Transformación Digital TI: Implementación de GLPI con ITIL e ISO 27001 en Laboratorio Bolívar SAS

Abstract

El presente proyecto final de trabajo de grado tiene como objetivo generar una correcta gestión de los activos y así poder fortalecer la seguridad de la información en el Laboratorio Bolívar, empresa ubicada en la ciudad de Bucaramanga, por medio de la creación e implementación de metodologías que de la mano con herramientas totalmente capacitadas permitían establecer un entorno que sea seguro, organizado y sobre todo con una estructura fuerte que combata las amenazas. Ante una evidente carencia de políticas, controles y procedimientos debidamente documentados, se pudo evidenciar la alta exposición de los activos de la empresa a riesgos que los vuelven tan vulnerables que comprometen la integridad y confidencialidad de los datos sensibles del laboratorio.

La metodología utilizada incluyó la aplicación de MAGERIT para el análisis y gestión de riesgos, que permite identificar, evaluar y priorizar activos, amenazas y vulnerabilidades; a ello se sumó la adaptación de 32 controles seleccionados de la norma internacional ISO/IEC 27001:2022, para la construcción de un sistema de gestión de seguridad de la información (SGSI) adaptado a las necesidades del laboratorio; y la implementación de Wazuh, una herramienta para el escaneo de vulnerabilidades de 42 computadoras, y GLPI para la gestión de activos técnicos e incidentes.

Como resultado, se documentaron las políticas de seguridad, se codificaron los planes de gestión de riesgos, se reforzaron los controles de acceso y se mejoró la trazabilidad de los incidentes. Además, se formó a los empleados en las prácticas de ciberseguridad. Aunque no se implantó un SGSI completo, se sentaron las bases para un progreso gradual.

En conclusión, el proyecto identificó deficiencias críticas y aportó soluciones prácticas para mejorar la postura de seguridad del laboratorio. Este trabajo es un paso inicial hacia la institucionalización de una cultura organizativa orientada a la protección de la información y la continuidad de la actividad.