1. DSpace en ESPOL
  2. Unidades Académicas
  3. Facultad de Ingeniería en Electricidad y Computación
  4. Tesis de Maestría en Seguridad Informática
Please use this identifier to cite or link to this item: http://www.dspace.espol.edu.ec/handle/123456789/67410
Title: Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001
Authors: Caicedo Rodríguez, Ricardo Lenin
Trujillo Miranda, Hebilly Liliana
Freire Cobo, Ronald Raúl, Director
Keywords: Diseño
Sistema
Gestión de Seguridad
Información (SGSI)
PYME
Activos críticos
NORMA ISO/IEC 27001
Issue Date: 2025
Publisher: ESPOL.FIEC
Citation: Caicedo Rodríguez R.L; Trujillo Miranda H.L. (2025). Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 [Proyecto de Titulación] Escuela Superior Politécnica del Litoral
Abstract: CONDITION FOR PUBLICATION OF PROJECT.
Description: CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente documento detalla el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para una Pequeña y Mediana Empresa (PYME) dedicada a la venta de maquinaria, que opera con una infraestructura tecnológica predominantemente "on-premise". El objetivo principal es proteger sus activos críticos y asegurar el cumplimiento con la norma ISO/IEC 27001 y la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador. El análisis de la postura actual de seguridad (línea base) reveló deficiencias significativas. Se identificó una falta de capacitación formal y concienciación del personal, lo que se traduce en una baja adherencia a las políticas de seguridad existentes. A pesar de la preferencia por la infraestructura local para un control percibido, las prácticas de seguridad para activos críticos como el servidor de bases de datos, el sistema ERP, los datos sensibles y el correo electrónico carecen de políticas formales alineadas con ISO 27001 y de documentación exhaustiva. La gestión de incidentes, aunque presente, opera sin procedimientos formalizados, indicando una postura más reactiva que proactiva. Se identificaron y evaluaron riesgos asociados a estos activos críticos, destacando la alta probabilidad de ciberataques (malware, ransomware, phishing) y errores humanos, con un impacto potencial alto en las operaciones y la reputación de la empresa. El SGSI propuesto aborda estas vulnerabilidades mediante un marco estructurado que incluye siete políticas clave: Control de Acceso, Gestión de ix Contraseñas, Seguridad del Correo Electrónico, Respaldo y Recuperación, Clasificación y Manejo de la Información, Concienciación y Capacitación, y Gestión de Incidentes de Seguridad. Estas políticas se alinean con ISO/IEC 27001 y LOPDP, y se complementan con controles específicos (preventivos, de detección y de respuesta) diseñados para mitigar los riesgos identificados en cada activo crítico. La validación empírica del diseño se realizó a través de un caso piloto enfocado en la seguridad del correo electrónico. Este piloto demostró una reducción de más del 80% en la exposición al phishing y la detección temprana de ataques de fuerza bruta, lo que evitó intrusiones mayores. El piloto también confirmó la importancia crítica de la concienciación del usuario y la necesidad de estrategias de respaldo integrales. En conclusión, el proyecto representa una transformación holística de la postura de seguridad de la PYME, pasando de un estado fragmentado y reactivo a un sistema estructurado, proactivo y en constante evolución. La implementación de este SGSI integral es un imperativo estratégico para la continuidad del negocio, la protección de activos críticos y el mantenimiento de la confianza de clientes y socios en el complejo panorama digital actual. Se recomienda a la alta dirección formalizar la adopción del SGSI, asignar recursos dedicados, considerar la evolución hacia un modelo de nube híbrida para mejorar la resiliencia, implementar sistemáticamente todas las políticas y controles priorizando los riesgos de alto impacto, establecer programas de capacitación continua, formalizar la gestión de incidentes, y realizar auditorías periódicas para asegurar el cumplimiento continuo con ISO 27001 y LOPDP
URI: http://www.dspace.espol.edu.ec/handle/123456789/67410
metadata.dc.identifier.codigoproyectointegrador: POSTG180
Appears in Collections:Tesis de Maestría en Seguridad Informática

Files in This Item:
File Description SizeFormat 
T-115527 POSTG180 CAICEDO- TRUJILLO.pdf2.39 MBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.