Cules son las estrategias de seguridad que una organizacin debe tomar con

sus activos de informacin en un mundo que constantemente esta

ciberconectado?
Las estrategias cambian dependiendo la empresa (depende de los servicios o bienes
que ofrezcan), sin embargo se pueden mencionar estrategias como:

Incluir los aspectos de la seguridad con la empresa.

Invertir en controles y tecnologa que les permita ser competitivos.

Considerar selectivamente la posibilidad de subcontratar reas del programa de

seguridad operativa.

Invertir en capacitacin del personal en reas de tecnologa y reas a fines.

Elabore un documento en Word donde mencione y explique los elementos

identificados como activos de informacin y estndares de seguridad en la
empresa de Simn.
Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto
debe protegerse. De manera que un activo de informacin es aquel elemento que
contiene o manipula informacin. Activos de informacin son ficheros y bases de datos,
contratos y acuerdos, documentacin del sistema, manuales de los usuarios, material
de formacin, aplicaciones, software del sistema, equipos informticos, equipo de
comunicaciones, servicios informticos y de comunicaciones, utilidades generales
como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las
personas, que son al fin y al cabo las que en ltima instancia generan, transmiten y
destruyen informacin, es decir dentro de un organizacin se han de considerar todos
los tipos de activos de informacin.

Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir
diferentes categoras de los mismos:
-

Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen,
gestionan, transmiten y destruyen en la organizacin.

Aplicaciones: El software que se utiliza para la gestin de la informacin.

Personal: En esta categora se encuentra tanto la plantilla propia de la

organizacin, como el personal subcontratado, los clientes, usuarios y, en

general, todos aquellos que tengan acceso de una manera u otra a los activos
de informacin de la organizacin.
-

Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte
de la organizacin suministra a otra (por ejemplo la gestin administrativa), como
los externos, aquellos que la organizacin suministra a clientes y usuarios (por
ejemplo la comercializacin de productos).

Tecnologa: Los equipos utilizados para gestionar la informacin y las

comunicaciones (servidores, PCs, telfonos, impresoras, routers, cableado, etc.)

Instalaciones: Lugares en los que se alojan los sistemas de informacin

(oficinas, edificios, vehculos, etc.)

Equipamiento auxiliar: En este tipo entraran a formar parte todos aquellos

activos que dan soporte a los sistemas de informacin y que no se hallan en
ninguno de los tipos anteriormente definidos (equipos de destruccin de datos,
equipos de climatizacin, etc.)

Cada uno de los activos que se identifiquen debe contar con un responsable, que ser
su propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque
no necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede
existir un activo que sea la base de clientes y Simn podra ser el Director Comercial,
sin embargo sern los comerciales de la organizacin los usuarios del mismo y el
responsable de sistemas el encargado del mantenimiento de la base de datos. Pero
Simn es quien decide quin accede y quin no a la informacin, si es necesario
aplicarle alguna medida de seguridad o existe algn riesgo que deba ser tenido en
cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad
exigidas por la Ley, etc.

II. Inventario de activos: El inventario de activos que se va a utilizar para la gestin de

la seguridad no debera duplicar otros inventarios, pero s que debe recoger los activos
ms importantes e identificarlos de manera clara y sin ambigedades.
El inventario de activos es la base para la gestin de los mismos, ya que tiene que
incluir toda la informacin necesaria para mantenerlos operativos e incluso poder
recuperarse ante un desastre. Esta informacin como mnimo es:
-

Identificacin del activo: Un cdigo para ordenar y localizar los activos.

Tipo de activo: A qu categora de las anteriormente mencionadas pertenece el

activo.

Descripcin: Una breve descripcin del activo para identificarlo sin

ambigedades.

Propietario: Quien es la persona a cargo del activo.

Localizacin: Dnde est fsicamente el activo. En el caso de informacin en

formato electrnico, en qu equipo se encuentra. El inventario de activos no es
recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el
nivel de registro o de elemento de un equipo informtico no es probable que
vaya a proporcionar informacin relevante en cuanto a las amenazas y los
riesgos a los que debe hacer frente la organizacin y adems complicar
enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos
haya ms laborioso ser el mismo.

