FECHA: 09/06/18

Universidad Tecnológica de
México
MAESTRÍA:
Seguridad en Tecnologías de la Información.

MATERIA:
Controles de Criptografía de Seguridad.

Nombre y matricula:
José Manuel Moncivais Santos 15329102

Nombre del Profesor:

González Oswaldo Rojas Nieto

PRESENTACIÓN:
Implementación de un proceso de seguridad
(criptografía) para Bicicletas de México

Ciudad de México Junio 2018, Campus Marina

1
 ÍNDICE

Introducción………………………………..…...….……………………3
Objetivos…………………………………..…...….………………….…4
Selección de la organización………………………….……..…...…..5
Roles y responsabilidades de la organización……………………...7
Clasificación de la información de inventarios activos más
Importantes...………………………………………………………….10
Niveles de clasificación….…………..……………………………….11
Tablas de Confidencialidad e Integridad….……..…..……………..12
Tabla de Disponibilidad...…………………....................................13
Etiquetado de Activos de la Información…….……………………..14
Tabla de Etiquetado de Activos de Información………….………..15
Manejo y tratamiento seguro de la Información………………….. 16
Recomendaciones…..……………………......................................23
Conclusiones…………………………………………………..………24
Glosario…………………………………………………………...……25
Referencias………………………..…………………………………..26

2
 INTRODUCCIÓN

Los activos de información como impresoras, aplicaciones, equipos de cómputo,

servidores, empleados generan y reciben información, por ende son un activo que
debe ser clasificado por la compañía.

Por lo cual se dictan disposiciones generales para la protección de datos personales

de acuerdo a esta normativa (ISO 27001) se definen los siguientes tipos de activos:

 Recursos de información físicos.

 Recursos de información digitales.
 Activos físicos
 Servicios.

La Seguridad Informática establece controles de operación a los sistemas de

información desde todas sus aristas, tratando de prevenir y atacar sus
vulnerabilidades, teniendo como pilares fundamentales la integridad, disponibilidad
y confidencialidad de la información que en ellos se procesa. En tanto la información
debe de cumplir con todos los atributos necesarios para considerarse un recurso
básico y crítico para la organización.

Las acciones generadas por una mala implementación y evaluación de estos

controles, pueden estar relacionadas con figuras convencionales tales como: el
desconocimiento, la desorganización, dispersión de criterios, carencia de personal
que inspeccione o dirija la actividad sistemáticamente, sirviendo de contrapartida a
los especialistas informáticos y de seguridad informática de la organización.

3
 OBJETIVOS

A la empresa Bicicletas de México se le realizará un análisis para detectar las

principales vulnerabilidades informáticas que se encuentran en la organización.

Los aspectos que se tomaran en consideración para la revisión según la IS027002:

 Confidencialidad: Asegura que el acceso a la información está

adecuadamente autorizado.
 Integridad: Salvaguarda la precisión y completitud de la información y sus
métodos de proceso
 Disponibilidad: Asegura que los usuarios autorizados pueden acceder a la
información cuando la necesitan.

Con los resultados obtenidos se entregara un escrito donde podrán verse las
vulnerabilidades a las que están expuestos en materia de la información, sistemas
operativos (software) y hardware, así como las recomendaciones necesarias para
su corrección.

Se recomendara un método criptográfico con el cual podrán tener seguro su

información más importante de la compañía.

4
 SELECCIÓN DE LA ORGANIZACIÓN.

Bicicletas de México es una empresa mexicana que fue fundada en 1951, la cual
comenzó a operar con la marca BMS y otros modelos bajo la licencia de Raleigh
Industries Limited, la marca más antigua y prestigiada de bicicletas del mundo.

A partir del año de 1986, Grupo Inversora Bursátil adquiere la mayor de las acciones
de Bicicletas de México, iniciándose una nueva era de bicicletas en México, que se
consolida al formar parte de Grupo Carso.

Trabajaremos con un sistema de gestión de la seguridad de la información que nos

servirá como una herramienta y permitirá conocer, gestionar y minimizar los posibles
riesgos que pueda ver en contra de la información de la organización (BIMEX).
Vamos a diferenciar dos términos que ayudaran a separar los diferentes estados
que encontramos en nuestra organización seguridad de la informática y seguridad
de la información.
La primera se refiere de las infraestructuras de las tecnologías de la información, y
comunicación que soporta en BIMEX y la segunda habla de la protección de la
información, que son fundamentales para la organización.
Ejemplos de estos activos encontramos correos electrónicos, páginas web,
imágenes bases de datos, contratos, documentos físicos etcétera.
Con lo antes expuesto podríamos garantizar la seguridad de la información con la
ayuda. Esta metodología ayudara a analizar y ordenar la estructura de los sistemas
de la información, después facilitara los procedimientos para poder mantener la
seguridad de su información y permitirá medir la eficacia de las medidas tomadas.
Con esto podremos proteger a BIMEX frente a ciertas amenazas y riesgos que
puedan poner en peligro la información.

5
La confidencialidad implica el acceso a la información de quienes estén autorizados.
La integridad mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
La disponibilidad acceso a la información y los sistemas de tratamiento por parte de
los usuarios autorizados.
El control son los procedimientos, las prácticas y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por debajo
del nivel del riesgo asumido.
Con el uso de la norma ISO/IEC 27001 permitirá el impacto de riesgos sin necesidad
de realizar grandes inversiones en software, y sin gran cantidad de personal.
Nuestro análisis técnico de seguridad será una etapa importante para detectar los
riesgos.

