ACTIVOS Y SEGURIDAD

JOSE ELIAS ORTIZ GUERRERO

CURSO: GESTION DE LA SEGURIDAD INFORMATICA

SERVICIO NACIONAL DE APRENDIZAJE SENA

PASTO NARIO
2015

ACTIVOS Y SEGURIDAD
Actividades de apropiacin del conocimiento (Anlisis de caso)
Siguiendo con el caso de Simn. l ha determinado que de acuerdo a los resultados obtenidos en la
organizacin tecnolgica de su empresa, ha decidido contratarte como asesor para que lo ayudes a
identificar cules son los activos de informacin presentes y que normas de seguridad informtica
(vulnerabilidad en confidencialidad, integridad y disponibilidad) estn siendo utilizadas
Solucin:
Don Simn se ha dado cuenta que su empresa se est desarrollando eficientemente lo que se requiere tener algunos
roles especficos para asegurar la informacin que se maneja sea de la empresa como de los usuarios, lo cual se ha
generado una serie de preguntas que seran: l es consciente de la importancia que tiene la informacin
para su organizacin? Se ha planteado si las medidas de seguridad con las que cuentan son
suficientes para su proteccin? Entre otras.
La informacin de su negocio resulta cada da ms importante. Su tratamiento, a menudo hace que sta sea expuesta
a factores que pueden ponerla en peligro. Contar con un Sistema de Gestin de la Seguridad de la Informacin
(SGSI) es sin duda la forma ms prctica de seguir un conjunto de buenas prcticas que garanticen que el
tratamiento de la informacin de nuestra empresa es adecuado.
Por lo tanto me ha contratado para esa labor, lo cual es muy gratificante, ya que es un trabajo muy riesgoso porque
me da la confianza para que yo le brinde proteccin a su empresa, as que lo primero que tendra en cuenta seria la
norma que protege la informacin de una empresa.
Los activos de seguridad de la informacin
Se explica en este tema como deben abordarse la elaboracin de un inventario de activos que recoja
los principales activos de informacin de la organizacin, y como deben valorarse esos activos en funcin de su
relevancia para la misma y del impacto que ocasionara un fallo de seguridad en ellos. El contenido de
este tema:

Identificacin de los activos de informacin.

Inventarios de activos.

Valoracin de los activos.

Identificar los activos de informacin

Se denomina activo aquello que tiene algn valor para la organizacin y por lo tanto debe protegerse. De manera
que un activo de informacin es aquel elemento que contiene o manipula informacin.
Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin del
sistema, manuales de los usuarios, material de formacin, aplicaciones, software del sistema, equipos
informticos, equipos de comunicaciones, servicios informticos y de comunicaciones, utilidades
generales como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las personas que

son al fin y al cabo las que en ltima instancia generan, trasmiten y destruyen informacin, es decir dentro de una
organizacin se han de considerar todos los tipos de activos de informacin.

La norma ISO 27001: define como implantar un Sistema de Gestin de Seguridad de la

informacin que aporta a la Organizacin interesantes beneficios:

Ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre otras, la Ley
Orgnica de Proteccin de Datos de Carcter Personal (LOPD), la Ley de Servicios de la
Sociedad de la Informacin y Comercio Electrnico (LSSICE), Propiedad Intelectual, etc.

Aporta a la empresa un valor aadido, dando a nuestros clientes una mayor credibilidad, ya que
contar con esta certificacin, asegura que tenemos un proceso adecuado para la gestin de la informacin.

Ofrece una metodologa para llevar a cabo un Anlisis y Gestin de Riesgos.

Garantiza la implantacin de medidas de seguridad, consistentes, eficientes y apropiadas al valor de

la informacin protegida.

Contempla planes de contingencia ante cualquier tipo de incidencia (prdidas de datos, incendio,
robo, terrorismo, etc.)

Puede ser utilizada como herramienta de diferenciacin frente a la competencia.

Mejora la concientizacin del personal en todo lo que se refiere a la seguridad y a sus

responsabilidades dentro de la organizacin.

El desarrollo de las nuevas tecnologas hace que el tratamiento de la informacin haya dado un
cambio importante en la cultura empresarial y obliga a extremar las precauciones para garantizar:

La confidencialidad: Evitar que la informacin est a disposicin de individuos, entidades o procesos que
no tienen autorizacin.

La disponibilidad: Asegurar que la informacin sea accesible cuando sea necesario.

La integridad: Mantener la informacin exacta y completa.

Contar con un SGSI ayudar a la Direccin de nuestra empresa a decidir qu polticas y objetivos de seguridad
deben establecerse y nos permitir crear mecanismos que nos ayuden a proteger la informacin y los
sistemas que los procesan.

Para implementar un SGSI conforme a la norma ISO 27001 se deber establecer un ciclo
continuo 'PDCA' como el utilizado en los sistemas de calidad:

Planificar: Establecer el Sistema de Gestin, su alcance y objetivos. En esta fase deber definirse la
poltica de seguridad de la organizacin y la metodologa para la evaluacin de los riesgos
que utilizaremos en nuestro Sistema. Posteriormente, debern identificarse los riesgos que
nuestros activos tienen, evaluando las amenazas y vulnerabilidades que estos pudieran tener y los
impactos que tendra el negocio ante una prdida de confidencialidad, integridad o disponibilidad.

