Establecimiento, implementación, mantenimiento y mejora de un sistema de gestión de seguridad de la información, basado en la ISO/IEC 27001:2013, para una empresa de consultoría de software

Abstract

Actualmente, las empresas de consultoría de desarrollo de software cuentan con muchos retos propios de este tipo de negocio. Entre estos, destacan los relacionados a la seguridad de información, pues, debido al constante intercambio de información entre la empresa y sus clientes, aparecen riesgos potenciales que pueden comprometer el éxito e incluso la subsistencia de la organización. La solución planteada para este problema es un Sistema de Gestión de Seguridad de Información (SGSI), el cual cuenta con el estándar ISO 27001:2013 como marco formal de requisitos a cumplir. Este sistema permitirá que los directivos y demás involucrados gestionen y tomen decisiones adecuadas respecto a la seguridad de información de la organización, para asegurar que cuente con niveles adecuados respecto a la confidencialidad, integridad y disponibilidad de la información crítica que se maneja como parte de su operación. En este informe se especifican las cuatro fases cíclicas del SGSI: el establecimiento, donde las bases del sistema se integran a los procesos del negocio; la implementación, que desarrolla los mecanismos para la adecuada administración de la seguridad; el mantenimiento, donde se detectan fallos que pueden existir en la organización o en el propio sistema; y la mejora, que finalmente permite cerrar el ciclo mediante la aplicación de todas las correcciones y optimizaciones significativas que han sido detectadas. Este modelo permite que el sistema opere bajo un principio de mejora continua, que beneficia permanentemente a la organización, propiciando un manejo adecuado de la seguridad de su información.