Diseño de un Sistema de Gestión de Riesgos basado en la ISO 31000:2018 en la empresa SIPECOM S.A

Abstract

El proyecto propone el diseño de un Sistema de Gestión de Riesgos para la empresa SIPECOM S.A., basado en la ISO 31000:2018, que se centra en la gestión de riesgos organizacionales, el análisis de la estructura de la empresa, sus actividades y la identificación de riesgos asociados. Incluye la asignación de responsabilidades y el establecimiento de procedimientos para el tratamiento de la información, con énfasis en los consentimientos y la protección de datos personales. En cuanto a la seguridad de la información, se plantea un registro detallado de los dispositivos digitales y sistemas de información utilizados en la SIPECOM S.A., así como de los accesos del personal y los prestadores de servicios. Además, se evalúan y proponen mejoras en las medidas de seguridad tanto para los dispositivos como para los servidores, hosting y gestores de correo electrónico, siguiendo las mejores prácticas y normativas vigentes. Se realiza un análisis de los puestos de trabajo y las medidas de seguridad aplicadas en cada uno, asegurando que se gestionen adecuadamente los riesgos asociados a la información tratada y que se firmen acuerdos de confidencialidad. Finalmente, se desarrolla una propuesta de diseño del sistema de gestión de riesgos basado en la ISO 31000, integrando los principios fundamentales de la norma, como la mejora continua, la adaptación y la inclusión de factores humanos y culturales. Se establecen mecanismos de verificación de controles y un inventario de activos que permite clasificar y priorizar los riesgos de forma efectiva. This The project proposes the design of a Risk Management System for SIPECOM S.A., based on ISO 31000:2018. This standard focuses on organizational risk management, analyzing the company's structure, its activities, and identifying associated risks. It includes the assignment ofresponsibilities and the establishment of procedures for handling information, with an emphasis on consent and personal data protection. Regarding information security, the proposal includes a detailed registry of digital devices and information systems used at SIPECOM S.A., as well as staff and service provider access. Additionally, security measures for devices, servers, hosting, and email managers are evaluated and improved, adhering to best practices and current regulations. The project also analyzes workstations and the security measures applied to each, ensuring that risks associated with processed information are appropriately managed and that confidentiality agreements are signed. Finally, a risk management system design based on ISO 31000 is developed, integrating the standard's core principles, such as continuous improvement, adaptation, and the inclusion of human and cultural factors. Mechanisms for verifying controls and an asset inventory are established, enabling effective classification and prioritization of risks.