ACTIVOS Y SEGURIDAD

LEIDY DAYANA TAMAYO ARGOTI

PRESENTADO A:
JULIANA PILAR MUOZ MUOZ

CURSO: GESTION DE LA SEGURIDAD INFORMATICA

SERVICIO NACIONAL DE APRENDIZAJE SENA

PASTO NARIO
2015

ACTIVOS Y SEGURIDAD
Actividades de apropiacin del conocimiento (Anlisis de caso)
Siguiendo con el caso de Simn. l ha determinado que de acuerdo a los resultados
obtenidos en la organizacin tecnolgica de su empresa, ha decidido contratarte como
asesor para que lo ayudes a identificar cules son los activos de informacin presentes y
que normas de seguridad informtica (vulnerabilidad en confidencialidad, integridad y
disponibilidad) estn siendo utilizadas
Solucin:
La informacin de su negocio resulta cada da ms importante. Su tratamiento, a menudo hace que
sta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema de Gestin de la
Seguridad de la Informacin (SGSI) es sin duda la forma ms prctica de seguir un conjunto de
buenas prcticas que garanticen que el tratamiento de la informacin de nuestra empresa es
adecuado.
Por lo tanto me ha contratado para esa labor, lo cual es muy gratificante, ya que es un trabajo muy
riesgoso porque me da la confianza para que yo le brinde proteccin a su empresa, as que lo primero
que tendra en cuenta seria la norma que protege la informacin de una empresa.
Los activos de seguridad de la informacin
Se explica en este tema como deben abordarse la elaboracin de un inventario de
activos que recoja los principales activos de informacin de la organizacin, y como deben valorarse
esos activos en funcin de su relevancia para la misma y del impacto que ocasionara un
fallo de seguridad en ellos. El contenido de este tema:

Identificacin de los activos de informacin.

Inventarios de activos.

Valoracin de los activos.

Identificar los activos de informacin

Se denomina activo aquello que tiene algn valor para la organizacin y por lo tanto debe protegerse.
De manera que un activo de informacin es aquel elemento que contiene o manipula
informacin.
Activos de informacin son ficheros y bases de datos, contratos y acuerdos,
documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones, software
del sistema, equipos informticos, equipos de comunicaciones, servicios informticos y
de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin,
energa y aire acondicionado y las personas que son al fin y al cabo las que en ltima instancia

generan, trasmiten y destruyen informacin, es decir dentro de una organizacin se han de considerar
todos los tipos de activos de informacin.
La norma ISO 27001: define como implantar un Sistema de Gestin de Seguridad de la
informacin que aporta a la Organizacin interesantes beneficios:

Ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre otras, la

Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD), la Ley de
Servicios de la Sociedad de la Informacin y Comercio Electrnico (LSSICE), Propiedad
Intelectual, etc.

Aporta a la empresa un valor aadido, dando a nuestros clientes una mayor credibilidad,
ya que contar con esta certificacin, asegura que tenemos un proceso adecuado para la
gestin de la informacin.

Ofrece una metodologa para llevar a cabo un Anlisis y Gestin de Riesgos.

Garantiza la implantacin de medidas de seguridad, consistentes, eficientes y

apropiadas al valor de la informacin protegida.

Contempla planes de contingencia ante cualquier tipo de incidencia (prdidas de datos,

incendio, robo, terrorismo, etc.)

Puede ser utilizada como herramienta de diferenciacin frente a la competencia.

Mejora la concientizacin del personal en todo lo que se refiere a la seguridad y a

sus responsabilidades dentro de la organizacin.

El desarrollo de las nuevas tecnologas hace que el tratamiento de la informacin haya

dado un cambio importante en la cultura empresarial y obliga a extremar las precauciones para
garantizar:

La confidencialidad: Evitar que la informacin est a disposicin de individuos, entidades o

procesos que no tienen autorizacin.

La disponibilidad: Asegurar que la informacin sea accesible cuando sea necesario.

La integridad: Mantener la informacin exacta y completa.

Contar con un SGSI ayudar a la Direccin de nuestra empresa a decidir qu polticas y objetivos de
seguridad deben establecerse y nos permitir crear mecanismos que nos ayuden a proteger la
informacin y los sistemas que los procesan.

Para implementar un SGSI conforme a la norma ISO 27001 se deber establecer

un ciclo continuo 'PDCA' como el utilizado en los sistemas de calidad:

Planificar: Establecer el Sistema de Gestin, su alcance y objetivos. En esta fase deber

definirse la poltica de seguridad de la organizacin y la metodologa para la
evaluacin de los riesgos que utilizaremos en nuestro Sistema. Posteriormente,
debern identificarse los riesgos que nuestros activos tienen, evaluando las
amenazas y vulnerabilidades que estos pudieran tener y los impactos que tendra el negocio
ante una prdida de confidencialidad, integridad o disponibilidad.

Una vez analizados los riesgos y determinadas qu situaciones no son aceptables para la
empresa, se establecer un plan para tratar y mitigar los riesgos no aceptables.
Para ello, se aplicarn los controles oportunos. Debern seleccionarse los
objetivos de control y controles del anexo A de la norma ISO 27001 que sern utilizados
parael tratamiento de los riesgos y sern recogidos en una declaracin de aplicabilidad

Do: Hacer, implementar y utilizar el Sistema de Gestin,

de seguridad y sus exigencias normativas.

