Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. RESUMEN
El proyecto consiste en realizar un Diseo de un Sistema de Seguridad de la
Informacin (SGSI) de acuerdo con la norma ISO 27001 para una empresa de
Servicios de gestin y almacenamiento de volcado de datos.
El objetivo principal es obtener un SGSI que permita garantizar el nivel de
seguridad en el manejo de la informacin requerido para este tipo de servicios y que
est listo para obtener la certificacin ISO/IEC 27001 2005, 6 meses despus de su
implantacin mediante una auditoria externa a desarrollar por su compaa como
BSI o DNV.
Primeramente se realizar una descripcin general del SGSI cuyos puntos
principales sern: la definicin del escenario y el desarrollo del modelo Plan-DoCheck-Act (PDCA). A continuacin, se definir el estado de aplicabilidad del SGSI
con la fijacin de los controles para los puntos de la norma aplicables.
Posteriormente, realizaremos el proceso de gestin de riesgos y el consiguiente
plan de accin con los controles asociados.
Tras plantear una visin global del proyecto, se realizar el plan de continuidad
del negocio para garantizar la fiabilidad adecuada a los clientes en cualquier
circunstancia y el plan de implantacin para asegurar la certificacin en el tiempo
previsto.
2.NDICE
1.
RESUMEN...2
2. NDICE........ 3
3. INTRODUCCIN.....6
3.1. LA SEGURIDAD DE LA INFORMACIN6
3.2. LA CONTINUIDAD DEL NEGOCIO..7
4. ESCENARIO....8
4.1. RADIOGRAFA DE LA EMPRESA..8
4.1.1. PERFIL....8
4.1.2. SERVICIOS9
4.1.3. ESCENARIO.11
4.1.3.1. ENTORNO FSICO....11
4.1.3.2. ENTORNO DE APLICACIONES..13
4.1.4. ESTRUCTURA...14
4.1.4.1. DIAGRAMA EMPRESARIAL.14
4.2. METODOLOGA EMPLEADA..16
4.2.1. DEFINICIN DE SGSI..16
4.2.2. LA NORMA ISO 27001..18
5. PROCESO DE DISEO....20
5.1 DESCRIPCIN GENERAL DEL SGSI..21
5.1.1. DEFINICIN GENERAL DEL SGSI.21
5.1.2. POLTICA DEL SGSI.21
5.1.3. GESTIN DE RIESGOS..22
5.1.4. AUTORIZACIN DE LA DIRECCION Y ESTABLECIMIENTO
DE OBJETIVOS..22
5.1.5. ESTADO DE APLICABILIDAD.23
3. INTRODUCCIN
La informtica y su contribucin al progreso de las redes de
comunicaciones han permitido avanzar en la sociedad y mejorar las condiciones
de vida. Como consecuencia, se han introducido conceptos como el de TIC
(Tecnologa de la Informacin y la Comunicacin) asociado a las tecnologas de
informacin y comunicacin pero tambin a un sector econmico que cada vez
adquiere ms importancia, sobre todo en las sociedades ms desarrolladas.
Esta revolucin ha influido en todo los campos, tanto sociales como
privados y ha creado la Sociedad de la Informacin donde han ido cambiando
paulatinamente los procesos de generacin de bienes y servicios en todos los
sectores de produccin.
Centrndonos en el campo de produccin de bienes y servicios, un
impacto de esta magnitud ha provocado efectos que han afectado a todas las
empresas, en unas ms que en otras. Vamos a destacar dos de estos efectos, los
cuales son las que ms interesan en nuestro proyecto: la seguridad de la
informacin y la continuidad del negocio.
3.1. LA SEGURIDAD DE LA INFORMACIN
4. ESCENARIO
4.1. RADIOGRAFA DE LA EMPRESA
4.1.1. Perfil
SeBackSA es una compaa que ofrece servicios de custodia y mantenimiento
de backup de datos y sistemas de aplicacin a otras empresas o particulares. La funcin
principal de SebackSA es ofrecer un medio seguro y fiable donde los usuarios puedan
confiar sus datos y sus sistemas de aplicacin para en caso de necesidad recuperarlos y
obtener todo lo necesario para poner en marcha su negocio de nuevo de modo rpido y
sencillo.
SebackSA ofrece a sus usuarios la oportunidad de volcar sus datos en su
propio centro de datos, va internet. Sus servicios incluyen volcados de datos desde 250
megabytes hasta 2 terabytes. Presenta, adems la posibilidad de guardar los archivos
en un entorno aislado, en un lugar a salvo de cualquier tipo de desastre.
