Proyecto Final Procesofinal

UNIVERSIDAD SAN PEDRO
FACULTAD DE INGENIERA
ESCUELA ACADEMICO PROFESIONAL DE
INGENIERA INFORMTICA Y DE SISTEMAS
ESQUEMA DE PLAN DE TESIS

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD BASADO EN ISO
27001 PARA ASEGURAR LA INFORMACIN DE NEGOCIOS ELECTRNICOS
PARA PEQUEAS EMPRESAS EN LA CUIDAD DE HUARAZ 2015.
INFORME PARA ASIGNATURA SEMINARIO DE PROYECTO DE TESIS

PRESENTADO POR:
CACHA ROJAS, AMERICA
LOZA URIBE, MARICEL
HUARAZ - PERU - 2014
<Plan de Tesis
Diseo de un sistema de gestin de seguridad basado en ISO 27001 para asegurar la informacin de
negocios electrnicos para pequeas empresas en la cuidad de Huaraz 2015.
Palabras Clave
Tema
Diseo de un sistema de Gestin de Seguridad
Especialidad
Gestin de seguridad.
Objetivo
Proponer el diseo de un sistema de gestin de

seguridad para las empresas de Huaraz
Mtodo
Descriptivo
GENERALIDADES
1. Ttulo
DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD BASADO EN ISO
27001 PARA ASEGURAR LA INFORMACIN DE NEGOCIOS ELECTRNICOS
PARA PEQUEAS EMPRESAS EN LA CUIDAD DE HUARAZ 2015.
2. Personal investigador.
Autores:
Cacha Rojas, Amrica
Loza Uribe, Maricel
Facultad : Ingeniera
Escuela : Ingeniera Informtica y de Sistemas
3. Tipo de Investigacin
3.1. De acuerdo a la orientacin
Aplicada
3.2. De Acuerdo a la tcnica de contrastacin
Descriptiva
4. Rgimen de Investigacin
Libre
5. Unidad acadmica a la que pertenece el Proyecto
Facultad: Ingeniera
Sede: Huaraz.
<Plan de Tesis
Escuela: Ingeniera Informtica y de Sistemas

Institucin: Huaraz
6. Localidad e Institucin donde se ejecutar el Proyecto de Investigacin
Localidad: Huaraz
Institucin: Huaraz
7. Duracin de la ejecucin del Proyecto
Inicio: 23/03/2015
Trmino: 30/06/2015
8.- Horas semanales dedicadas al Proyecto de Investigacin por cada investigador.
Cacha Rojas, Amrica
Loza Uribe, Maricel
9. Recursos disponibles
9.1. Personal investigador
02 personas y un Asesor Interno.
9.2 Materiales y equipos
Las indicadas en el presupuesto
9.3 Local
Huaraz
15 horas / semana.
15 horas / semana.
<Plan de Tesis
10. Presupuesto
PRODUCTO
UNIDA
D
CANTIDA
D
PRECIO
S/.
COSTO
S/.
30.00
7.1.1. MATERIALES
1
Papel A4
Millar
22.0
22.00
Lapiceros
Unidad
1.0
4.00
Lpiz
Unidad
1.0
2.00
Borrador
Unidad
1.0
2.00
1380.00
7.1.2. HERRAMIENTAS Y EQUIPOS

1
Uso de PC
Global
300.0
300.00
Uso de Impresora
Global
100.0
100.00
USB
30.0
30.00
Microsoft Office
Unidad
Global
150.0
150.00
Microsoft Excel
Global
150.0
150.00
Sistema Operativo
Global
150.0
150.00
Software otros
Global
300.0
300.00
Otros
Global
200.0
200.00
1700.0
7.1.3. GASTOS DE OPERACIN Y ASESORA

1
Tipeos
Global
300.0
300.00
Asesora
Global
1400.0
1400.00
Honorarios
Persona
3000.0
6000.0
750.00
7.1.4. OTROS GASTOS

1
Pasajes y viticos
Global
200.0
200.00
Copias
Global
150.0
150.00
Varios
Global
200.0
200.00
Imprevistos
Global
200.0
200.00
7.1.5. TOTAL GENERAL
11. Financiamiento
9858.00
<Plan de Tesis
La presente investigacin ser cubierta econmicamente en su totalidad por los

integrantes.
12. Tareas del equipo de investigacin
Existir una responsabilidad compartida, la investigacin se desarrollar con la,
administracin y liderazgo de los dos investigadores.
13. Lnea de investigacin
Corresponde
al
Cdigo
UNESCO
1203
Sistemas
de
Informacin,
especficamente al sub cdigo 18 denominado Tecnologa de los ordenadores.

