Desde el sistema de gestión de calidad a la seguridad de la información propuesta en ISO 27001

Gap analysis en una empresa de transporte

Autores/as

  • Marcelo Adrián García Universidad Nacional de Tucumán
  • María Alejandra Masclef Universidad Nacional de Tucumán

DOI:

https://doi.org/10.35305/rcd.vi1.14

Palabras clave:

Seguridad de la Información, Sistema de Gestión, ISO 27001

Resumen

La información de una organización constituye un activo valioso y vulnerable. Un ataque puede comprometerla total o parcialmente y afectar su disponibilidad, integridad y/o confidencialidad, causando retrasos y un alto costo económico y reputacional para la compañía. Es por ello, que la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) contribuiría con el propósito de proteger la información y los activos informáticos relacionados.

El objetivo de este trabajo es analizar el estado actual del Sistema de Gestión (SG), certificado por IRAM – ISO 9001 en calidad (SGC), implementado en una empresa dedicada a la comercialización de productos químicos para la industria, ubicada en la provincia de Tucumán, Argentina. A partir de ello, se realizará un estudio de tipo exploratorio y descriptivo, analizando los requerimientos que adicionalmente debería cumplir la organización para certificar su SG en el marco de ISO 27001 (requisitos para la implementación de un SGSI).

Cabe destacar, que las normas mencionadas cuentan con una estructura de alto nivel con apartados de títulos idénticos, términos comunes y, entre otros, definiciones esenciales indicadas en el anexo SL de la Directiva ISO/IEC, parte 1, “Consolidated ISO Supplement”, lo que hace que su implementación conjunta sea compatible.

A partir de la solicitud por parte de la empresa de incorporar controles de seguridad en sus procesos críticos de negocios, se considera que la implementación de un sistema de gestión que cumpla simultáneamente con requerimientos de Calidad y Seguridad de la Información, se presenta como una propuesta de extensión factible para la entidad objeto de estudio. Ello contribuiría a la mejora continua de sus procesos y a la definición de un umbral aceptable de riesgo asociado a la utilización de sus activos de información

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Baca Urbina, G. (2016). Introducción a la Seguridad Informática. Grupo Editorial Patria.

Cano M., J. J. (2013). Inseguridad de la Información: Una visión estratégica. Alfaomega.

Deloitte. (s.f.). ¿Qué es el gobierno corporativo? Transparencia y confianza https://www2.deloitte.com/es/es/pages/governance-risk-and-compliance/articles/que-es-el-gobierno-corporativo.html

Escuela Europea de Excelencia. (11 de octubre de 2016). ¿Cómo integrar las normas ISO 9001 e ISO 27001? Obtenido de Nuevas Normas ISO: https://www.nueva-iso-9001-2015.com/2016/10/integrar-normas-iso-9001-e-iso-27001/

INCIBE (s.f). Políticas de seguridad para la pyme. https://www.incibe.es/protege-tu-empresa/herramientas/politicas

INTECO (s.f.). Implementación de un SGSI en la empresa. https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf

Instituto Argentino de Normalización y Certificación (2015). Norma ISO 9001: Sistemas de Gestión de Calidad. Subcomité de Sistemas de Gestión de Calidad.

IRAM, Instituto Argentino de Normalización y Certificación (2021). Norma ISO 27002: Tecnología de la información. Técnicas de seguridad. Código de buenas prácticas para los controles de la seguridad de la información.

ISO / IEC. (2018). Tecnología de la información - Gestión de servicios - Parte 7: Orienta-ción sobre la integración y correlación de ISO / IEC 20000-1: 2018 a ISO 9001:2015 e ISO / IEC 27001: 2013. Suiza: ISO.

ISO/IEC 27000. (2014). Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de seguridad de la información. Descripción general y vocabulario. Vernier, Geneva, Switzerland: ISO.

ISO/IEC 27001. (2013). Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos. Capital Federal, Argentina: Subcomité de Seguridad de la Información, Ciberseguridad y Protección de la Privacidad (IRAM).

IT-Insecurity. (23 de agosto de 2009). Cultura de Seguridad de la Información: Entendien-do una percepción. IT-Insecurity: https://insecurityit.blogspot.com/2009/08/cultura-de-seguridad-de-la-informacion.html

Laudon, K. y Laudon, J. (2016). Sistemas de Información Gerencial (14º ed.). Pearson.

Organización Internacional de Normalización. (s.f.). Norma ISO 27001. https://normaiso27001.es/mejora-en-iso-27001/

Wikipedia. (s.f). Ciclo de Deming. https://es.wikipedia.org/wiki/Ciclo_de_Deming

Descargas

Publicado

2023-10-25

Cómo citar

García, M. A., & Masclef, M. A. (2023). Desde el sistema de gestión de calidad a la seguridad de la información propuesta en ISO 27001: Gap analysis en una empresa de transporte. Revista Científica DUTI, (1). https://doi.org/10.35305/rcd.vi1.14

Número

Sección

Extensión y Transferencia