El inventario deber recoger los activos que realmente tengan un peso especfico y
sean significativos para la organizacin, agrupando aquellos que, por ser similares,
tenga sentido hacerlo. Por ejemplolos computadores que adquirio Simn tienen
parecidas caractersticas tcnicas y en la misma ubicacin fsica, pueden agruparse en
un nico activo, denominado por ejemplo equipo informtico. En el caso si los
computadores y porttiles no salieran nunca y los permanecieran siempre en la misma
ubicacin, tambin se podra asumir que constituyen un nico activo pero si los
porttiles se utilizan fuera de las instalaciones de la organizacin, ya no se podran
agrupar los equipos, ya que las circunstancias en las que se utilizaran los equipos son
distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico
fijo para los PCs y Equipo informtico mvil para los porttiles.
En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto,
puede hacer necesario el desarrollar un rbol de dependencias entre activos. El
concepto es que algunos activos dependen de otros, en uno o ms parmetros de
seguridad. Identificar y documentar estas dependencias constituye un rbol de
dependencias, que dar una idea ms exacta del valor de cada activo.
III. Valoracin de los activos: Una vez identificados los activos, el siguiente paso a
realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin,
cual es su importancia para la misma. Para calcular este valor, se considera cual puede
ser el dao que puede suponer para la organizacin que un activo resulte daado en
cuanto a su disponibilidad, integridad y confidencialidad. Esta valoracin se har de
acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar
econmicamente los activos, se utiliza la escala cuantitativa. En la mayora de los
casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas
cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo
de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden
ser los daos como resultado de:

- Violacin de legislacin aplicable.

- Reduccin del rendimiento de la actividad.
- Efecto negativo en la reputacin.
- Prdidas econmicas.
- Trastornos en el negocio.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar
involucradas todas las reas de la organizacin, aunque no participen en otras partes
del proyecto y de esta manera obtener una imagen realista de los activos de la
organizacin. Es til definir con anterioridad unos parmetros para que todos los
participantes valoren de acuerdo a unos criterios comunes, y se obtengan valores
coherentes. Un ejemplo de la definicin de estos parmetros podra ser:
- Disponibilidad: Para valorar este criterio debe responderse a la pregunta de cul sera
la importancia o el trastorno que tendra el que el activo no estuviera disponible.
-Integridad: Para valorar este criterio la pregunta a responder ser qu importancia
tendra que el activo fuera alterado sin autorizacin ni control.
-Confidencialidad: En este caso la pregunta a responder para ponderar adecuadamente
este criterio ser cual es la importancia que tendra que al activo se accediera de
manera no autorizada.

Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una
gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.
Deben demostrar que identifican y detectan los riesgos a los que est sometida y que
adoptan medidas adecuadas y proporcionadas.
Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a
Seguir.
Herramienta: SGSI (Sistema de Gestin de la Seguridad de la Informacin). En ingls
ISMS (Information Security Management System). SGSI: proceso sistemtico,
documentado y conocido por toda la organizacin para garantizar que la seguridad de
la informacin es gestionada correctamente.

- Normas ISO 27000: Familia de estndares de ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission) que proporciona un
marco para la gestin de la seguridad.

Seguridad de la informacin (segn ISO 27001): preservacin de su confidencialidad,

integridad y disponibilidad, as como la de los sistemas implicados en su tratamiento
- Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos,
entidades o procesos no autorizados.
-Integridad: mantenimiento de la exactitud y completitud de la informacin y sus
mtodos de proceso.
- Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de
la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Norma ISO 27001 que especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro
del contexto global de los riesgos de negocio de la organizacin. Especifica los
requisitos para la implantacin de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las mismas Objetivo: Mejora
continua Se adopta el modelo Plan-Do-CheckAct (PDCA ciclo de Deming) para
todos los procesos de la organizacin.

Fase Planificacin (Plan) [establecer el SGSI]: Establecer la poltica, objetivos,

procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la
informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y
objetivos generales de la organizacin.
Fase Ejecucin (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el
SGSI de acuerdo a su poltica, controles, procesos y procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las
prestaciones de los procesos del SGSI.
Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y
preventivas basadas en auditoras y revisiones internas en otra informacin relevante
a fin de alcanzar la mejora contnua del SGSI.

ISO 27002: Conjunto de recomendaciones sobre qu medidas tomar en la empresa

para asegurar los Sistemas de Informacin. Los objetivos de seguridad recogen
aquellos aspectos fundamentales que se deben analizar para conseguir un sistema
seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos
objetivos la norma propone una serie de medidas o recomendaciones (controles) que

son los que en definitiva aplicaremos para la gestin del riesgo analizado. Objetivo:
Definir los aspectos prcticos/operativos de la implantacin del SGSI.