Cdigo UNESCO 1203: gestin de seguridad de informacin.
1.
Resumen del Proyecto

El presente trabajo de ttulo Diseo de un sistema de gestin de seguridad basado
en ISO 27001 para asegurar la informacin de negocios electrnicos para pequeas
empresas en la cuidad de HUARAZ contiene la informacin tcnica de la revisin
de las seguridades con el fin de encontrar y analizar las posibles vulnerabilidades y
amenazas para poder minimizarlas y gestionar el riesgo correspondiente con la
finalidad de lograr tener un sistema de seguridad de la informacin lo ms ptimo
posible.
La investigacin toma como base lo observado en las pequeas empresas de
negocios electrnicos en la ciudad de Huaraz, referente a la informacin que
manejan diariamente. Lo que se consigui mediante las herramientas de
recoleccin de datos, es proponer el diseo de un sistema de seguridad de la
informacin adecuada para minimizar los riesgos y amenazas que se puedan
presentar.
Finalmente, a pesar de todos los inconvenientes, el trabajo extenuante y laborioso,
las limitaciones propias del grupo y del trabajo, esperamos aplicar todos los
conocimientos aprendidos en el diseo de este proyecto; realizando as un trabajo
de amplia magnitud aplicando lo que hasta ahora hemos aprendido.
15. Cronograma:
<Plan de Tesis
SEMANAS (04 MESES)

MARZO
ACTIVIDADES
MAYO
JUNIO
1 2 3 4 5 6 7 8 9
Revisin Bibliogrfica
Bsqueda y
bibliografa
adquisicin
de
Elaboracin del Proyecto

Antecedentes y formulacin del
problema
Elaboracin del instrumento
Presentacin del proyecto
Ejecucin del Proyecto
Elaboracin de Modelo de diseo
de mtrica
Captacin de datos
Aplicacin del instrumento de
recoleccin de la informacin
Procesamiento y Anlisis
Procesamiento de los datos
Anlisis e interpretacin
Discusin de los resultados
Elaboracin del Informe Final
Revisin
General
Resultados
de
los.
Preparacin del informe final

Publicacin
Presentacin y sustentacin
informe final
del
JULIO
1 1 1 1 1 1
16
0 1 2 3 4 5
<Plan de Tesis
CAPITULO I
PLAN DE INVESTIGACIN
1.1. ANTECEDENTES Y FUNDAMENTACIN CIENTIFICA

1.1.1. Antecedentes
<Plan de Tesis
Diseo de un sistema de gestin de seguridad basado en ISO 27001 para

asegurar la informacin de negocios electrnicos para pequeas empresas en
la cuidad de Huaraz, ha sido abordada por diversas investigaciones a nivel
internacional y nacional
.
En Chile, Coloma (2011), en su tesis titulada Plan de Seguridad de la
informacin, realizada en la Pontificia Universidad Catlica de Chile, para
obtener el grado de maestra en Informtica, abord el problema con el fin de
promover el plan de seguridad de informacin en Chile, su objetivo consisti
en disear e implementar un plan de seguridad de la informacin, orientada a
las empresas para as salvaguardar la informacin que ellos manejan, aplic la
metodologa general de evaluacin del excedente social, consider una
situacin base y una meta. Concluy que debera considerarse que la
investigacin nos permite tener un conocimiento ms amplio de la seguridad de
informacin la importancia que esta tiene dentro de una empresa, se regir bajo
normas para el adecuado uso de la informacin dentro y fuera de la
organizacin siendo est muy importante dentro de la misma.
En Cuba, Negreiros (2010), en su tesis titulada Sistema de Gestin de
Seguridad de la Informacin del estado cubano, realizada en el Instituto
Superior Politcnico Jos A Echevarra, para obtener el ttulo de Licenciado
en Ciencia de la Computacin, abordo el problema de las circunstancias
laborales en donde este hecho ha llevado a la necesidad de implementar
medidas de seguridad que garantic la veracidad, disponibilidad e integridad de
la informacin para su empleo en funcin del logro de los intereses y objetivos
nacionales del estado cubano, su objetivo consisti en la implementacin de un
sistema de gestin de la seguridad de la informacin, la Seguridad del Estado y
Orden Interior, el desarrollo cientfico tecnolgico y de toda aquella que resulte
beneficiosa para el estado cubano . Concluy que disminuir las amenazas del
entorno y las vulnerabilidades internas que se confrontan para enfrentar el
presente y el futuro requieren ser bien identificadas y estudiadas pues pueden
<Plan de Tesis
ser o llegar a constituirse en obstculos que se interponen, dificultan o impiden

