Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001
CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente documento detalla el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para una Pequeña y Mediana Empresa (PYME) dedicada a la venta de maquinaria, que opera con una infraestructura tecnológica predominantemente "on-pr...
Furkejuvvon:
| Váldodahkki: | |
|---|---|
| Eará dahkkit: | , |
| Materiálatiipa: | bachelorThesis |
| Almmustuhtton: |
2025
|
| Fáttát: | |
| Liŋkkat: | http://www.dspace.espol.edu.ec/handle/123456789/67410 |
| Fáddágilkorat: |
Lasit fáddágilkoriid
Eai fáddágilkorat, Lasit vuosttaš fáddágilkora!
|
Lasit fáddágilkoriid | _version_ | 1858337435569618944 |
|---|---|
| author | Caicedo Rodríguez, Ricardo Lenin |
| author2 | Trujillo Miranda, Hebilly Liliana Freire Cobo, Ronald Raúl, Director |
| author2_role | author author |
| author_facet | Caicedo Rodríguez, Ricardo Lenin Trujillo Miranda, Hebilly Liliana Freire Cobo, Ronald Raúl, Director |
| author_role | author |
| collection | Repositorio Escuela Superior Politécnica del Litoral |
| dc.creator.none.fl_str_mv | Caicedo Rodríguez, Ricardo Lenin Trujillo Miranda, Hebilly Liliana Freire Cobo, Ronald Raúl, Director |
| dc.date.none.fl_str_mv | 2025 2026-01-23T19:49:32Z 2026-01-23T19:49:32Z |
| dc.format.none.fl_str_mv | application/pdf |
| dc.identifier.none.fl_str_mv | Caicedo Rodríguez R.L; Trujillo Miranda H.L. (2025). Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 [Proyecto de Titulación] Escuela Superior Politécnica del Litoral http://www.dspace.espol.edu.ec/handle/123456789/67410 T-115527 POSTG180 |
| dc.publisher.none.fl_str_mv | ESPOL.FIEC |
| dc.rights.none.fl_str_mv | info:eu-repo/semantics/openAccess |
| dc.source.none.fl_str_mv | reponame:Repositorio Escuela Superior Politécnica del Litoral instname:Escuela Superior Politécnica del Litoral instacron:ESPOL |
| dc.subject.none.fl_str_mv | Diseño Sistema Gestión de Seguridad Información (SGSI) PYME Activos críticos NORMA ISO/IEC 27001 |
| dc.title.none.fl_str_mv | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| dc.type.none.fl_str_mv | info:eu-repo/semantics/publishedVersion info:eu-repo/semantics/bachelorThesis |
| description | CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente documento detalla el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para una Pequeña y Mediana Empresa (PYME) dedicada a la venta de maquinaria, que opera con una infraestructura tecnológica predominantemente "on-premise". El objetivo principal es proteger sus activos críticos y asegurar el cumplimiento con la norma ISO/IEC 27001 y la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador. El análisis de la postura actual de seguridad (línea base) reveló deficiencias significativas. Se identificó una falta de capacitación formal y concienciación del personal, lo que se traduce en una baja adherencia a las políticas de seguridad existentes. A pesar de la preferencia por la infraestructura local para un control percibido, las prácticas de seguridad para activos críticos como el servidor de bases de datos, el sistema ERP, los datos sensibles y el correo electrónico carecen de políticas formales alineadas con ISO 27001 y de documentación exhaustiva. La gestión de incidentes, aunque presente, opera sin procedimientos formalizados, indicando una postura más reactiva que proactiva. Se identificaron y evaluaron riesgos asociados a estos activos críticos, destacando la alta probabilidad de ciberataques (malware, ransomware, phishing) y errores humanos, con un impacto potencial alto en las operaciones y la reputación de la empresa. El SGSI propuesto aborda estas vulnerabilidades mediante un marco estructurado que incluye siete políticas clave: Control de Acceso, Gestión de ix Contraseñas, Seguridad del Correo Electrónico, Respaldo y Recuperación, Clasificación y Manejo de la Información, Concienciación y Capacitación, y Gestión de Incidentes de Seguridad. Estas políticas se alinean con ISO/IEC 