Tan importante como el hecho de ofrecer una alternativa para que una
compaa pueda recuperarse de cualquier tipo de desastre y reiniciar su actividad sin
problemas insalvables, es ofrecer tambin un medio seguro, sin acceso desde la red,
resguardado de cualquier intento de acceso no autorizado a la informacin incluida en
los ficheros de los usuarios.
En definitiva SebackSA, es una compaa orientada a los usuarios con plan de
continuidad de negocio definido o que requieran un segundo lugar de almacenamiento
con unas condiciones de seguridad ptimas.
Para garantizar la calidad del servicio, SeBackSA orienta su oferta en tres
sentidos: confidencialidad, integridad y disponibilidad.
Busca ser un servicio que ofrezca una confidencialidad adecuada, lo que
significa ofrecer garantas de que el objeto confiado, en este caso la informacin y los
sistemas de aplicacin se mantendrn bajo custodia, lo que implica no solo prevenir el
robo sino el aseguramiento de las condiciones de acceso solo a autorizados.
Tan importante como la confidencialidad, es la integridad por lo que
SeBackSA provee un sistema que garantice la devolucin en el momento que el
usuario lo requiera, en las mismas condiciones en que se entreg lo que implica
mantener el producto en un medio adecuado para evitar tanto su corrupcin como su
modificacin por personal no autorizado.
El tercer punto en que SeBackSA basa su negocio es en garantizar la
disponibilidad de la informacin por parte del usuario en el momento que ste lo
requiera. Lo que implica disponer de una infraestructura tecnolgica acorde con el
servicio que se presta y que implica contar con servidores de correo electrnico, de
bases de datos, de web etc, mediante el uso de clusters o arreglos de discos, equipos en
alta disponibilidad a nivel de red, servidores espejo, replicacin de datos, redes de
almacenamiento (SAN), enlaces redundantes, etc.
4.1.2. Servicios
SeBackSA ofrece a sus potenciales usuarios dos tipos de servicio de custodia:
en red o aislado.
Tipo de servicio on line. Es un servicio automtico en que el usuario es el que
maneja su propia informacin, se ofrece la posibilidad de que almacene sus backups en
PROYECTO FIN DE CARRERA
10
4.1.3. Escenario
Para poder ofrecer el servicio con las condiciones de calidad adecuadas,
SeBackSA dispone de las siguientes instalaciones.
11
Las instalaciones mobiliarias principales, son los armarios. Son dos armarios
de seguridad marca SecureLine, modelo Secure SC-1, anclados al suelo, donde se
almacenan, aparte de la informacin facilitada por los clientes en cualquier tipo de
soporte, los volcados de datos de los discos duros de los servidores donde se almacena
la informacin de los clientes que ha requerido el servicio de custodia online.
Existen igualmente cajas fuertes, para aquellos clientes que requieren un
servicio de custodia en un entorno doblemente aislado, donde las condiciones de
confidencialidad y de integridad son especialmente garantizadas. Incluye dos tipos de
cajas fuertes:
12
4.1.3.2
Entorno de aplicaciones
Servidor
RAM 24 GB
Windows XP
Estaciones de Trabajo.
RAM 8 GB
Windows XP
13
4.1.4. Estructura
4.1.4.1
Diagrama empresarial
Para llevar a cabo su cometido SeBackSA esta organizada en varias
Las unidades son de carcter funcional, por lo que existe la posibilidad que se
compartan recursos porque, en principio, hasta que la compaa se consolide en el
sector se persigue la optimizacin de recursos y el mximo aprovechamiento de la
competencia de los miembros de SeBackSA, con lo que ms de un miembro estar
implicado en ms de una unidad.
Las unidades ms importantes y sus funciones ms destacadas se indican a
continuacin:
PROYECTO FIN DE CARRERA
14
15
Equipo de Direccin.
Equipo formado por los responsables de cada una de las unidades de la
compaa y el director. Su principal funcin es la gestin de la compaa,
incluyendo la fijacin de la estrategia y de la fijacin de los objetivos y el
seguimiento de los mismos, as como la creacin y actualizacin de los planes de
negocio, incluyendo el de continuidad del mismo en caso de desastre.
Cara a la seguridad, es la unidad fundamental ya que para poder sacar
adelante el SGSI se requiere la implicacin del equipo de Direccin, bien a
travs de todo el equipo o de la persona, miembro del mismo, en la que se
delega esta funcin.
