Sistema de gestión de seguridad de la información conforme a la norma ISO 27001 para la empresa SITEC S.A

Abstract

El presente trabajo propone un plan de seguridad para la gestión de riesgos en la empresa SITEC S.A, quien es proveedor de servicio de Internet (ISP), utilizando como marco principal la metodología Magerit 2013 con la norma ISO 27001. Este enfoque metodológico proporciona una guía sistemática y estructurada para identificar, evaluar y mitigar las amenazas potenciales que afectan a las infraestructuras críticas de la empresa. En la empresa se brinda servicios de internet, están expuestos a una variedad de riesgos que incluyen ataques cibernéticos, fallas de hardware o software y desastres naturales. La adecuada gestión de riesgos permite proteger los activos físicos o tecnológicos, también garantiza la continuidad operativa y la calidad de los servicios que se ofrece a los clientes. El sistema de seguridad desarrollado se fundamenta en el análisis de los activos de la empresa, como servidores, dispositivos de red, sistemas de alimentación interrumpida y sistemas y materiales. Para la realización del análisis se utilizaron herramientas especiales como Mitratec que permite identificar, clasificar y analizar ataques cibernéticos, AEIS SBC permite controlar, proteger y asegurar las comunicaciones y OSware, que permitieron identificar las vulnerabilidades y evaluar el nivel ante amenazas. Los datos recopilados se integraron a una matriz de riesgo que prioriza las amenazas según su impacto, potencial y la probabilidad de ocurrencia, con esto se realiza la implementación de medidas. Los resultados obtenidos constan de la identificación de vulnerabilidades críticas y la propuesta de controles de seguridad. Este estudio resalta la importancia de un sistema de gestión de seguridad de la información en la empresa SITEC S.A asegurando los activos de la empresa y asegurar la confianza del cliente.