Propuesta de una implementación de sistema de gestión de seguridad de la información

Abstract

Este proyecto tiene como objetivo analizar, diseñar y evaluar la viabilidad de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en la empresa Tecnology, que se dedica al desarrollo de soluciones tecnológicas. A través de un diagnóstico exhaustivo de la situación actual, se han identificado varias brechas de seguridad que ponen en riesgo la confidencialidad, integridad y disponibilidad de los activos de información, afectando especialmente a las áreas de Logística, Finanzas y Soporte Técnico. La propuesta se basa en los marcos de NIST y CIS Controls, y utiliza metodologías como el análisis causa-efecto (Ishikawa) y el ciclo de mejora continua de Deming (PDCA). Esto tiene como fin establecer controles técnicos, políticas organizacionales y procedimientos específicos. Además, el estudio incluye un análisis económico detallado que demuestra la viabilidad financiera del proyecto, utilizando herramientas de código abierto como Wazuh y un análisis costo-beneficio que resulta favorable, con un Índice Beneficio/Costo (B/C) de 7,89. En consecuencia, se presenta un modelo sostenible que refuerza la postura de ciberseguridad de la organización, disminuye considerablemente el riesgo de incidentes críticos y mejora la gobernanza de la información a nivel estratégico, técnico y económico.

This project aims to analyze, design and evaluate the feasibility of implementing an Information Security Management System (ISMS) in the Tecnology company, which is dedicated to the development of technological solutions. Through an exhaustive diagnosis of the current situation, several security breaches have been identified that put the confidentiality, integrity and availability of information assets at risk, especially affecting the areas of Logistics, Finance and Technical Support. The proposal is based on the NIST and CIS Controls frameworks and uses methodologies such as cause-effect analysis (Ishikawa) and the Deming Continuous Improvement Cycle (PDCA). This is intended to establish technical controls, organizational policies, and specific procedures. In addition, the study includes a detailed economic analysis that demonstrates the financial viability of the project, using open-source tools such as Wazuh and a cost-benefit analysis that is favorable, with a Benefit/Cost Ratio (B/C) of 7.89. Consequently, a sustainable model is presented that reinforces the organization's cybersecurity posture, considerably reduces the risk of critical incidents and improves information governance at a strategic, technical and economic level.