Metodología para la gestión de la seguridad y su madurez en las pymes.

  1. Sánchez Crespo, Luis Enrique
unter der Leitung von:
  1. Eduardo Fernández-Medina Patón Doktorvater/Doktormutter

Universität der Verteidigung: Universidad de Castilla-La Mancha

Fecha de defensa: 31 von März von 2009

Gericht:
  1. Mario G. Piattini Velthuis Präsident/in
  2. Ignacio García Rodríguez de Guzmán Sekretär/in
  3. Mª Inmaculada Yagüe Del Valle Vocal
  4. José Antonio Mañas Argemí Vocal
  5. Juan Manuel Estévez Tapiador Vocal

Art: Dissertation

Zusammenfassung

Con la creciente dependencia que la sociedad de la información tiene de las Tecnologías de la Información y las Comunicaciones (TIC), la necesidad de proteger la información tiene cada vez mayor importancia para las empresas. De esta manera, la demanda de productos, sistemas y servicios para gestionar y mantener la información es creciente, y no es suficiente con realizar unos controles de seguridad superficiales. Es necesario aplicar un enfoque riguroso para evaluar y mejorar la seguridad de los productos y también de los procesos que se llevan a cabo en el contexto de las TIC. En este contexto, surgen los Sistemas de Gestión de la Seguridad de la Información (SGSI), que tienen una gran importancia para la estabilidad de los sistemas de información de las compañías. El hecho de poder disponer de estos sistemas ha llegado a ser cada vez más vital para la evolución de las PYMES. A pesar de que existen varios estándares y recomendaciones que abordan la gestión de la seguridad, así como algún modelo de madurez para la seguridad, en la práctica estos estándares y recomendaciones son muy difíciles de implantar, y requieren una inversión demasiado alta, que la mayoría de las empresas no puede asumir. Adicionalmente, la aplicación de normativas de seguridad en las pequeñas y medianas empresas cuenta con el problema de no disponer de recursos suficientes para realizar una adecuada gestión. La consecuencia inmediata de estas dificultades es que la cultura de la seguridad es prácticamente nula en las pequeñas empresas, y creciente pero todavía muy deficiente en las empresas medianas. Todo esto ha ocasionado que la mayor parte de las PYMES carezcan de sistemas de gestión de la seguridad de la información adecuados. Sin embargo, una buena estrategia para cambiar esa tendencia es elaborar mecanismos ágiles, prácticos y económicos adaptables para las características particulares de este tipo de empresas. Además, es necesario tener en cuenta algunos aspectos de seguridad concretos, no recogidos en los estándares internacionales, como por ejemplo todo lo relativo a protección de datos de carácter personal, que habitualmente viene legislado dentro del ordenamiento particular de cada país. Esta tesis doctoral pretende aportar avances en la gestión de la seguridad de las TIC, en particular para el caso de las PYMES. Para ello, en este trabajo se presentan los elementos esenciales que componen una metodología denominada Metodología para la Gestión de la Seguridad y su Madurez en las PYMES (MGSM/PYME) y un modelo realista, pragmático y ágil que permite evaluar y mejorar la gestión de la seguridad, y el nivel de madurez de ésta, en los sistemas de información de las pequeñas y medianas empresas, basándose en las normas y estándares internacionales más importantes. El desarrollo de esta metodología, está basado en un nuevo enfoque de gestión de la seguridad en las pequeñas y medianas empresas, adaptado al tamaño de la empresa y a su nivel de madurez, utilizando como marco de referencia la norma ISO/IEC27002 (anteriormente ISO/IEC17799) y tomando como punto básico de la metodología la adaptación de los costes a la dimensión de la compañía. La metodología se ha subdividido en tres subprocesos: Generación de Esquemas (GEGS), Generación del SGSI (GSGS) y Mantenimiento del SGSI (MSGS). Además, y con el objeto de validar y mejorar la metodología MGSM/PYME, se ofrece el resultado de su aplicación en un caso de estudio de una compañía real. Por último, se presenta una herramienta que permite la generación de modelos basados en la metodología, así como la generación y el mantenimiento de SGSIs para las compañías.