FUNDAMENTOS DE UN SGSI BASADOS EN LA NORMA ISO 27001
Páginas: 79 (19670 palabras)
Publicado: 1 de marzo de 2015
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
FUNDAMENTOS PARA LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
MEMORIA PRESENTADA COMO REQUISITO PARA
OBTENER EL TÍTULO DE INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN
AUTOR: ERIC AQUILEO AGUIRRE MATÍAS.
ASESOR ACADÉMICO: ING. JOSÉ DE JESÚS GONZÁLEZ TORRES
ASESORINDUSTRIAL: MCE. JUAN ÁNGEL OROPEZA ESTRADA
HUEJUTLA DE REYES, HGO ABRIL DE 2011.
FUNDAMENTOS PARA LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
Memoria presentada por
ERIC AQUILEO AGUIRRE MATÍAS
Ante la Universidad Tecnológica de la HuastecaHidalguense
como requisito parcial para optar
al título de
INGENIERO EN TECNOLOGÍAS DE LA
INFORMACIÓN
Abril de 2011.
ÍNDICE
AGRADECIMIENTOS i
RESUMEN ii
SUMARY iii
I.GENERALIDADES 4
I.1 Antecedentes de la empresa 4
I.2. Trabajos previos 8
II. PLANTEAMIENTO DE LA PROBLEMÁTICA 9
III. OBJETIVOS DE LA INVESTIGACIÓN 10
III.1. Objetivo General 10
III.2. Objetivos específicos. 10
III.3. Metas.10
III.4. Duración del proyecto. 10
IV. FUNDAMENTOS TEÓRICOS Y EXPERIMENTALES 11
IV.1. La Organización ISO 13
IV.2. La familia de las normas ISO 13
IV.3. Orígenes de la norma ISO 27001 16
IV.4. Contenido de la UNE-ISO/IEC 27001 17
IV.5. La Norma 17
V. DESARROLLO DEL PROYECTO 22
V.1. Implantación de un SGSI 22
V.2. Metodología 23
V.2.1. Fase Plan 23
V.2.2. Fase Do (Hacer) 25
V.2.3. Fase Check(Comprobar) 26
V.2.4. Fase Act (Actuar) 27
V.3. Alcance del SGSI. 28
V.3.1. La tecnología utilizada 30
V.3.2. Redes 31
V.4. Beneficios a alcanzar 32
V.5. Establecimiento de responsabilidades. 34
V.5.1. Dirección 36
V.5.2. Responsable de Sistemas. 37
V.5.3. Propietario de activos. 37
V.5.4. Personal. 38
V.5.5. Terceras partes. 38
V.6. Política de seguridad 39
V.6.1. Política de Seguridad 40
V.6.2.Aspectos organizativos de la seguridad de la información 41
V.6.3. Gestión de activos 42
V.6.4. Seguridad de los equipos 43
V.6.5. Gestión de comunicaciones y operaciones 44
V.6.6. Control de accesos 46
V.7. Análisis de riesgos. 50
V.7.1. Preparación del análisis de riesgos 52
V.7.2. Identificar amenazas 54
V.7.3. Identificación de vulnerabilidades 55
V.7.4. Ejecución del Análisis 56
V.7.5.Selección de controles. 60
V.8. Establecer el plan de seguridad. 72
V.8.1. Plan de contingencia 72
V.9. Investigación y experimentación 89
V.9.1. Objetivo del proyecto 89
V.9.2. Justificación del proyecto 89
V.9.3. Alcance del proyecto 89
V.9.4. Estudio de factibilidad 89
V.9.5. Factibilidad Económica 90
V.9.6. Factibilidad Técnica 90
V.9.7. Factibilidad Operativa 91
V.10. Interpretación 92
VI.CONCLUSIONES 95
BIBLIOGRAFÍA 97
ANEXOS 99
ÍNDICE DE TABLAS
Tabla 1. Probabilidades. 56
Tabla 2. Vulnerabilidades. 56
Tabla 3. Nivel del Riesgo. 57
Tabla 4. Valor del Riesgo. 58
Tabla 5. Controles. 69
Tabla 6. Costos de la Norma. 90
Tabla 7. Hardware. 90
Tabla 8. Software. 91
ÍNDICE DE IMÁGENES
Ilustración 1. Evolución de la norma 16
Ilustración 2. Ámbito SGSI. 22
Ilustración 3. Ciclo PDCA. Fase “Plan”23
Ilustración 4. Alcance del SGSI. 29
Ilustración 5. Equipo Informático 30
Ilustración 6. Estructura de la red de datos en la UTHH. 31
Ilustración 7. Beneficios de la implantación de un SGSI. 34
Ilustración 8. Organización de la seguridad. 36
Ilustración 9. Esquema de gestión de riesgos. 50
Ilustración 10. Preparación del análisis de riesgos. 52
AGRADECIMIENTOS
RESUMEN
FUNDAMENTOS PARA LAIMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
Abril 2011.
MEMORIA PRESENTADA POR
ERIC AQUILEO AGUIRRE MATIAS
INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN
UNIVERSIDAD TECNOLÓGICA DE LA HUASTECA HIDALGUENSE
ASESOR ACADÉMICO: ING. JOSÉ DE JESÚS GONZÁLEZ TORRES
ASESOR INDUSTRIAL: MCE. JUAN ÁNGEL OROPEZA ESTRADA
El proyecto se llevó a cabo...
