Diseño del sistema de gestión de seguridad de la información para una compañía de software que provee servicios PAAS

Abstract

El objetivo principal de este proyecto es diseñar el Sistema de Gestión de Seguridad de la Información para una compañía de software que explota un gestor de contenidos a través de servicios cloud de tipo plataforma como servicio o PaaS. Para desarrollar el SGSI, se utiliza la norma estándar para la seguridad de la información ISO 27001:2017, las prácticas para los controles de seguridad recogidos en la norma ISO 27002:2017 y los controles específicos para servicios en la nube recogidos en la norma ISO 27017:2021. Además, se lleva a cabo un completo análisis de riesgos siguiendo la Metodología de Análisis y Gestión de Riesgos de los sistemas de la Información MAGERIT. El proyecto trata de relacionar los conocimientos académicos adquiridos en diferentes asignaturas del máster en materia de seguridad de la información y cumplimiento normativo con el mundo real de la empresa actual donde gran parte de los servicios TI son contratados a través de proveedores cloud.

The main goal of this project is designing the Information Security Management System for a service company that provides a CMS as a cloud solution based on a Platform as a Service model (PaaS). To develop the ISMS, the international standard on information security management ISO 27001:2017 is used as well as the practices for information security controls of the standard ISO 27002:2017 and specific controls for cloud services from the standard ISO 27017:2021. Furthermore, a thorough risk analysis is performed following the Risks Analysis and Management for Information Systems Methodology MAGERIT. The project aims to relate the academic knowledge acquired from this master studies in terms of information security and compliance to the real business world, in which currently IT services are widely hired to cloud service providers.