el mantenimiento o logro de los intereses y objetivos nacionales.
En India, Shamir (2009), en su tesis titulada Gestin de seguridad e higiene
industrial en la empresa Ferreminarsa C.A, realizada en el Instituto of
Technology, Kharagpur, para obtener el ttulo de Ingeniero de sistemas,
abordo el problema La seguridad y la higiene, se dice que tuvo sus inicios en
el siglo XIV y sus primeros pasos se dieron por la asociacin de artesanos
europeos quienes propusieron normas para proteger y regular sus profesiones,
su objetivo consisti en la propuesta para la implementacin de un sistema de
gestin de seguridad e higiene industrial. Concluy que los trabajadores y
trabajadoras de la empresa Ferreminarsa debern ser informados de los riesgos
existentes en cada puesto de trabajos as mismo establecer polticas de
prevencin de accidentes laborales dentro de las instalaciones
En Colombia, Taer (2008), en su tesis titulada Implementacin de un SGSI
usando la norma ISO-27000 sobre un sitio de comercio electrnico para una
nueva institucin bancaria aplicando los dominios de control ISO27000:2005 y
utilizando la metodologa Magerit, realizada en la universidad Universidad
Nacional de Colombia, para obtener el ttulo de Ingeniero de sistemas, abordo
el problema de un SGSI de comercio electrnico, se dice que la institucin
financiera desea sacar su sitio transaccional pero est consciente de que
necesita implementar un SGSI para minimizar el riesgo en sus operaciones o
transacciones que pueda realizar. Su objetivo consisti en la implementacin de
un sistema de gestin de seguridad informtica sobre un sitio de comercio
electrnico para la institucin bancario. Concluy que la implementacin de un
SGSI es encontrar y analizar las posibles vulnerabilidades y amenazas para
poder minimizarlas y gestionar el riesgo correspondiente con la finalidad de
lograr tener un sistema de seguridad de la informacin lo ms ptimo posible.
1.1.2. Fundamentacin cientfica
La presente investigacin se fundamenta en la Teora General de Sistemas, la
gestin se fundamenta en los principios y teoras de la administracin
cientfica, especficamente en la teora de clsica de la administracin moderna.
<Plan de Tesis
La seguridad de la informacin se fundamenta en los principios de la seguridad

informtica, as como tambin en las normas ISO 27001 de aseguramiento de
la informacin. Los negocios electrnicos se fundamentan en la teora de la
inteligencia de negocios.
1.2. JUSTIFICACIN DE LA INVESTIGACIN
Econmica: Los procesos de las empresas realizadas de manera rpida y con
eficiencia, como consecuencia de ello van a permitir evitar mayores gastos en las
empresas.
Tecnolgica: Se har uso de normas de la ISO 27001, que por un lado, va a permitir
mayor seguridad en los procesos que puedan realizar las empresas.
Operativa: Permitir una gestin eficiente de la seguridad de informacin,
brindando garantas en la disponibilidad, confidencialidad e integridad de la
informacin. La empresa mejorar notablemente centrndose especialmente en la
proteccin frente a posibles amenazas y riesgos que sta puede tener y brindar una
buena disponibilidad y accesibilidad de la informacin, de tal manera que las
solicitudes hechas por los usuarios sean atendidas con prontitud y seguridad.
Social: Una correcta gestin de la informacin, permite a las organizaciones
obtener un beneficio bsico: la administracin efectiva y controlada de la
misma. Este beneficio se traduce en mayor eficiencia y eficacia de los procesos, lo
que a su vez genera mayor rentabilidad para la empresa dentro un marco de mejora
continua. Es as, que el diseo de un sistema de gestin de la seguridad de la
informacin para comercio electrnico basado en la ISO 27001, aportar
gratuita y substancialmente a la adecuada gestin informtica en pequeas empresas
en la ciudad de H u a r a z , las cuales en su mayora no anejan un departamento
exclusivo de Sistemas o a su vez no poseen los recursos necesarios para una
asesora de este tipo.
1.3.
PROBLEMA
<Plan de Tesis
En la actualidad las empresas y sus sistemas de informacin se enfrentan, cada vez

ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes,
incluyendo fraudes basados en informtica, espionaje, sabotaje tambin ciertas fuentes
de daos como virus informticos y ataques de intrusin o de negacin de servicios los
cuales se estn volviendo cada vez ms comunes, ambiciosos y sofisticados.
Es por esto que se a enfocando nuestro proyecto en la realidad de la ciudad de Huaraz,

se vio por conveniente implementar un Sistema de Gestin de la Seguridad de la
Informacin, puesto que las empresas en este caso de comercio electrnico estn ms
vulnerables a la Seguridad de la Informacin; rara vez se centran en aspectos de
seguridad exclusivamente.
Pues teniendo en cuenta que la informacin adopta diversas formas, ya que, puede estar
impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por
medios electrnicos, mostrada en video o hablada en conversacin; sea cual sea la
forma en la que se muestra se comparta o almacene, debera protegerse
adecuadamente; ante esto se opt por elaborar, un Sistema de Gestin de la Seguridad
de la Informacin en las empresas de negocio electrnico, delimitando nuestro alcance
a las reas involucradas con las TIC (Desarrollo de Sistemas y Taller de computo), con
lo cual pretendemos garantizar que los riesgos y amenazas de la informacin sean
conocidos, asumidos, gestionados y minimizados; de manera que se busca proteger la
informacin de un amplio rango de amenazas.
Formulacin del problema.
<Plan de Tesis
Cmo disear un sistema de gestin de seguridad basado en ISO 27001 para

asegurar la informacin de negocios electrnicos para pequeas empresas en la
cuidad de Huaraz 2015?
1.4.
OBJETIVOS
1.4.1. Objetivos Generales:
Disear un sistema de gestin de seguridad basado en ISO 27001 para
asegurar la informacin de negocios electrnicos para pequeas empresas
en la cuidad de Huaraz 2015.
1.4.2. Objetivos Especficos:
Determinar en estado actual de la seguridad de negocios electrnicos
para pequeas empresas en la ciudad de Huaraz.
Identificar las normas del ISO 27001 que contribuyan en la
seguridad de los negocios electrnicos de pequeas empresas en la
ciudad de Huaraz.
Establecer los requisitos
bsicos
para
la
implantacin,
mantenimiento y mejoramiento de la gestin de procesos de la

seguridad de la informacin en una empresa huaracina.
Desarrollar un sistema de la gestin de seguridad de la informacin
para el negocio electrnico, que permita fortalecer su seguridad,
asegurando la disponibilidad, el acceso, el control, la integridad, la
autenticidad, la confidencialidad y la conservacin de la informacin
frente a posibles riesgos y amenazas.
1.5.
MARCO REFERENCIAL
1.5.1 SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Segn Alexander (2007), Que un sistema de Gestin de Seguridad de
informacin es un conjunto de responsabilidades, procesos, procedimientos y
<Plan de Tesis
recursos que establece la alta direccin con el propsito de dirigir y controlar la

