ESTRATEGIA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL INSTITUTO TECNOLÓGICO DE TLAJOMULCO BASADA EN LA NORMA ISO/IEC 27001:2013

Abstract

En el contexto globalizado actual, las Tecnologías de Información juegan un papel esencial para la realización de las actividades diarias en cualquier ámbito y tipo de organización, esto conlleva a vulnerabilidades en brechas de seguridad, robo de datos, perdida de información, perdida de integridad en los sistemas de información y bases de datos, y demás situaciones a los que está propensa la información con estas tecnologías. En este trabajo se aborda una estrategia para la implementación de un sistema de gestión de seguridad de la información (SGSI) dentro de una Institución Pública de Educación Superior de México (IPES), como lo es el Instituto Tecnológico de Tlajomulco, para ello se toma como base la norma ISO/IEC 27001:2013 necesaria garantizar la seguridad de la información, la metodología MAGERIT que es necesaria para llevar a cabo la identificación y gestión de riesgos, y tomando fuerte apoyo de los formatos establecidos en la guía de los Fundamentos para la Dirección de Proyectos (PMBOK). Con esto se pretende incrementar el nivel de seguridad de información de los servicios de TI prestados por el instituto Tecnológico de Tlajomulco, mitigando el riesgo de manifestación de las amenazas que se presentan día con día y que afectan a las partes interesadas del plantel. Se explica a detalle la identificación de riesgos, así como su clasificación y valor dentro del sistema, para poder priorizados y darles un tratamiento que ayude a la mejora y mitigación de amenazas. Este trabajo se compone de 9 capítulos donde cada uno se desarrolló de la manera siguiente: en el capítulo uno se habla de las generalidades del trabajo, donde se exponen los objetivos, metas, contribuciones del diseño, así como las metodologías a utilizar para el desarrollo del proyecto. En el capítulo dos se expone el estado del arte, el cual se conforma de los marcos teórico, referencial y conceptual. En el marco teórico se hace referencia al gobierno de TI, la importancia de contar con buenas prácticas y los beneficios que conlleva el gobernar las Tecnologías de la Información, en el marco referencial se listan los trabajos de investigación que se tomaron como referencia para estructurar el actual, apoyado de investigaciones realizadas en el ámbito de la gobernanza de Tecnologías de Información basados en la norma de referencia (ISO/IEC 27001:2015); y por último en el marco conceptual se definen los acrónimos y términos utilizados en este trabajo de tesis. El capítulo tres contiene los conceptos generales para el desarrollo del tema, como lo son la Norma ISO/IEC 27001:2013:2013, la metodología MAGERIT, la guía PMBOK, las leyes federales que rigen la protección de datos personales y PMI. Dentro del capítulo 4 se encuentra la definición de la problemática partiendo del problema a tratar y la situación actual del Instituto. En el capítulo 5 se encuentra el plan de la propuesta de solución con el que se intentará llevar a cabo el cumplimiento de las metas establecidas. Para el capítulo 6 se estructura la implementación como tal del plan para desarrollar la estrategia, estableciendo la metodología a utilizarse en la gestión de los riegos. En el capítulo 7 se lleva a cabo la puesta en marcha de la aplicación de los controles de seguridad de la información seleccionados, se evalúa según la metodología, el estado de los activos y se anexan los procedimientos declarados en la estrategia. Dentro del capítulo 8 se realiza un análisis de los resultados obtenidos en la evaluación de los activos que es un parteaguas para la pertinencia de la estrategia. Y finalmente en el capítulo 9 y último se presentan las conclusiones y trabajos futuros que garanticen la continuidad del SGSI dentro de la institución. Este trabajo intenta establecer una estrategia para la implementación de un SGSI que pueda ser avalado por una casa certificadora dando garantía de la aplicación de buenas prácticas en el manejo y gestión de la información, así como realce institucional dentro de las actividades diarias del área de Telecomunicaciones así como la información que se maneja en el actuar del plantel.