOM S.A ha decidido dar un paso adelante e iniciar con el proceso de diseñar un Sistema de Gestión de Seguridad de la Información. En el presente proyecto se presenta un diseño apoyado en estándares y normas internacionales tales como ISO/IEC 27001:2013 y la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT – Versión 3.0), que buscan evitar, disminuir y/o prevenir ataques o desastres informáticos, antes que éstos ocurran.