16
17
2.
3.
4.
5.
18
Aplicando el modelo PDCA las etapas del SGSI definido por la ISO 27001 es
como sigue:
Plan: Establecimiento del SGSI. Pautas ms importantes
19
Formacin y adiestramiento.
5. PROCESO DE DISEO
Al empezar desde cero, lo primero es disear la metodologa y los
procedimientos de seguridad que van a formar parte del SGSI. Tomando como base la
norma ISO 27001 se incluye en este captulo los procedimientos y procesos que se han
diseado para el SGSI de SeBackSA.
Los procedimientos principales se han incluido en subcaptulos aparte y se
describen en detalle dado la importancia que tienen para la implantacin y operacin
del SGSI y para su posterior certificacin y son:
20
Estado de Aplicabilidad.
Otros procedimientos.
21
22
encima del valor umbral se definen las acciones a tomar, los recursos a implicar y el
plan de tiempos y de seguimiento. Todo ello se incluye en el Plan de Tratamiento de
Riesgos (RTP). Las prioridades y las responsabilidades estn tambin incluidas.
23
del cumplimiento de los objetivos. Esto implica definir indicadores que obtengan
valores comparables y reproducibles. Los controles incluidos en el Estado de
Aplicabilidad cumplen esta funcin.
La efectividad de los controles incluidos en el RTP se medir al verificar la
evolucin del valor de cada riesgo. Se puede obtener tanto la evolucin de cada riesgo
de modo individual, y de modo general.
El seguimiento de los objetivos tambin se lleva a cabo con los controles.
Procesos como la gestin de incidentes o la continuidad del negocio estn muy
relacionados con los objetivos y se evalan mediante controles.
Los medios para hacer cumplir con estos requisitos en la compaa son:
PROYECTO FIN DE CARRERA
24
Auditorias: se han planificado con una periodicidad anual, para verificar que el
SGSI esta en lnea con el standard ISO 27001. Se realizaran tres meses antes de
la auditoria de certificacin.
Gestin de incidentes.
Procedimientos y controles.
25
Colaboracin con el experto SGSI para ayudar a alcanzar y mantener el nivel del
SGSI requerido por el standard.
Que el SGSI est en la lnea con el modelo de ISO 27001 y definir las
mejoras y seguimiento de aquellos puntos no conformes con la norma.
26
27
5.2.1. Propsito
El propsito del documento consiste en describir el mtodo de Gestin de
Riesgos que se va a aplicar en el SGSI de SebackSA. Por tanto, se ocupa de identificar
los riesgos, evaluarlos en funcin de impacto y probabilidad, disear un tratamiento
adecuado y efectuar el seguimiento con el fin de disminuir o evitar el impacto en el
supuesto de que el riesgo se convirtiera en problema.
PROYECTO FIN DE CARRERA
28
5.2.2. Estructura
El proceso recogido en el documento Gestin de Riesgos de SeBackSA esta
estructurado en captulos incluyendo las fases en las que se divide la gestin integral,
que, basada en el concepto de mejora continua, empieza con la identificacin y
dimensionamiento de los riesgos y continua con su tratamiento y la verificacin de que
los riesgos se mantienen bajo control.
El proceso se divide en:
29
5.2.3. Descripcin
Este captulo incluye, en detalle, las fases en las que se divide el proceso de
Gestin de Riesgos.
1. Establecimiento del Contexto
Fijacin de los lmites del escenario donde se va a llevar a cabo el anlisis. De
forma ordinaria, debe de coincidir con el escenario indicado en el punto primero de la
descripcin general del SGSI.
Cualquier cambio en el escenario implica un anlisis de riesgo para
ajustar el nivel de riesgo anterior al nuevo escenario.
2. Anlisis del riesgo. (Risk Assesment)
Se identifican riesgos y se evalan su magnitud. Se lleva a cabo en una reunin
donde participan personas de todas las reas estratgicas: informtica, gestin jurdica
y seguridad, y es dirigida por el lder de seguridad. Forman el equipo de gestin de
riesgos. Tambin se incluye en el equipo, alguien con competencia financiera para
evaluar los costes de los activos y los impactos de cada amenaza y vulnerabilidad en
trminos de prdidas financieras.
