Implantación de un sistema de gestión integrado con las normas ISO/IEC 27001:2013 e ISO/IEC 20000-1:2018

Abstract

[ES] La información es un recurso clave para todas las empresas, los sistemas de información cada vez más están expuestos a amenazas, que pueden vulnerar los activos críticos de información, como la pérdida o robo de datos causada por usuarios no autorizados, incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la empresa, y denegación de servicio por ciberataques. La gestión de la seguridad de la información permite establecer un marco con políticas y procedimientos que ayudan a la seguridad frente a incidentes causados por un ataque. Los procesos de negocio están relacionados con los sistemas de información, la implementación de la gestión de servicios TI, permite tener el control de las actividades, el uso eficiente de los sistemas, y ayuda a mejorar el nivel de servicio proporcionado, asegurando la entrega y calidad de estos. Las estrategias de transformación digital son un recurso poderoso que ayudan a las empresas en los procesos de negocio para aumentar la competitividad y permitir la innovación, las certificaciones ayudan a generar fiabilidad y demostrar calidad en los procesos internos y servicios que ofrecen las empresas. La Norma ISO/IEC 27001 permite el aseguramiento, confidencialidad, e integridad de la información y de los sistemas que la procesan. La Norma ISO/IEC 20000-1 establece los requisitos para la prestación de servicios de TI, ayuda a las organizaciones a medir los niveles de servicios y evaluar su desempeño. La Norma ISO/IEC 27013 es una guía para la implementación integrada de un Sistema de Gestión del servicio (SGS) según la norma ISO/IEC 20000-1 y un Sistema de Gestión de la Seguridad de la Información (SGSI), según la norma ISO/IEC 27001. En este Trabajo de Fin de Máster (TFM), se analiza la Norma ISO 27013 para establecer un Sistema Integrado de Gestión (SIG) que facilite la implantación conjunta de las normas ISO/IEC 27001 e ISO/IEC 20000-1, con el objetivo de simplificar el desarrollo y mantenimiento, reduciendo los costes y tiempos. Se implantarán las normas desde cero en una empresa de servicios. Además, se realizará el desarrollo de una herramienta informática que facilitará la toma de información de la auditoría inicial de los sistemas de información.

[EN] Information is a key resource for all companies, the Information systems are frequently exposed to various types of threats which can cause different types of damages, such as data loss, security incidents, and denial of service due to cyber-attacks. Information security management allows the establishment of policies and procedures that help security against incidents caused by an attack. Business processes are related to information systems, IT service management allows control of activities, helps improve the level and quality of services. Digital transformation strategies are a powerful resource that help companies to increase competitiveness and enable innovation, certifications help to generate reliability and demonstrate quality in internal processes. ISO/IEC 27001, Information security management systems. Information security is the protection of information to ensure Confidentiality, Integrity and Availability. ISO/IEC 20000-1, Service Management System Requirements. Service management system is a management system to direct and control the service management activities of the service provider. ISO/IEC 27013:2015 provides guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000‑1. In this master's thesis, ISO 27013 standard is analyzed. Integrated management systems provide a framework for organizations to combine a number of international standards related to their area of operation, in order to simplify the development and maintenance, reducing cost and time. In addition, a tool will be developed to facilitate the taking of information from the initial audit.