Descripción:
CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente documento detalla el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para una Pequeña y Mediana Empresa (PYME) dedicada a la venta de maquinaria, que opera con una infraestructura tecnológica predominantemente "on-premise". El objetivo principal es proteger sus activos críticos y asegurar el cumplimiento con la norma ISO/IEC 27001 y la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador.
El análisis de la postura actual de seguridad (línea base) reveló deficiencias significativas. Se identificó una falta de capacitación formal y concienciación del personal, lo que se traduce en una baja adherencia a las políticas de seguridad existentes. A pesar de la preferencia por la infraestructura local para un control percibido, las prácticas de seguridad para activos críticos como el servidor de bases de datos, el sistema ERP, los datos sensibles y el correo electrónico carecen de políticas formales alineadas con ISO 27001 y de documentación exhaustiva. La gestión de incidentes, aunque presente, opera sin procedimientos formalizados, indicando una postura más reactiva que proactiva.
Se identificaron y evaluaron riesgos asociados a estos activos críticos, destacando la alta probabilidad de ciberataques (malware, ransomware, phishing) y errores humanos, con un impacto potencial alto en las operaciones y la reputación de la empresa.
El SGSI propuesto aborda estas vulnerabilidades mediante un marco estructurado que incluye siete políticas clave: Control de Acceso, Gestión de
ix
Contraseñas, Seguridad del Correo Electrónico, Respaldo y Recuperación, Clasificación y Manejo de la Información, Concienciación y Capacitación, y Gestión de Incidentes de Seguridad. Estas políticas se alinean con ISO/IEC 27001 y LOPDP, y se complementan con controles específicos (preventivos, de detección y de respuesta) diseñados para mitigar los riesgos identificados en cada activo crítico.
La validación empírica del diseño se realizó a través de un caso piloto enfocado en la seguridad del correo electrónico. Este piloto demostró una reducción de más del 80% en la exposición al phishing y la detección temprana de ataques de fuerza bruta, lo que evitó intrusiones mayores. El piloto también confirmó la importancia crítica de la concienciación del usuario y la necesidad de estrategias de respaldo integrales.
En conclusión, el proyecto representa una transformación holística de la postura de seguridad de la PYME, pasando de un estado fragmentado y reactivo a un sistema estructurado, proactivo y en constante evolución. La implementación de este SGSI integral es un imperativo estratégico para la continuidad del negocio, la protección de activos críticos y el mantenimiento de la confianza de clientes y socios en el complejo panorama digital actual.
Se recomienda a la alta dirección formalizar la adopción del SGSI, asignar recursos dedicados, considerar la evolución hacia un modelo de nube híbrida para mejorar la resiliencia, implementar sistemáticamente todas las políticas y controles priorizando los riesgos de alto impacto, establecer programas de capacitación continua, formalizar la gestión de incidentes, y realizar auditorías periódicas para asegurar el cumplimiento continuo con ISO 27001 y LOPDP
