“Implantación de la norma ISO/IEC 27001:2022 de seguridad de la información en una empresa de desarrollo de SaaS con empleados y 100% remoto y servidores en la nube”

Abstract

Este Trabajo de Fin de Grado (TFG) aborda la implementación y certificación del Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma ISO 27001:2022 en Innovatech Consulting, una empresa ficticia basada en el Instituto de Innovación, Ciencia y Empresa. El proyecto documenta exhaustivamente los procesos y metodologías necesarias para cumplir con los requisitos de la norma, centrándose en aquellos aspectos más relevantes para la titulación de informática. Se tratan temas como la identificación de riesgos, la creación de un Plan de Continuidad de Negocio (BCP) y la definición de una Política de Seguridad de la Información. Además, se presenta una Declaración de Aplicabilidad (SOA) actualizada y se discuten los resultados de la automatización de controles en Azure. El TFG también sugiere líneas futuras de mejora y destaca la importancia de la innovación continua en la gestión de la seguridad de la información.This Final Degree Project (TFG) focuses on the implementation and certification of the Information Security Management System (ISMS) under the ISO 27001:2022 standard at Innovatech Consulting, a fictional company based on the Instituto de Innovación, Ciencia y Empresa. The project thoroughly develops and documents key processes and methodologies required to meet the standard, with a scope limited to elements closely related to the computer science degree. It covers risk identification, the development of a Business Continuity Plan (BCP), and the definition of an Information Security Policy. An updated Statement of Applicability (SOA) and security objectives for monitoring and improving the ISMS have also been developed. Not all ISO 27001:2022 requirements are addressed; the focus is on aspects relevant to computer science. The project also presents results from Azure control automation, highlighting the role of advanced technologies. Finally, future improvement lines are proposed, emphasizing continuous innovation in information security management.