El equipo de gestin de riesgos tiene las siguientes funciones:
30
IMPACTO
31
Destruccin
No
disponibilidad
32
Frecuencia
Atractivo
Otros factores
Alta
Media
Alta
Media
Media
Baja
Baja
Media
Baja
Alto
Alto
Medio
Medio
Medio
Medio
Bajo
Bajo
Bajo
Alto
Medio
Alto
Alto
Medio
Bajo
Bajo
Bajo
Medio
ALTO
MEDIO
BAJO
33
De acuerdo con el mapa, la fijacin del plan a aplicar a cada riesgo en funcin
del valor obtenido es como sigue:
Amenazas
Activos
Bajo
Medio
12
12
18
Alto
12
18
18
27
Muy
Alto
12
16
24
12
24
36
Baja
Media
Alta
Vulnerabilidades
3. Tratamiento del riesgo.
Una vez identificados y fijados los riesgos, segn el criterio indicado en la
SGSI, se ha de definir el proceso de tratamiento de los riesgos detectados que
sobrepasan el nivel adecuado. Esto se hace en esta fase.
Los tratamientos posibles son dos: seguimiento para supervisar su evolucin y
accin para ajustar su valor.
-Seguimiento. Se tiene que realizar a todos los riesgos de nivel amarillo. El
objetivo principal es mantener bajo control el riesgo e iniciar un plan de accin en el
momento en que se verifique que ha sobrepasado el nivel umbral, sin esperar a
detectarlo en el siguiente anlisis de riesgo rutinario.
34
entrada.
Fcil manejo.
principal es atenuar el valor del riesgo hasta un nivel por debajo del valor umbral (9).
Las actividades que se van a llevar a cabo para rebajar el nivel del riesgo, as
como el modo de medir su eficiencia y el medio de monitorizar la evolucin del riesgo,
se incluirn en el Plan de Accin del Riesgo.
El Plan de Accin del riesgo se compone de las siguientes actuaciones:
Plan de tiempos.
35
36
Estado Referencia
Estado Referencia
37
38
Puestos y funciones
Personas que integran la organizacin y la funcin que desempean
Conviene subrayar que la organizacin que cubre el SGSI es una organizacin
39
40
6. PROCESO DE IMPLANTACIN
6.1. INICIO. COMPROMISO DE LA DIRECCIN
El compromiso de la Direccin se obtiene desde el momento que todos
convienen, dada la naturaleza del negocio de SeBackSA, que es fundamental disponer
de un SGSI homologado que garantice la custodia de la informacin de los clientes.
Para conseguirlo la implicacin del equipo de direccin es fundamental.
La implicacin de la direccin en la implementacin del SGSI se traduce en las
siguientes tareas, como se indic en la descripcin general de SGSI:
-Aprobacin de la poltica de SGSI
41
42
facilitara la implantacin del SGSI. El primer paso que se dio durante la fase de
implementacin fue dar a conocer el SGSI a la organizacin.
Durante la fase de diseo (ver captulo anterior) se desarrollaron las lneas
maestras del SGSI de SeBackSA y los puntos principales fueron:
43
44
Activo
Acceso
no
autorizado
Documentacin y
contratos de
clientes
Impacto principal
Modific
Destrucc
No
disponible
Impacto Final
Total
M Alto
4
M Alto
4
M Alto
4
M Alto
4
Edificio
Medio
2
Bajo
1
Alto
3
Alto
3
SeBacksa
Alto
3
Medio
2
Alto
3
Alto
3
Sala de control
M.Alto
4
Alto
3
M Alto
4
Alto
3
Instalaciones
Mobiliarias
(Cajas fuertes y
armarios
M.Alto
4
M.Alto
4
M.Alto
4
M.Alto
4
Red de datos
M.Alto
4
M.Alto
4
M.Alto
4
M.Alto
4
Datos y sistemas
de aplicacin de
los clientes
M.Alto
4
M.Alto
4
M.Alto
4
M.Alto
4
Sistema de
aplicacin
(standard)
Alto
3
Bajo
1
Medio
2
Medio
2
Personal de
SeBacksa
Medio
2
Alto
3
Medio
2
Personal clave de
SeBacksa
Alto
3
M.Alto
4
M.Alto
4
Personal de
Seguridad
Bajo
1
Bajo
1
Medio
2
Personal de
Mantenimiento
Personal externo
Bajo
1
Residual
0
Bajo
1
Residual
0
Bajo
1
Bajo
1
45
Factores
Frecuencia
Otros
Grado
Final
Acceso no
autorizado
Alto
Baja
Bajo
Medio
Robo
Alto
Baja
Bajo
Medio
Error de
operacin
Alto
Alta
Bajo
Alto
Fallo de
sistema
Alto
Media
Bajo
Alto
Desastre
Natural