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN
FUNDAMENTOS PARA LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
MEMORIA PRESENTADA COMO REQUISITO PARA
OBTENER EL TÍTULO DE INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN
AUTOR: ERIC AQUILEO AGUIRRE MATÍAS.
ASESOR ACADÉMICO: ING. JOSÉ DE JESÚS GONZÁLEZ TORRES
ASESORINDUSTRIAL: MCE. JUAN ÁNGEL OROPEZA ESTRADA
HUEJUTLA DE REYES, HGO ABRIL DE 2011.
FUNDAMENTOS PARA LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
Memoria presentada por
ERIC AQUILEO AGUIRRE MATÍAS
Ante la Universidad Tecnológica de la HuastecaHidalguense
como requisito parcial para optar
al título de
INGENIERO EN TECNOLOGÍAS DE LA
INFORMACIÓN
Abril de 2011.
ÍNDICE
AGRADECIMIENTOS i
RESUMEN ii
SUMARY iii
I.GENERALIDADES 4
I.1 Antecedentes de la empresa 4
I.2. Trabajos previos 8
II. PLANTEAMIENTO DE LA PROBLEMÁTICA 9
III. OBJETIVOS DE LA INVESTIGACIÓN 10
III.1. Objetivo General 10
III.2. Objetivos específicos. 10
III.3. Metas.10
III.4. Duración del proyecto. 10
IV. FUNDAMENTOS TEÓRICOS Y EXPERIMENTALES 11
IV.1. La Organización ISO 13
IV.2. La familia de las normas ISO 13
IV.3. Orígenes de la norma ISO 27001 16
IV.4. Contenido de la UNE-ISO/IEC 27001 17
IV.5. La Norma 17
V. DESARROLLO DEL PROYECTO 22
V.1. Implantación de un SGSI 22
V.2. Metodología 23
V.2.1. Fase Plan 23
V.2.2. Fase Do (Hacer) 25
V.2.3. Fase Check(Comprobar) 26
V.2.4. Fase Act (Actuar) 27
V.3. Alcance del SGSI. 28
V.3.1. La tecnología utilizada 30
V.3.2. Redes 31
V.4. Beneficios a alcanzar 32
V.5. Establecimiento de responsabilidades. 34
V.5.1. Dirección 36
V.5.2. Responsable de Sistemas. 37
V.5.3. Propietario de activos. 37
V.5.4. Personal. 38
V.5.5. Terceras partes. 38
V.6. Política de seguridad 39
V.6.1. Política de Seguridad 40
V.6.2.Aspectos organizativos de la seguridad de la información 41
V.6.3. Gestión de activos 42
V.6.4. Seguridad de los equipos 43
V.6.5. Gestión de comunicaciones y operaciones 44
V.6.6. Control de accesos 46
V.7. Análisis de riesgos. 50
V.7.1. Preparación del análisis de riesgos 52
V.7.2. Identificar amenazas 54
V.7.3. Identificación de vulnerabilidades 55
V.7.4. Ejecución del Análisis 56
V.7.5.Selección de controles. 60
V.8. Establecer el plan de seguridad. 72
V.8.1. Plan de contingencia 72
V.9. Investigación y experimentación 89
V.9.1. Objetivo del proyecto 89
V.9.2. Justificación del proyecto 89
V.9.3. Alcance del proyecto 89
V.9.4. Estudio de factibilidad 89
V.9.5. Factibilidad Económica 90
V.9.6. Factibilidad Técnica 90
V.9.7. Factibilidad Operativa 91
V.10. Interpretación 92
VI.CONCLUSIONES 95
BIBLIOGRAFÍA 97
ANEXOS 99
ÍNDICE DE TABLAS
Tabla 1. Probabilidades. 56
Tabla 2. Vulnerabilidades. 56
Tabla 3. Nivel del Riesgo. 57
Tabla 4. Valor del Riesgo. 58
Tabla 5. Controles. 69
Tabla 6. Costos de la Norma. 90
Tabla 7. Hardware. 90
Tabla 8. Software. 91
ÍNDICE DE IMÁGENES
Ilustración 1. Evolución de la norma 16
Ilustración 2. Ámbito SGSI. 22
Ilustración 3. Ciclo PDCA. Fase “Plan”23
Ilustración 4. Alcance del SGSI. 29
Ilustración 5. Equipo Informático 30
Ilustración 6. Estructura de la red de datos en la UTHH. 31
Ilustración 7. Beneficios de la implantación de un SGSI. 34
Ilustración 8. Organización de la seguridad. 36
Ilustración 9. Esquema de gestión de riesgos. 50
Ilustración 10. Preparación del análisis de riesgos. 52
AGRADECIMIENTOS
RESUMEN
FUNDAMENTOS PARA LAIMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), BASADO EN LA NORMA ISO 27001.
Abril 2011.
MEMORIA PRESENTADA POR
ERIC AQUILEO AGUIRRE MATIAS
INGENIERO EN TECNOLOGÍAS DE LA INFORMACIÓN
UNIVERSIDAD TECNOLÓGICA DE LA HUASTECA HIDALGUENSE
ASESOR ACADÉMICO: ING. JOSÉ DE JESÚS GONZÁLEZ TORRES
ASESOR INDUSTRIAL: MCE. JUAN ÁNGEL OROPEZA ESTRADA
El proyecto se llevó a cabo...
Leer documento completo
Regístrate para leer el documento completo.