tut. (Universitat Autònoma de Barcelona. Departament d'Enginyeria de la Informació i de les Comunicacions)
| Additional title: |
Design of a Cybersecurity Governance Framework for Medium-Sized Enterprises Based on the ISO/IEC 27001 Standard |
| Date: |
2025 |
| Abstract: |
El presente estudio propone un marco de gobierno de ciberseguridad diseñado específicamente para empresas medianas, tomando como referencia el estándar internacional ISO/IEC 27001. Los objetivos persiguen la comprensión integral de la familia de estándares ISO/IEC 27000, incluyendo sus términos, definiciones, roles, responsabilidades y principios de gestión de la seguridad. Asimismo, se describe una metodología detallada para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que permita una adecuada planificación, identificación y tratamiento de riesgos, promoviendo el enfoque de mejora continua. La metodología se fundamenta en un análisis exhaustivo de la ISO/IEC 27001, un análisis comparativo y de cumplimiento con el Esquema Nacional de Seguridad (ENS) y los requerimientos de la Directiva NIS2, y finaliza con el diseño de un marco de ciberseguridad que integra políticas de seguridad, roles y responsabilidades, así como procesos de gestión de riesgos adaptados a las necesidades y características de las empresas medianas, junto con un ejemplo de auditoría aplicada a una empresa mediana. |
| Abstract: |
This study proposes a cybersecurity governance framework specifically designed for medium-sized enterprises, using the international standard ISO/IEC 27001 as a reference. The objectives aim for a comprehensive understanding of the ISO/IEC 27000 family of standards, including their terms, definitions, roles, responsibilities, and security management principles. Additionally, a detailed methodology is described for implementing an Information Security Management System (ISMS) that enables proper planning, risk identification, and treatment, while promoting a continuous improvement approach. The methodology is based on a thorough analysis of ISO/IEC 27001, a comparative and compliance analysis with the National Security Framework (ENS), and the requirements of the NIS2 Directive. It concludes with the design of a cybersecurity framework that integrates security policies, roles, and responsibilities, as well as risk management processes adapted to the needs and characteristics of medium-sized enterprises, along with an example of an audit applied to a medium-sized company. |
| Rights: |
Aquest document està subjecte a una llicència d'ús Creative Commons. Es permet la reproducció total o parcial, la distribució, i la comunicació pública de l'obra, sempre que no sigui amb finalitats comercials, i sempre que es reconegui l'autoria de l'obra original. No es permet la creació d'obres derivades.  |
| Language: |
Castellà |
| Studies: |
Enginyeria Informàtica [2502441] |
| Study plan: |
Enginyeria Informàtica [958] |
| Document: |
Treball final de grau ; Text |
| Subject area: |
Menció Tecnologies de la Informació |
| Subject: |
ISO/IEC 27001 ;
Sistema de Gestión de Seguridad de la Información (SGSI) ;
Ciberseguridad en empresas medianas ;
Gestión de riesgos ;
Seguridad de la información ;
Política de seguridad ;
Gobierno de ciberseguridad ;
SO/IEC 27001 ;
Information Security Management System (ISMS) ;
Cybersecurity in Medium-Sized Enterprises ;
Risk Management ;
Information Security ;
Security Policy ;
Cybersecurity Governance |
guest ::