seguridad de los activos de informacin y asegurar la continuidad de la
operatividad de la empresa.
Cao (2008), sostiene que es un proceso por el cual la administracin verifica si
lo que ocurre concuerda con lo que supuestamente debe ocurrir. Permite que se
realicen los ajustes o correcciones necesarias en caso se detecten eventos que
escapan a la naturaleza del proceso. Es una etapa primordial en la
administracin, pues, por ms que una empresa cuente con magnficos planes,
una estructura organizacional adecuada y una direccin eficiente, no se podr
verificar la situacin real de la organizacin si no existe un mecanismo que
verifique e informe si los hechos van de acuerdo con los objetivos. La seguridad
de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad, disponibilidad y legalidad, as como de los
sistemas implicados en su tratamiento, dentro de una organizacin. As pues,
estos cuatro trminos constituyen la base sobre la que se cimienta todo el
edificio de la seguridad de la informacin:
Integridad: Mantener la exactitud y completitud de la informacin y
sus mtodos de proceso.
confidencialidad: La informacin no se pone a disposicin ni se revela
a individuos, entidades o procesos no autorizados.
Legalidad: La informacin debe de cumplir con las leyes vigentes
dependiendo del lugar donde se encuentran y son manejadas.
Disponibilidad: El acceso y la utilizacin de la informacin y los
sistemas de tratamiento de la misma por parte de los individuos,
entidades o procesos autorizados cuando lo requieran.
1.5.2
SEGURIDAD DE LA INFORMACION
Del peso (2003), Sostiene que la seguridad de la informacin es un conjunto
de sistemas y procedimientos que garantizan: la confidencialidad, la integridad
y la disponibilidad de la informacin. Quizs se eche de menos en ella la falta
de autenticacin, el no repudio tanto en origen como destino y el sellado
de tiempo.
<Plan de Tesis
ASOCIACIN
CALIDAD (2013), afirma que La
Seguridad
de
la
Informacin tiene como fin la proteccin de la informacin y de los

sistemas de la informacin del acceso, uso, divulgacin, interrupcin o
destruccin no autorizada. Por lo tanto, la seguridad es un concepto asociado
a la certeza, falta de riesgo o contingencia. En base a esto, la seguridad puede
ser entendida como un estado de cualquier sistema o tipo de informacin
para que est libre de peligro, dao o riesgo, entendiendo a estos ltimos
como todo aquello que pueda afectar su funcionamiento directo o a los
resultados que se obtienen.
Areito (2002), Define que la seguridad actual de toda organizacin es, por
tanto, un proceso de mejora continua, en la que han de estar implicados
todos los departamentos de la empresa, que debe estar bajo un modelo de
madurez eficaz que monitorice, con valores cuantitativos y cualitativos, los
riesgos de seguridad para poder actuar, no slo de forma reactiva, sino
proactiva y preventiva. Adems, tiene que permitir controlar y observar con el
mximo grado de detalle y profundidad, todos los aspectos del ciclo de vida
infinito de mejora de la seguridad del negocio, hacindolo acorde con los
objetivos
de
productividad,
competitividad y supervivencia, a veces
cambiantes. La seguridad en la informacin abarca a todas las
medidas
preventivas y reactivas que permite resguardar y proteger la informacin,

cuyo fin es mantener la confidencialidad, disponibilidad e integridad de la
misma.
1.5.3
SISTEMA DE GESTION DE SEGURIDAD
<Plan de Tesis
Figura 1. Sistema de gestin
Segn Robens (2010), El concepto de sistemas de gestin se utiliza con

frecuencia en los procesos de toma de decisiones en las empresas y, sin saberlo,
tambin en la vida diaria, ya sea en la adquisicin de equipo, en la ampliacin
de la actividad comercial o, simplemente, en la seleccin de un nuevo
mobiliario. La aplicacin de los sistemas de gestin de la seguridad se basa en
criterios, normas y resultados pertinentes en materia. Tiene por objeto
proporcionar un mtodo para evaluar y mejorar los resultados en la prevencin
de riesgos y amenazas de la informacin, por medio de la gestin eficaz. Es un
mtodo lgico y por pasos para decidir aquello que debe hacerse, y el mejor
modo de hacerlo, supervisar los progresos realizados con respecto al logro de
las metas establecidas, evaluar la eficacia de las medidas adoptadas e identificar
mbitos que deben mejorarse. Puede y debe ser capaz de adaptarse a los
cambios operados en la actividad de la organizacin y a los requisitos
legislativos.
Se enfoque en:
La aplicacin de las medidas de prevencin y proteccin se lleva a cabo
de una manera eficiente y coherente.
se establecen polticas pertinentes.
Se contraen compromisos.
Se consideran todos los elementos del lugar de trabajo para evaluar los
peligros y los riesgos.
La direccin y los trabajadores participan en el proceso a su nivel de
responsabilidad.
Segn Carreo (2009), sostiene que un sistema de gestin de la seguridad
de la (SGS) es, un conjunto de polticas de administracin de la
informacin. El trmino es utilizado principalmente por la ISO/IEC 27000,
aunque no es la nica normativa que utiliza este trmino o concepto. Un
SGS es para una organizacin el diseo, implantacin, mantenimiento de un
conjunto de procesos para gestionar eficientemente la accesibilidad de la
informacin,
buscando
asegurar
la
confidencialidad,
integridad
<Plan de Tesis
disponibilidad de los activos de informacin minimizando a la vez los

