Un modelo de mejora para la gestión de la seguridad de la información a través del proceso de adaptación de una pequeña o mediana organización a la normativa sobre protección de datos

  1. Pastor Benlloch, Jose Manuel
Dirigida por:
  1. Ignacio Gil Pechuán Director/a

Universidad de defensa: Universitat Politècnica de València

Fecha de defensa: 12 de mayo de 2010

Tribunal:
  1. Manuel Rodenes Adam Presidente/a
  2. Daniel Palacios Marqués Secretario/a
  3. Juan Sapena Bolufer Vocal
  4. Domingo Enrique Ribeiro Soriano Vocal
  5. Francisco Javier Lara García Vocal

Tipo: Tesis

Teseo: 292766 DIALNET

Resumen

En la medida en que ha ido aumentando la importancia de los datos en la escala de valores de una organización también lo ha hecho la responsabilidad que asume la propia organización porque debe garantizar su buen uso. Esto se presenta como fundamental en el caso de los datos de carácter personal, y debe platearse como la principal forma de garantizar su privacidad, lo que desembocó en los últimos años del siglo XX en la aparición de diferentes directivas en el marco de la Unión Europea que han servido a sus países miembros para desarrollar sus propias leyes respecto de la protección de datos. Los estudios sobre la seguridad de la información son recientes. Sólo cuando se ha dispuesto de herramientas capaces de almacenar grandes cantidades de datos y de procesar esos mismos datos para transformarlos en información de interés que reporte un valor añadido a quien maneja esa transformación, se ha generado una preocupación, cada vez mayor, por mantener la seguridad de las instalaciones y sistemas donde se almacenan los datos originales. Es cuando el binomio datos-información ha alcanzado un nuevo estatus en la escala de valores que marca cuál es el grado de importancia de las cosas dentro de una organización, y ese nuevo estatus ha elevado la categoría de ese binomio, que pasa a ser un recurso estratégico, hasta el punto de requerir la definición de una estrategia bien planificada por parte de cualquier organización para garantizar su uso adecuado. En consecuencia, el objetivo de esta tesis es crear un modelo de gestión para la protección de datos de carácter personal que permita a cualquier organización cumplir con la normativa vigente respecto del tratamiento los datos personales, enmarcando dicho modelo dentro de la política de seguridad de la información y que se va a generar a partir del análisis general de los activos en tecnologías de la información y las comunicaciones disponibles, sus riesgos y amenazas, y la sensibilidad de los datos que se manejan desde los sistemas de información de la propia organización. Para alcanzar ese objetivo hemos llevado a cabo el estudio de un conjunto de indicadores sobre las PYMES y las entidades locales en el ámbito de la seguridad de la información. El modelo propuesto, se ha construido siguiendo cuatro etapas de desarrollo desde donde se han tenido en cuenta las repercusiones normativas de la protección de datos, las consecuencias que sobre una organización tendrían las amenazas y riesgos que se ciernen sobre sus datos, el valor de sus activos tecnológicos y el establecimiento de sus propias políticas de seguridad, con el objetivo de reducir la vulnerabilidad del conjunto activos que conforman sus sistemas de información. Tras la fase anterior planteamos la selección de casos para el estudio empírico siguiendo para ellos las indicaciones que desde la metodología cualitativa se plantean. Se ha analizado en cada uno de los casos las cuatro fases que conforman el modelo propuesto. El estudio de casos llevado a cabo nos ha permitido contrastar de forma empírica nuestras cuestiones de investigación respecto del modelo propuesto y formular las conclusiones.