En esta fase deber establecerse un plan para la gestin de los riesgos que incluya su
oportuna planificacin y desglose de responsabilidades y organizacin de los proyectos.

Adems debern definirse los indicadores que ayuden a la organizacin

a conocer la eficacia y eficiencia de las acciones llevadas a cabo para la mitigacin de los
riesgos.

Se concienciar y formar a todos las personas y se implantarn los controles

establecidos en la fase anterior.

Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren
los objetivos deseados.

En esta fase se deber revisar la efectividad del Sistema a tiempos planificados y se

revisarn los niveles de riesgo, siempre que existan cambios en la organizacin,
la Tecnologa, los procesos, etc

El sistema deber someterse a auditoras internas planificadas y el resultado de estas y de

las actividades deber ser revisada por parte de la Direccin de la empresa.

Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del
mismo.

Una vez superados los ciclos anteriores y, sobre la base de los resultados de los
mismos, debern implantarse las acciones de mejora necesaria para afianzar el sistema y
para alcanzar los objetivos previstos.

sus

controles

Esta norma tambin es importante, ya que en cada apartado o artculo explica cmo se debe
organizar para tener una buena seguridad de la informacin que se maneja. ISO 27002
La ISO 27002 es una gua de buenas prcticas que expone recomendaciones a tener en cuenta para
cada uno de los controles del anexo A de la ISO 27001. En la norma ISO 27001se habla de estos
controles en su anexo A, pero no forma parte del corazn de la norma yaque no olvidemos que la ISO
27001 define como gestionar la seguridad (como implementar un Sistema de Gestin de Seguridad de
la Informacin).
La ISO 27002 es, por lo tanto, una ayuda en la gestin de los riesgos que se organiza en los siguientes
apartados:

Apartado 5: Poltica de Seguridad. El objetivo de este control es contar con una

Poltica de Seguridad documentada y revisada peridicamente.

Apartado 6: Aspectos organizativos. Este control establece cmo debera estar

compuesta la organizacin de la seguridad de la empresa, cmo deben
coordinarse las actividades y cmo deben mantenerse activas las relaciones con
los terceros que pudieran colaborar con nosotros.

Apartado 7: Gestin de activos. Este apartado propone contar con un inventario

detallado de activos que recoja sus funcionalidades. Adems, establece
pautas para el uso responsable y adecuado de los mismos. Este apartado recoge
adems la necesidad de contar con un procedimiento de tratamiento de la clasificacin,
as como las medidas de seguridad que deberan considerarse en funcin de la
clasificacin de estos.

Apartado 8: Recursos humanos. Dividido en tres controles, establece las medidas

deseguridad que deberan considerarse en cada una de las fases de desempeo de trabajo
(definicin del puesto, desempeo de las funciones y a la finalizacin o cambio del
puesto de trabajo).

Apartado 9: Seguridad fsica y ambiental. Las medidas de seguridad fsica y del e

ntornoquedan recogidas en dos controles de este apartado. Por una parte, se
establecen los requerimientos fsicos de los edificios, como el establecimiento de permetros
de seguridad, las zonas de carga o los controles fsicos de entrada y, por otra, la seguridad de
los equipos, considerando el suministro, la seguridad del cableado o el mantenimiento de los
mismos.

Apartado 10: Seguridad comunicaciones y operaciones. La operacin de

las comunicaciones debera seguir unos procedimientos adecuadamente,
estableciendo de manera clara las responsabilidades que, en materia de
operacin, deban considerarse. En este apartado se incluye tambin la supervisin de
los servicios que son contratados a terceros y la planificacin de los requisitos y necesidades de
seguridad de los sistemas.

Apartado 11: Control de accesos. Este apartado presenta las pautas

que debern tenerse en cuenta para el control de los accesos a las redes, a los
sistemas operativos y a las aplicaciones corporativas. As mismo, debern considerarse
qu privilegios son los adecuados para cada usuario o cules son las responsabilidades que el
usuario tiene para la proteccin de su puesto de trabajo.

Apartado 12: Adquisicin, desarrollo y mantenimiento de sistemas. Este sistema

propone que los sistemas debieran contar con unos requisitos de seguridad especficos que
abarcan desde la entrada de los datos hasta el control del software y las medidas de seguridad
de los procesos de desarrollo de software. En este apartado se considera adems el control de
las vulnerabilidades tcnicas.

Apartado 13: Gestin de incidentes. Deber establecerse cules son los canales d
ecomunicacin de eventos y debilidades y cmo ser el proceso de gestin de incidencias.

Apartado 14: Gestin de continuidad del negocio. Este apartado establece los
requisitos que deberan considerarse en relacin a garantizar la continuidad de los
servicios crticos del negocio.

Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garant
a delcumplimiento de las exigencias legales que cada organizacin
tiene. Adems, se incluyen en este apartado las consideraciones que deben
tenerse en cuenta en la auditora de los sistemas.