Implantación del Reglamento General de Protección de Datos y adaptación al Esquema Nacional de Seguridad de manera integrada en el Sistema de Gestión de Seguridad de la Información (SGSI) basado en la ISO 27001

Abstract

[ES] El uso generalizado de las TIC ha llevado a múltiples empresas a experimentar una adaptación constante a ellas, siendo así capaces de ofrecer sus servicios mediante tecnología accesible por el ciudadano. Tan pronto se han modernizado estos servicios, han surgido problemas relativos a la seguridad de la información que manejan, ocasionando graves pérdidas y sanciones críticas para la continuidad del negocio. El presente trabajo tiene como finalidad mitigar los riesgos que afectan a la seguridad del Sistema de Gestión de Seguridad de la Información (SGSI) de una empresa que ofrece un servicio de transporte público mediante el alquiler de forma telemática de motocicletas eléctricas. Para ello, se realizará un análisis de riesgo cualitativo de su SGSI basado en la metodología MAGERIT, analizando el estado actual de la organización para, poder así, identificar los activos que la sustentan y las amenazas por las que se ven afectados, continuando con una medición de los riesgos potenciales que afectan al sistema. Una vez esclarecida la situación de la organización, se procederá a la gestión de dichos riesgos elaborando un plan que sirva, tanto para implantar el nuevo Reglamento General de Protección de Datos que comenzó a ser de aplicación el 25 de mayo de 2018, como para adecuar a la empresa al Esquema Nacional de Seguridad, basando todo ello en la norma ISO 27001 para la gestión de la seguridad de la información. Como soporte al análisis de riesgos, se hará uso de la herramienta proporcionada por el Centro Criptológico Nacional (CCN), PILAR, destinada al análisis y la gestión de riesgos de un sistema de información bajo la metodología MAGERIT.

[EN] The widespread use of ICT has led multiple companies to experience constant adaptation to them, thus being able to offer their services through technology accessible by the citizen. As soon as these services have been modernized, problems related to the security of the information they handle have arisen, causing serious losses and critical sanctions for business continuity. The purpose of this paper is to mitigate the risks that affect the security of the Information Security Management System (ISMS) of a company that offers a public transport service by renting electric motorcycles electronically. For this, a qualitative risk analysis of its ISMS will be carried out based on the MAGERIT methodology, analyzing the current state of the organization in order to be able to identify the assets that sustain it and the threats for which they are affected, continuing with a measurement of the potential risks that affect the system. Once the situation of the organization has been clarified, the risks will be managed by preparing a plan that will serve both to implement the new General Data Protection Regulation that began to be applicable on May 25, 2018, and to adapt the company to the National Security Scheme, basing all this on the ISO 27001 standard for the management of information security. As a support to the risk analysis, the tool provided by the National Cryptological Center (CCN), PILAR, will be used for the analysis and risk management of an information system under the MAGERIT methodology.