Definición y validación de procesos de gestión de seguridad de la información para la Empresa Amisoft
Professor Advisor
dc.contributor.advisor
Bastarrica Piñeyro, María Cecilia
Professor Advisor
dc.contributor.advisor
Quispe Sanca, Alcides
Author
dc.contributor.author
Molina Ortega, Andrés Sebastián
Staff editor
dc.contributor.editor
Facultad de Ciencias Físicas y Matemáticas
Staff editor
dc.contributor.editor
Departamento de Ciencias de la Computación
Associate professor
dc.contributor.other
Hevia Angulo, Alejandro
Associate professor
dc.contributor.other
Angles Rojas, Renzo
Admission date
dc.date.accessioned
2016-01-06T22:01:42Z
Available date
dc.date.available
2016-01-06T22:01:42Z
Publication date
dc.date.issued
2015
Identifier
dc.identifier.uri
https://repositorio.uchile.cl/handle/2250/136243
General note
dc.description
Magíster en Tecnologías de la Información
Abstract
dc.description.abstract
Este proyecto toma de base el proceso que ha desarrollado Amisoft para la gestión de los proyectos y tiene el nombre de Amisoft Process Framework (APF). El APF se encuentra dividido en tres actividades: Gestión, Ingeniería y Soporte; las cuales han servido para desarrollar software de alta calidad pero no están involucrados en la seguridad de la información que la empresa maneja día a día. Por esta razón fue necesario definir una nueva actividad que tenga que ver con seguridad de la información para poder corregir esta debilidad. El objetivo de esta tesis es definir y validar los procesos necesarios para la gestión de la seguridad de la información en la empresa Amisoft. Estos procesos en una siguiente etapa serán implementados para que la seguridad de la información pueda ser gestionada y la empresa alcance la certificación ISO/IEC 27001:2013.
Amisoft tiene experiencia en el manejo de normas puesto que obtuvo la certificación en la norma ISO 9001:2008 de calidad junto la evaluación CMMI nivel 2. Por esta razón se decide implementar un proceso de seguridad de la información usando como referencia la norma ISO/IEC 27001:2013 para seguridad de la información. Con esta premisa el trabajo para esta tesis consiste en tomar de la norma indicada junto con los controles descritos en la norma ISO/IEC 27002:2013 todos los procesos que Amisoft considere necesarios para proteger la información de su negocio. A continuación se evaluará el grado de cumplimiento de los procesos teniendo 3 posibles opciones: implementado, parcialmente implementado y no implementado. A los procesos implementados se les dejará intactos o se les agregará pequeñas modificaciones para que cumplan con la norma, los que se encuentran parcialmente implementados se los complementará con la información faltante y los no implementados se diseñará completamente el proceso. Una vez finalizada la definición se realiza un proceso de verificación y de validación con la ayuda de un experto externo a la empresa que indica las observaciones y no conformidades encontradas en los procesos.
Todos los objetivos de esta tesis se cumplieron logrando así tener una APF que actualmente posee los procesos para que la información de Amisoft sea manejada de una manera segura. Con esto se puede empezar la implementación en un proyecto piloto generando mejoras al proceso de ser necesario y finalmente se logre la implementación en toda la empresa.