Una vez analizados los riesgos y determinadas qu situaciones no son aceptables para la empresa, se
establecer un plan para tratar y mitigar los riesgos no aceptables. Para ello, se aplicarn
los controles oportunos. Debern seleccionarse los objetivos de control y controles del anexo A

de la norma ISO 27001 que sern utilizados parael tratamiento de los riesgos y sern recogidos en una
declaracin de aplicabilidad

Do: Hacer, implementar y utilizar el Sistema de Gestin, sus controles de seguridad y sus
exigencias normativas.

En esta fase deber establecerse un plan para la gestin de los riesgos que incluya su oportuna
planificacin y desglose de responsabilidades y organizacin de los proyectos.

Adems debern definirse los indicadores que ayuden a la organizacin a conocer la eficacia
y eficiencia de las acciones llevadas a cabo para la mitigacin de los riesgos.

Se concienciar y formar a todos las personas y se implantarn los controles establecidos

en la fase anterior.

Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren los
objetivos deseados.

En esta fase se deber revisar la efectividad del Sistema a tiempos planificados y se revisarn los
niveles de riesgo, siempre que existan cambios en la organizacin, la Tecnologa, los
procesos, etc

El sistema deber someterse a auditoras internas planificadas y el resultado de estas y de las

actividades deber ser revisada por parte de la Direccin de la empresa.

Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del mismo.

Una vez superados los ciclos anteriores y, sobre la base de los resultados de los mismos,
debern implantarse las acciones de mejora necesaria para afianzar el sistema y para alcanzar los
objetivos previstos.

Esta norma tambin es importante, ya que en cada apartado o artculo explica cmo se debe organizar para tener
una buena seguridad de la informacin que se maneja. ISO 27002
La ISO 27002 es una gua de buenas prcticas que expone recomendaciones a tener en cuenta para cada uno de los
controles del anexo A de la ISO 27001. En la norma ISO 27001se habla de estos controles en su anexo A, pero no
forma parte del corazn de la norma yaque no olvidemos que la ISO 27001 define como gestionar la seguridad
(como implementar un Sistema de Gestin de Seguridad de la Informacin).
La ISO 27002 es, por lo tanto, una ayuda en la gestin de los riesgos que se organiza en los siguientes apartados:

Apartado 5: Poltica de Seguridad. El objetivo de este control es contar con una Poltica de
Seguridad documentada y revisada peridicamente.

Apartado 6: Aspectos organizativos. Este control establece cmo debera estar compuesta
la organizacin de la seguridad de la empresa, cmo deben coordinarse las actividades
y cmo deben mantenerse activas las relaciones con los terceros que pudieran colaborar
con nosotros.

Apartado 7: Gestin de activos. Este apartado propone contar con un inventario detallado
de activos que recoja sus funcionalidades. Adems, establece pautas para el
uso responsable y adecuado de los mismos. Este apartado recoge adems la necesidad de contar con un
procedimiento de tratamiento de la clasificacin, as como las medidas de seguridad que
deberan considerarse en funcin de la clasificacin de estos.

Apartado 8: Recursos humanos. Dividido en tres controles, establece las medidas desegurida
d que deberan considerarse en cada una de las fases de desempeo de trabajo (definicin del puesto,
desempeo de las funciones y a la finalizacin o cambio del puesto de trabajo).

Apartado 9: Seguridad fsica y ambiental. Las medidas de seguridad fsica y del entornoqu
edan recogidas en dos controles de este apartado. Por una parte, se establecen los
requerimientos fsicos de los edificios, como el establecimiento de permetros de seguridad, las zonas de
carga o los controles fsicos de entrada y, por otra, la seguridad de los equipos, considerando el suministro, la
seguridad del cableado o el mantenimiento de los mismos.

Apartado
10:
Seguridad
comunicaciones
y operaciones.
La operacin de
las comunicaciones debera seguir unos procedimientos adecuadamente, estableciendo de
manera clara las responsabilidades que, en materia de operacin, deban considerarse. En
este apartado se incluye tambin la supervisin de los servicios que son contratados a terceros y la
planificacin de los requisitos y necesidades de seguridad de los sistemas.

Apartado 11: Control de accesos. Este apartado presenta las pautas que debern tenerse en
cuenta para el control de los accesos a las redes, a los sistemas operativos y a las
aplicaciones corporativas. As mismo, debern considerarse qu privilegios son los adecuados para cada
usuario o cules son las responsabilidades que el usuario tiene para la proteccin de su puesto de trabajo.

Apartado 12: Adquisicin, desarrollo y mantenimiento de sistemas. Este sistema

propone que los sistemas debieran contar con unos requisitos de seguridad especficos que abarcan desde
la entrada de los datos hasta el control del software y las medidas de seguridad de los procesos de desarrollo
de software. En este apartado se considera adems el control de las vulnerabilidades tcnicas.

Apartado 13: Gestin de incidentes. Deber establecerse cules son los canales decomunicac
in de eventos y debilidades y cmo ser el proceso de gestin de incidencias.

Apartado 14: Gestin de continuidad del negocio. Este apartado establece los requisitos
que deberan considerarse en relacin a garantizar la continuidad de los servicios crticos
del negocio.

Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garanta delcu
mplimiento de las exigencias legales que cada organizacin tiene. Adems, se incluyen en
este apartado las consideraciones que deben tenerse en cuenta en la auditora de los
sistemas.