riesgos de seguridad de la informacin. Como todo proceso de gestin, un
SGS debe seguir siendo eficiente durante un largo tiempo adaptndose a los
cambios internos de la organizacin as como los externos del entorno.
1.5.4
NORMA ISO 27000

BSI (2013), Define que La Norma ISO 27001 es la nica norma internacional
auditable que precisa los requisitos para una adecuada gestin de la
seguridad de la informacin. Esta norma se ha concebido para garantizar la
seleccin de controles de seguridad adecuados y proporcionales. Esto ayuda a
proteger los activos de informacin y otorga confianza a cualquiera de las
partes interesadas, sobre todo a los clientes.
IS & BCA (2013), Sostiene que La norma ISO 27001 define cmo organizar la
seguridad de la informacin en cualquier tipo de organizacin, con o sin
fines de lucro, privada o pblica, pequea o grande. Es posible afirmar
que esta norma constituye la base para la gestin de la seguridad de la
informacin. La ISO 27001 es para la seguridad de la informacin lo mismo
que la ISO 9001 es para la calidad: es una norma redactada por los mejores
especialistas del mundo en el campo de seguridad de la informacin y su
objetivo es proporcionar una metodologa para la implementacin de la
seguridad de la informacin en una organizacin. Tambin permite que una
organizacin sea certificada, lo cual significa que una entidad de certificacin
independiente ha confirmado que la seguridad de la informacin se ha
implementado en esa organizacin de la mejor forma.
<Plan de Tesis
Figura 2. Sistema Operacional ISO 27000
ISO27000 (2012), Define que El SGSI (Sistema de Gestin de Seguridad de

la Informacin) es el concepto central sobre el que se construye ISO
27001. La gestin de la seguridad de la informacin debe realizarse
mediante un proceso sistemtico, documentado y conocido por toda la
organizacin. Este proceso es el que constituye un SGSI, que podra
considerarse, por analoga con una norma tan conocida como ISO 9001,
como el sistema de calidad para la seguridad de la informacin. Garantizar
un nivel de proteccin total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propsito de un sistema de gestin
de la seguridad de la informacin es, por tanto, garantizar que los riesgos de
la seguridad de la informacin sean conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada, sistemtica,
estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
los riesgos.
Figura 1. Sistema de gestin
1.5.4.1 FASES
1.5.4.1.1 FASE DE PLANIFICACION
Determinacin del alcance del SGSI
Redaccin de una Poltica de SGSI
<Plan de Tesis
Identificacin de la metodologa para evaluar los riesgos y

determinar los criterios para la aceptabilidad de riesgos
Identificacin de activos, vulnerabilidades y amenazas
Evaluacin de la magnitud de los riesgos
Identificacin y evaluacin de opciones para el tratamiento de
riesgos
Seleccin de controles para el tratamiento de riesgos
1.5.4.1.2
FACES DE IMPLEMENTACION
Redaccin de un plan de tratamiento del riesgo que describe
quin, cmo, cundo y con qu presupuesto se deberan
implementar los controles correspondientes.

