Cómo gestionar la seguridad de la información (según ISO 27001: 2013) en una PYME del sector de las tecnologías de la información y la comunicación

Abstract

Este proyecto es una guía para ayudar a pequeñas y medianas empresas (PYMES) a adquirir el conocimiento suficiente sobre la norma ISO/IEC 27001:2013 para poder optar a la certificación ISO de la misma. Para ello se comienza desarrollando los conceptos de información y de Sistema de gestión de seguridad de la información (SGSI), analizando por qué es necesario su implantación y cuáles son sus beneficios, también se analiza el sector IT mediante un análisis de las cinco fuerzas de Porter. A continuación se introduce la serie de normas 27001, y se explica en detalle la norma que nos interesa, la ISO/IEC 27001:2013 comparándola con su predecesora ISO/IEC 27001:2005. Por último se adjunta una documentación mínima propuesta cuyo fin es ayudar al lector a considerar todo lo que la norma expone que requiere quedar reflejado como información documentada.