27001 y LOPDP, y se complementan con controles específicos (preventivos, de detección y de respuesta) diseñados para mitigar los riesgos identificados en cada activo crítico. La validación empírica del diseño se realizó a través de un caso piloto enfocado en la seguridad del correo electrónico. Este piloto demostró una reducción de más del 80% en la exposición al phishing y la detección temprana de ataques de fuerza bruta, lo que evitó intrusiones mayores. El piloto también confirmó la importancia crítica de la concienciación del usuario y la necesidad de estrategias de respaldo integrales. En conclusión, el proyecto representa una transformación holística de la postura de seguridad de la PYME, pasando de un estado fragmentado y reactivo a un sistema estructurado, proactivo y en constante evolución. La implementación de este SGSI integral es un imperativo estratégico para la continuidad del negocio, la protección de activos críticos y el mantenimiento de la confianza de clientes y socios en el complejo panorama digital actual. Se recomienda a la alta dirección formalizar la adopción del SGSI, asignar recursos dedicados, considerar la evolución hacia un modelo de nube híbrida para mejorar la resiliencia, implementar sistemáticamente todas las políticas y controles priorizando los riesgos de alto impacto, establecer programas de capacitación continua, formalizar la gestión de incidentes, y realizar auditorías periódicas para asegurar el cumplimiento continuo con ISO 27001 y LOPDP |
| eu_rights_str_mv | openAccess |
| format | bachelorThesis |
| id | ESPOL_f401298faa424e87df4e549102bfc861 |
| identifier_str_mv | Caicedo Rodríguez R.L; Trujillo Miranda H.L. (2025). Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 [Proyecto de Titulación] Escuela Superior Politécnica del Litoral T-115527 POSTG180 |
| instacron_str | ESPOL |
| institution | ESPOL |
| instname_str | Escuela Superior Politécnica del Litoral |
| network_acronym_str | ESPOL |
| network_name_str | Repositorio Escuela Superior Politécnica del Litoral |
| oai_identifier_str | oai:www.dspace.espol.edu.ec:123456789/67410 |
| publishDate | 2025 |
| publisher.none.fl_str_mv | ESPOL.FIEC |
| reponame_str | Repositorio Escuela Superior Politécnica del Litoral |
| repository.mail.fl_str_mv | . |
| repository.name.fl_str_mv | Repositorio Escuela Superior Politécnica del Litoral - Escuela Superior Politécnica del Litoral |
| repository_id_str | 1479 |
| spelling | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001Caicedo Rodríguez, Ricardo LeninTrujillo Miranda, Hebilly LilianaFreire Cobo, Ronald Raúl, DirectorDiseñoSistemaGestión de SeguridadInformación (SGSI)PYMEActivos críticosNORMA ISO/IEC 27001CONDICIONAMIENTO DE PUBLICACION DE PROYECTO. El presente documento detalla el diseño de un Sistema de Gestión de Seguridad de la Información (SGSI) para una Pequeña y Mediana Empresa (PYME) dedicada a la venta de maquinaria, que opera con una infraestructura tecnológica predominantemente "on-premise". El objetivo principal es proteger sus activos críticos y asegurar el cumplimiento con la norma ISO/IEC 27001 y la Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador. El análisis de la postura actual de seguridad (línea base) reveló deficiencias significativas. Se identificó una falta de capacitación formal y concienciación del personal, lo que se traduce en una baja adherencia a las políticas de seguridad existentes. A pesar de la preferencia por la infraestructura local para un control percibido, las prácticas de seguridad para activos críticos como el servidor de bases de datos, el sistema ERP, los datos sensibles y el correo electrónico carecen de políticas formales alineadas con ISO 27001 y de documentación exhaustiva. La gestión de incidentes, aunque presente, opera sin procedimientos formalizados, indicando una postura más reactiva que proactiva. Se identificaron y evaluaron riesgos asociados a estos activos críticos, destacando la alta probabilidad de ciberataques (malware, ransomware, phishing) y errores humanos, con un impacto potencial alto en las operaciones y la reputación de la empresa. El SGSI propuesto aborda estas vulnerabilidades mediante un marco estructurado que incluye siete políticas clave: Control de Acceso, Gestión de ix Contraseñas, Seguridad del Correo Electrónico, Respaldo y Recuperación, Clasificación y Manejo de la Información, Concienciación y Capacitación, y Gestión de Incidentes de Seguridad. Estas políticas se alinean con ISO/IEC 27001 y LOPDP, y se complementan con controles específicos (preventivos, de detección y de respuesta) diseñados para mitigar los riesgos identificados en cada activo crítico. La validación empírica del diseño se realizó a través de un caso piloto enfocado en la seguridad del correo electrónico. Este piloto demostró una reducción de más del 80% en la exposición al phishing y la detección temprana de ataques de fuerza bruta, lo que evitó intrusiones mayores. El piloto también confirmó la importancia crítica de la concienciación del usuario y la necesidad de estrategias de respaldo integrales. En conclusión, el proyecto representa una transformación holística de la postura de seguridad de la PYME, pasando de un estado fragmentado y reactivo a un sistema estructurado, proactivo y en constante evolución. La implementación de este SGSI integral es un imperativo estratégico para la continuidad del negocio, la protección de activos críticos y el mantenimiento de la confianza de clientes y socios en el complejo panorama digital actual. Se recomienda a la alta dirección formalizar la adopción del SGSI, asignar recursos dedicados, considerar la evolución hacia un modelo de nube híbrida para mejorar la resiliencia, implementar sistemáticamente todas las políticas y controles priorizando los riesgos de alto impacto, establecer programas de capacitación continua, formalizar la gestión de incidentes, y realizar auditorías periódicas para asegurar el cumplimiento continuo con ISO 27001 y LOPDPCONDITION FOR PUBLICATION OF PROJECT.ESPOL.FIEC2026-01-23T19:49:32Z2026-01-23T19:49:32Z2025info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisapplication/pdfCaicedo Rodríguez R.L; Trujillo Miranda H.L. (2025). Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 [Proyecto de Titulación] Escuela Superior Politécnica del Litoralhttp://www.dspace.espol.edu.ec/handle/123456789/67410T-115527POSTG180info:eu-repo/semantics/openAccessreponame:Repositorio Escuela Superior Politécnica del Litoralinstname:Escuela Superior Politécnica del Litoralinstacron:ESPOL2026-01-23T19:50:42Zoai:www.dspace.espol.edu.ec:123456789/67410Institucionalhttps://www.dspace.espol.edu.ec/Universidad públicahttps://www.espol.edu.ec/.https://www.dspace.espol.edu.ec/oaiEcuador...opendoar:14792026-01-23T19:50:42falseInstitucionalhttps://www.dspace.espol.edu.ec/Universidad públicahttps://www.espol.edu.ec/.https://www.dspace.espol.edu.ec/oai.Ecuador...opendoar:14792026-01-23T19:50:42Repositorio Escuela Superior Politécnica del Litoral - Escuela Superior Politécnica del Litoralfalse |
| spellingShingle | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 Caicedo Rodríguez, Ricardo Lenin Diseño Sistema Gestión de Seguridad Información (SGSI) PYME Activos críticos NORMA ISO/IEC 27001 |
| status_str | publishedVersion |
| title | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| title_full | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| title_fullStr | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| title_full_unstemmed | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| title_short | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| title_sort | Diseño de un sistema de gestión de seguridad de la información (SGSI) en una pyme enfocado en la protección de activos críticos y cumplimiento de la norma ISO/IEC 27001 |
| topic | Diseño Sistema Gestión de Seguridad Información (SGSI) PYME Activos críticos NORMA ISO/IEC 27001 |
| url | http://www.dspace.espol.edu.ec/handle/123456789/67410 |