Desarrollo de una guía de adecuación a estándares de seguridad para sistemas informáticos

Abstract

[CA] L'augment de les amenaces de ciberseguretat junt amb la tendència de digitalització ha portat a les petites i mitjanes empreses a buscar formes de protegir millor els seus sistemes informàtics i dades. Aquest Treball de Fi de Grau té com a objectiu desenvolupar una guia i una eina accessible que permeten a les companyies avaluar i millorar el seu nivell de seguretat de la informació, independentment dels seus coneixements previs en ciberseguretat. L'eina està alineada amb normatives, estàndards i entitats de seguretat com ISO 27001, NIST, HIPAA, PCI DSS, CIS i ENISA, assegurant tractar conceptes àmpliament estandarditzats. Per a la creació d'aquesta eina, s'ha realitzat una revisió exhaustiva dels estàndards i millors pràctiques en seguretat de la informació, així com una anàlisi de les principals amenaces que enfronten les companyies en creixement digital, com el ransomware i el phishing. S'ha posat especial èmfasi en la implementació pràctica d'aquests estàndards per a fer-los accessibles i efectius en el context d'empreses de xicotet i mitjà tamany. El resultat és una eina d'autoavaluació implementada en Excel, que pretén oferir una avaluació de l'estat de maduresa de les companyies pel que fa a la seguretat dels sistemes informàtics existents. Aquesta eina compta amb l'objectiu d'ajudar a identificar àrees de millora i facilitar l'adopció de mesures de protecció adequades, contribuint a una gestió més segura i eficient de les dades empresarials.

[ES] El aumento de las amenazas de ciberseguridad junto con la tendencia de digitalización ha llevado a las pequeñas y medianas empresas a buscar formas de proteger mejor sus sistemas informáticos y datos. Este Trabajo de Fin de Grado tiene como objetivo desarrollar una guía y una herramienta accesible que permitan a las compañías evaluar y mejorar su nivel de seguridad de la información, independientemente de sus conocimientos previos en ciberseguridad. La herramienta está alineada con normativas, estándares y entidades de seguridad como ISO 27001, NIST, HIPAA, PCI DSS, CIS y ENISA, asegurando tratar conceptos ampliamente estandarizados.

Para la creación de esta herramienta, se ha realizado una revisión exhaustiva de los estándares y mejores prácticas en seguridad de la información, así como un análisis de las principales amenazas que enfrentan las compañías en crecimiento digital, como el ransomware y el phishing. Se ha puesto especial énfasis en la implementación práctica de estos estándares para hacerlos accesibles y efectivos en el contexto de empresas de pequeño y mediano tamaño.

El resultado es una herramienta de autoevaluación implementada en Excel, que pretende ofrecer una evaluación del estado de madurez de las compañías con respecto a la seguridad de los sistemas informáticos existente. Esta herramienta cuenta con el objetivo de ayudar a identificar áreas de mejora y facilitar la adopción de medidas de protección adecuadas, contribuyendo a una gestión más segura y eficiente de los datos empresariales.

[EN] The increase in cybersecurity threats, along with the trend towards digitalization, has led small and medium-sized enterprises to seek ways to better protect their computer systems and data. This Bachelor's Thesis aims to develop a guide and an accessible tool that allows companies to assess and improve their level of information security, regardless of their prior knowledge in cybersecurity. The tool is aligned with regulations, standards, and security entities such as ISO 27001, NIST, HIPAA, PCI DSS, CIS, and ENISA, ensuring the treatment of widely standardized concepts.

For the creation of this tool, an exhaustive review of standards and best practices in information security has been conducted, as well as an analysis of the main threats faced by companies in digital growth, such as ransomware and phishing. Special emphasis has been placed on the practical implementation of these standards to make them accessible and effective in the context of small and medium-sized enterprises.

The result is a self-assessment tool implemented in Excel, which aims to offer an evaluation of the maturity state of companies concerning the security of existing computer systems. This tool aims to help identify areas for improvement and facilitate the adoption of appropriate protection measures, contributing to a more secure and efficient management of business data.