Alto
Bajo
Bajo
Medio
Fallo de
energa
Medio
Baja
Bajo
Bajo
Perdida de
competencia
Medio
Media
Bajo
Medio
Error
interpretacin
Alto
Baja
Bajo
Medio
Fallo de
Mantenimiento
Medio
Baja
Bajo
Bajo
Fallo de Red
Medio
Media
Bajo
Medio
46
Vulnerabilidad
Valoracin
Fallo del procedimiento de operacin informtico. Falta de backup Baja. No requiere ninguna accin
de repuesto
Falla de los procedimientos de seguridad del SGSI
-Anlisis efectivo del riesgo. Ahora se evala hasta que grado las
vulnerabilidades analizadas pueden facilitar la materializacin de alguna de las
amenazas encontradas sobre alguno de los activos de SebackSA., el valor de cada
riesgo se asociar con la matriz incluida en el captulo anterior, como se describe a
continuacin:
N
Activo
Amenaza
Edificio
Acceso No autorizado
SeBackSA
Acceso No autorizado
Sala de Control
Acceso No autorizado
Red de Datos
Acceso No autorizado
Vulnerabilidad
47
Valoracin
Documentacin y
contratos de
Robo
clientes
Datos y sistemas
de aplicacin de Robo
los clientes
Sistemas de
aplicacin de la
Cia
Red de Datos
Sala de Control
10
11
12
Red de Datos
Datos y sistema
de aplicacin de
los clientes
Red de Datos
16
16
Error de operacin
12
Error de operacin
12
24
Error de operacin
24
Error de operacin
24
12
Error de operacin
13
Edificio,
Sebacksa
Desastre natural
12
14
Sala de control,
instalaciones
mobiliarias
Desastre natural
16
15
16
16
16
17
Personal de
Sebacksa
Robo
12
18
Personal de
seguridad y
mantenimiento
Robo
Robo
19
Personal externo
20
Edificio,
Sebacksa,
Fallo de energia
21
Sala de control
Fallo de energia
22
Personal de
mantenimiento, Fallo de mantenimiento
personal externo
48
Prioridad
Riesgo
9 y 10
24
11
24
Error de operacin en el
Plan de accin Mitigar
manejo de datos de clientes por 1
fallo de los procedimientos de
seguridad de SGSI
16
Robo de documentacin de
clientes por fallo de los
procedimientos de proteccin
de codumentacion
16
Plan
Estrategia
Responsable
49
14
16
15
16
Prdida de competencia de
Plan de accin Mitigar
personal clave debido a fallo en 5
los procedimientos de
formacin y de competencia
16
16
7y8
12
12
12
20
12
17
16
En el resto de los riesgos debido a que el nivel est por debajo del umbral
considerado aceptable (9) la estrategia a seguir es de aceptarlos. En aquellos de nivel
amarillo se llevar a cabo un seguimiento por parte del experto SGSI que informar del
estado en las reuniones peridicas del equipo de gestin de riesgos.
50
7. PROCESO DE OPERACIN
En el proceso de operacin se inicia la ejecucin del SGSI. En la fase de diseo
se defini la metodologa y los procedimientos de seguridad a seguir en SeBackSA. En
la fase de implantacin se introdujo el modelo, primero implicando a la direccin y
luego implicando al resto de la organizacin asignando los roles; luego todos efectuaron
la primera evaluacin de riesgos y el plan de tratamiento de riesgos. En la fase de
operacin se aplica el modelo en el trabajo de SeBackSA, las actividades se realizan de
acuerdo con los procesos del SGSI y aplicando los planes para atenuar los riesgos.
51
Errores de operacin
14
12
E rr o r e s
10
8
Series1
6
4
2
3
2,5
2
Mejoras 1,5
1
0,5
0
Mejoras/m es
1 2 3 4 5
Meses
Meses
Plan de Accin 2:
Su objetivo es limitar la amenaza de robo, fijndolo en una probabilidad baja.
Igualmente, se busca disminuir la vulnerabilidad de fallos en los procedimientos de
proteccin de datos y de seguridad del SGSI.
El medio de verificarlo es mediante el seguimiento del nmero de
actualizaciones que se introducen en los procedimientos de proteccin de datos y en las
rutinas de seguridad de las cajas fuertes y armarios y el nmero de incidentes que se
producen por activacin de alarmas.
