Implementación del SGSI, basado en la ISO/IEC 27001 para dar tratamiento al riesgo en una empresa constructora

Abstract

El objetivo de este proyecto era desarrollar un sistema de gestión de la seguridad de la información (SGSI) para una empresa de construcción de conformidad con las normas ISO/IEC 27001. El objetivo era salvaguardar los activos de información contra las amenazas externas e internas asegurando su confidencialidad, integridad y disponibilidad. La información debe salvaguardarse como un activo principal de la empresa. Esta iniciativa beneficiará a los numerosos departamentos de la empresa, como logística, recursos humanos, finanzas, contabilidad, compras, operaciones, jurídico, comercial y tecnologías de la información. La primera fase de la implantación se divide en cuatro segmentos. Comenzamos con la planificación, definiendo los objetivos de seguridad de la información de la organización, la política de seguridad, el análisis de riesgos y la declaración de aplicabilidad. El segundo paso consistió en hacer la implantación del SGSI como tal, que incluyó el desarrollo de una estrategia de tratamiento de riesgos, el diseño de controles y procedimientos y el establecimiento del sistema de gestión de la seguridad. Esta fase se encarga de implementar los mecanismos de detección y respuesta a los problemas de seguridad. Verificar es el tercer paso, y se encarga de supervisar, medir y evaluar todas las medidas implementadas. Aquí se encuentra la auditoría interna. La cuarta fase Actuar de la Ley es la que permite el desarrollo continuo; si existen incumplimientos que comprometen la seguridad de la información, deben adoptarse medidas correctoras