Propuesta de políticas de seguridad de la información mediante la utilización de buenas prácticas de la industria para la empresa Xumtech

Abstract

Este documento tiene como objetivo mostrar el análisis realizado, con el fin de seleccionar y proponer políticas de seguridad de la información que promuevan una gestión articulada de los procesos de seguridad en todos los colaboradores de la organización. Esta investigación está basada en la metodología alternativa, la cual conlleva la demostración de tres dimensiones: epistemológica, ontológica y axiológica. Además, se definieron tres fases que contemplan las actividades necesarias para entender y solucionar la problemática. La primera fase comprende la delimitación de las políticas que formarán parte de la propuesta, así como los procesos que contiene cada una de estas políticas. Además, se incluyen detalles como la diagramación As-Is de la situación actual y la explicación y medición de las oportunidades de mejora para cada política. La segunda fase tiene como principal objetivo establecer la brecha entre la situación actual y el marco de referencia COBIT 5, así como la diagramación de los procesos y políticas resultantes del análisis de la brecha. Como última fase, se realiza la simulación de las políticas sobre las cuales se pueda simular, para luego realizar una medición de la efectividad de las políticas propuestas, hasta concluir con un análisis financiero sobre la aplicación de la propuesta. Dentro de los resultados obtenidos se define la documentación estandarizada de las políticas propuestas, sus procesos, diagramación, resultados de simulaciones y análisis financiero; esto con el objetivo de que la organización cuente con la documentación necesaria para implementar la propuesta. El documento finaliza con una serie de recomendaciones realizadas sobre todo el proceso llevado a cabo para la finalización de la propuesta, así como un listado de conclusiones sobre los descubrimientos más relevantes de la investigación.

This document aims to show the analysis carried for select and propose information security policies that promote an articulated management of security processes in all the organization's collaborators. This project is based on the alternative methodology, which entails the demonstration of three dimensions: epistemological, ontological, and axiological. Also, three phases were defined that comprise the activities necessary for the understanding and solution of the problem. The first phase includes the delimitation of the policies that will be part of the proposal, as well as the processes that each of these policies contains. Along with, details such as the As-Is diagram of the current situation and the explanation and measurement of improvement opportunities for each policy are included. The main objective of the second phase is to establish the gap between the current situation and the COBIT 5 framework, as well as the diagramming of the processes and policies resulting from the gap analysis. And in the last phase, the simulation of the policies on which it can be simulated is carried out, and then a measurement of the effectiveness of the proposed policies is carried out, concluding with a financial analysis. As results obtained, standardized documentation of the proposed policies, their processes, simulations, and financial analysis is defined, with the objective that the organization has the necessary documentation for the implementation of the proposal. This document ends with recommendations of the entire process carried out to finalize the proposal, as well as a list of conclusions on the most relevant results of the investigation.