Implementacin de un plan de tratamiento del riesgo.
Implementacin de los controles de seguridad correspondientes.
Determinacin de cmo medir la eficacia de los controles.
Realizacin
de
programas
de
concienciacin
y
capacitacin de empleados.
Gestin del funcionamiento normal del SGSI.
Gestin de los recursos del SGSI.
Implementacin de
procedimientos
para
detectar y
gestionar incidentes.
1.6 HIPOTESIS
El Diseo de un sistema de gestin de seguridad basado en ISO 27000 asegura la
informacin de negocios electrnicos para pequeas empresas en la cuidad de
Huaraz.
1.7 OBJETIVOS
1.7.1 OBJETIVO GENERAL
Disear un sistema de gestin de seguridad basado en ISO 27001 para asegurar
la informacin de negocios electrnicos para pequeas empresas en la cuidad
de Huaraz.
1.7.2
OBJETIVO ESPECIFICOS
Determinar en estado actual de la seguridad de negocios electrnicos
para pequeas empresas en la ciudad de Huaraz.
<Plan de Tesis
Identificar las normas del ISO 27001 que contribuyan en la seguridad

de los negocios electrnicos de pequeas empresas en la ciudad de
Huaraz.
Establecer los requisitos bsicos para la implantacin, mantenimiento y
mejoramiento de la gestin de procesos de la seguridad de la
informacin en una empresa huaracina.
Desarrollar un sistema de la gestin de seguridad de la informacin para
el negocio electrnico, que permita fortalecer su seguridad, asegurando
la disponibilidad, el acceso, el control, la integridad, la autenticidad, la
confidencialidad y la conservacin de la informacin frente a posibles
riesgos y amenazas.
1.8 METODOLOGIA DE TRABAJO

Se aplicar las metodologas de la investigacin cientfica: anlisis y gestin de
riesgos de los sistemas de informacinse aplicar la metodologa de MAGERIT, la
cual es un instrumento referencial para el anlisis de riesgos se ha venido
consolidando como paso necesario para la gestin de la seguridad siempre su
utilidad y aporte en el trabajo realizado.
Esta metodologa de anlisis y gestin de riesgos de los sistemas de informacin
elaborada por el Consejo Superior de Administracin Electrnica, como respuesta a
la percepcin de que en la Administracin y en general, toda la sociedad, dependen
de forma creciente de las tecnologas de la informacin para el cumplimiento de su
misin.
<Plan de Tesis
DESCRIPCION GENERAL DE MARGERIT

Hay varias aproximaciones al problema de analizar los riesgos soportados por los
sistemas TIC, como pueden ser guas informales, aproximaciones metdicas y
herramientas de soporte. Todas buscan objetivar el anlisis de riesgos para saber
cun seguros (o inseguros) son los sistemas y no llamarse a engao. El gran reto de
todas estas aproximaciones es la complejidad del problema al que se enfrentan;
complejidad en el sentido de que hay muchos elementos que considerar y que, si no
se es riguroso, las conclusiones sern de poco fiar. Es por ello que en Magerit se
persigue una aproximacin metdica que no deje lugar a la improvisacin, ni
dependa de la arbitrariedad del analista.
MARGERIT REQUIERE LOS SIGUENTES PASOS:
Concientizar a los responsables de los sistemas de informacin de la
existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un mtodo sistemtico para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los
riesgos bajo control.
Preparar a la Organizacin para procesos de evaluacin, auditora,
certificacin o acreditacin, segn corresponda en cada caso.
1.8.1
FASES DE METODOLOGIA DE TRABAJO
<Plan de Tesis
PROCESOS DE MARGERIT:
METODO DE MARGERIT:
Realizacin del anlisis y de la gestin .- En la Planificacin
del Anlisis y Gestin de Riesgos se establecen las
consideraciones
necesarias
para
arrancar
el
proyecto,
investigando la oportunidad de realizarlo, definiendo los

objetivos que ha de cumplir y el dominio (mbito) que abarcar,
planificando los medios materiales y humanos para su
realizacin e iniciando materialmente el propio lanzamiento del
proyecto.
Anlisis de Riesgos.- En el Anlisis de riesgos se identifican y
valoran los elementos componentes del riesgo, obteniendo una
estimacin de los umbrales de riesgo deseables. Es la
<Plan de Tesis
consideracin sistemtica del dao probable que puede causar un

fallo en la seguridad de la informacin, con las consecuencias
potenciales de prdida de confidencialidad, integridad y
disponibilidad de la informacin.
ELEMENTOS DEL ANLISIS DE RIESGOS:

Activos: Recursos del sistema de informacin o relacionados con
este, necesarios para que funcione correctamente y alcance los
objetivos propuestos por su direccin. El activo esencial es la
informacin o datos.
Amenazas: Determinar las amenazas que pueden afectar a cada
activo, hay que estimar cun vulnerable es el activo en dos sentidos:
Degradacin: Como es de perjudicial y Frecuencia: Cada cuanto se
materializa la amenaza
Vulnerabilidades: Potencialidad o posibilidad de ocurrencia de la
materializacin de una amenaza sobre dicho activo.
Impactos: Es el dao sobre el activo causado por la amenaza,
conociendo el valor de los activos sera muy sencillo calcular el
valor del impacto
<Plan de Tesis
Riesgo: Es la medida de la posibilidad que existe en que se

materialice una amenaza. Conociendo el riesgo ya podemos calcular
la frecuencia
Salvaguardas (Funciones, Servicios y Mecanismos): Un salvaguarda
es un mecanismo de proteccin frente a las amenazas, reducen la
frecuencia de las amenazas y limitan el dao causado por estas.
1.9 PROCESAMIENTO Y ANALISIS DE INFORMACION
1.10 REFERENCIAS BIBLIOGRAFICAS

INFORMACION GENERAL
<Plan de Tesis

Proyecto Final Procesofinal

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Proyecto Final Procesofinal

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD SAN PEDRO

ESQUEMA DE PLAN DE TESIS

INFORME PARA ASIGNATURA SEMINARIO DE PROYECTO DE TESIS

HUARAZ - PERU - 2014

Diseo de un sistema de Gestin de Seguridad

Proponer el diseo de un sistema de gestin de

Escuela: Ingeniera Informtica y de Sistemas

7.1.2. HERRAMIENTAS Y EQUIPOS

7.1.3. GASTOS DE OPERACIN Y ASESORA

7.1.4. OTROS GASTOS

7.1.5. TOTAL GENERAL

La presente investigacin ser cubierta econmicamente en su totalidad por los

especficamente al sub cdigo 18 denominado Tecnologa de los ordenadores.

Resumen del Proyecto

SEMANAS (04 MESES)

Elaboracin del Proyecto

Preparacin del informe final

1.1. ANTECEDENTES Y FUNDAMENTACIN CIENTIFICA

Diseo de un sistema de gestin de seguridad basado en ISO 27001 para

ser o llegar a constituirse en obstculos que se interponen, dificultan o impiden

La seguridad de la informacin se fundamenta en los principios de la seguridad

En la actualidad las empresas y sus sistemas de informacin se enfrentan, cada vez

Es por esto que se a enfocando nuestro proyecto en la realidad de la ciudad de Huaraz,

Formulacin del problema.

Cmo disear un sistema de gestin de seguridad basado en ISO 27001 para

mantenimiento y mejoramiento de la gestin de procesos de la

recursos que establece la alta direccin con el propsito de dirigir y controlar la

CALIDAD (2013), afirma que La

Informacin tiene como fin la proteccin de la informacin y de los

competitividad y supervivencia, a veces

cambiantes. La seguridad en la informacin abarca a todas las

preventivas y reactivas que permite resguardar y proteger la informacin,

SISTEMA DE GESTION DE SEGURIDAD

Figura 1. Sistema de gestin

Segn Robens (2010), El concepto de sistemas de gestin se utiliza con

disponibilidad de los activos de informacin minimizando a la vez los

NORMA ISO 27000

Figura 2. Sistema Operacional ISO 27000

ISO27000 (2012), Define que El SGSI (Sistema de Gestin de Seguridad de

Figura 1. Sistema de gestin

Identificacin de la metodologa para evaluar los riesgos y

implementar los controles correspondientes.

Identificar las normas del ISO 27001 que contribuyan en la seguridad

1.8 METODOLOGIA DE TRABAJO

DESCRIPCION GENERAL DE MARGERIT

FASES DE METODOLOGIA DE TRABAJO

investigando la oportunidad de realizarlo, definiendo los

consideracin sistemtica del dao probable que puede causar un

ELEMENTOS DEL ANLISIS DE RIESGOS:

Riesgo: Es la medida de la posibilidad que existe en que se

1.10 REFERENCIAS BIBLIOGRAFICAS

You might also like