El responsable del Plan es el experto SGSI y la evolucin a lo largo de cinco
meses marca una tendencia similar en cuanto a las mejoras en los procesos pero
diferente en cuanto a los incidentes por alarmas.
Los disparos de las alarmas mantienen una tendencia descendente, que se
explicara porque las alarmas disminuyen a medida que la gente se va familiarizando
con su manejo, las mejoras de los procesos mantienen la tendencia ascendente hasta
que alcanza un mximo y luego desciende que se explicara por el mismo motivo que en
el caso del plan anterior.
PROYECTO FIN DE CARRERA
52
Disparo de alarmas
6
M eses
Series1
1,5
Mejoras 1
0,5
0
Mejoras/m es
1 2 3 4 5
Meses
0
1
Disparos
Plan de Accin 3:
El objetivo principal del plan fue limitar al mnimo la vulnerabilidad de fallo
en los procesos ya que la posibilidad de limitar el valor de la amenaza era muy baja.
Se desarrollo un procedimiento nuevo: un procedimiento de continuidad de
negocio. La ubicacin de una segunda localizacin donde poder reiniciar las actividades
en caso de necesidad. El procedimiento defini las condiciones iniciales necesarias e
identific los recursos y las personas necesarias y desarroll una rutina de trabajo para
calcular el tiempo necesario para reiniciar la actividad.
El modo de verificarlo fue el simulacro de desastre y demostrar que era
posible la reconstruccin del entorno de trabajo con todos los datos de partida, aunque
en un periodo mayor del previsto. Quedando como punto de accin el mejorar ese
tiempo que llegando a un objetivo de tener el entorno listo en 36 horas.
El responsable fue el representante de la unidad de informtica y aunque no
se consigui el objetivo en tiempo si se verific que se poda reiniciar las actividades
desde el punto donde se interrumpieron a causa del supuesto desastre.
Plan de Accin 4:
El plan incide en disminuir la vulnerabilidad de fallo en los procesos sobre
todo, y en menor medida en disminuir el valor de la amenaza porque el hecho de
motivar a las personas claves depende de la direccin de la compaa y del mercado.
PROYECTO FIN DE CARRERA
53
54
Incidentes
14
Alarmas
Operacin
Informticos
Clientes
TOTAL
12
10
8
6
4
2
0
1
Meses
55
N
5
Activo
Amenaza
Documentacin Robo
y contratos de
clientes
Datos y
sistemas de
aplicacin de
los clientes
Robo
Valoracin
16
16
12
12
Sistemas de
Error de operacin
aplicaciones de
SeBackSA
Vulnerabilidad
Error de operacin
Red de Datos
56
9
Sala de Control
10
Error de operacin
Error de operacin
Red de Datos
11
Datos y sistema
de aplicacin
de los clientes
12
Error de operacin
14
Sala de control,
instalaciones
mobiliarias
Desastre natural
15
Personal clave
de Sebacksa
16
Desastre natural
24
24
24
24
12
12
12
16
16
16
16
16
16
12
12
Robo
Personal clave
de SebackSA
17
24
Edificio,
Sebacksa
24
13
Robo
Personal de
Sebacksa
Se verifica que en los seis meses transcurridos los planes de accin han
provocado que todos los riesgos se hayan mitigado pasando de un valor que requera
plan de accin a otro que requiere un plan de seguimiento.
El nico error que necesitar plan de accin es el nmero 15 y el riesgo est
asociado con el hecho de que solo una persona de la organizacin tiene la competencia
adecuada para ser experto SGSI, el plan seguir vigente hasta que otra persona ms
adquiera la competencia.
PROYECTO FIN DE CARRERA
57
9. CONCLUSIONES
La primera conclusin es que el establecimiento de un SGSI en una compaa
es de gran utilidad al proporcionar la metodologa adecuada para garantizar la
confidencialidad, la integridad y la disponibilidad de los activos de su negocio que
tengan que ver con la informacin, como queda demostrado con la aplicacin a un caso
tan dependiente del manejo seguro de la informacin como es SeBackSA.
58
59
60
10. BIBLIOGRAFA
-Estandard Internacional ISO/IEC 27001-2005
-Parmetros fundamentales para la implantacin de un Sistema de Seguridad de
la Informacin segn ISO 27001:2005. Jos Manuel Fernndez Domnguez.
Nexus Consultores y Auditores.
-Pgina web: https://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos
-Pgina web: http://www.bsigroup.es/es/certificacion-y-auditoria/Sistemas-degestion/estandares-esquemas/ISOIEC-27001/
61