6
 Roles y responsabilidades de la organización
Bicicletas de México.

ROL DESEMPEÑA PUESTO RESPONSABILIDAD

Es el responsable final de las
acciones que se lleven a cabo
dentro de la empresa, de su
desempeño y su eficiencia.

DIRECCIÓN Su función principal es la de

CEO supervisar y velar porque la
GENERAL estrategia definida en la
empresa cumpla con la
consecución de los objetivos de
la organización, además de
sembrar los principios y pilares
básicos a seguir dentro de la
empresa.
Es el Director Financiero.

Toma las decisiones de

financiación propia o
endeudamiento de la empresa
en base al coste de capital y de
la deuda.

Máximo responsable del control

de la tesorería.
CFO CONTRALORÍA
Análisis del resultado de
operación y de gestión de la
empresa.

Generar indicadores y ratios

para controlar la evolución de la
empresa.

Aconseja sobre la viabilidad de

las inversiones y de protegerse

7
 frente a los riesgos de las
operaciones de venta.

En la organización se encuentra
encargado de lo que suceda en
la parte tecnológica y toma
decisiones en los cambios que
puedan darse para la mejora.

Es el cargo de máxima
responsabilidad en todos los
procesos tecnológicos de la
compañía.

La función principal que se

desea es alinear la seguridad de
la información con los objetivos
de negocio. De esta forma se
garantiza en todo momento que
la información de la empresa
está protegida adecuadamente.

Otra forma de generalizar las

responsabilidades son:

Generar e implantar políticas de

SEGURIDAD seguridad de la información.

CISO DE LA Garantizar la seguridad y

privacidad de los datos.
ORGANIZACIÓN Supervisar la administración del
control de acceso a la
información.

Supervisar el cumplimiento
normativo de la seguridad de la
información.

Responsable del equipo de

respuesta ante incidentes de
seguridad de la información de la
organización.

8
 Supervisar la arquitectura de
seguridad de la información de la
empresa.

Una de obligaciones impuesta

para esa área es también la
seguridad dentro de la
organización.

Tener una visión de negocio que

comprenda los riesgos que
afronta la organización y cómo
tratarlos.

Entender la misión y los

RELACIONES objetivos de la empresa y
CSO INDUSTRIALES asegurarse de que todas las
actividades son planificadas y
ejecutadas para satisfacer
dichos objetivos.

Estar al tanto de los cambios

normativos, debiendo informarse
de las consecuencias para las
actividades de la organización y
proponiendo las medidas
oportunas para adecuarse al
nuevo marco normativo.

9
Clasificación de la información de inventarios activos más importantes.
(BIMEX)

Todos los activos se deben identificar de manera adecuada dentro de los inventarios
activos, clasificación y publicación.
Propiedades de los activos de información.
La propiedad de los activos se identifica en la matriz de inventarios de activos,
clasificación y publicación de la información, de acuerdo a:

 Responsable de la Información o Propietario.

 Administrador de la Información.
Atributos de los activos de información en cuanto a su seguridad.
Activos de información reciban el nivel de protección adecuada, de acuerdo con su
clasificación, en base a los atributos de INTEGRIDAD, CONFIDENCIALIDAD y
DISPONIBILIDAD de la información teniendo en cuenta la importancia del activo y
su criticidad, estos valores se calculan automáticamente.
La norma ISO 27001 asegura un alto nivel de protección a los activos de
información. La información tiene que clasificarse para indicar el grado de
necesidad, de prioridad y de protección.
Se puede clasificar según el valor, los términos legales, la sensibilidad y la criticidad
de la compañía.
Por lo que le damos la siguiente clasificación según nivel de criticidad.
1. Documentos de carácter electrónico. La información que catalogamos en
este punto están los documentos fiscales de la compañía que se encuentran
de forma electrónica (pagos, hojas de cálculo, cartas, comprobantes etc.).
2. Documentos en Papel. Actualmente en la compañía se encuentra bastante
información física (papel) de varias áreas de la compañía sin un buen
resguardo de seguridad.
3. Bases de Datos. La compañía cuenta en dos áreas bases de datos
importantes para su cuidado una es en contabilidad y en facturación.
4. Correos Electrónicos. Toda la compañía tiene acceso de correos externos,
así hacen uso para él envió de correos a cualquier cuenta externa ya sea de
trabajo o personal.
5. Medios de almacenamiento. Se encuentra en los discos duros de los
usuarios y servidor.
6. Accesos WEB. La mayoría de los usuarios tienen acceso a la WEB de
manera ilimitada si ninguna restricción.

10
Muchas veces la implantación de dichos controles específicos podría ser delegada
por el propietario de estos activos. No obstante el propietario permanece como
responsable de la adecuada protección de los activos.

Niveles de clasificación.
(BIMEX)

Un sistema de clasificación definido se basa en la confidencialidad en la

selección e incluye el tratamiento de la información en cuanto a la
Confidencialidad, la Integridad y la Disponibilidad de cada activo.
Para cada propiedad se estableció un criterio para el tratamiento adecuado del
activo. Se definió tres niveles que permiten determinar el valor general del activo
en la compañía: Alta, Media y Baja, con la finalidad de cómo deben ser tratados
de manera prioritaria.
Criterios de nuestra clasificación:

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

INFORMACIÓN ALTA ALTA

PUBLICA
CONFIDENCIAL (A) (1)

INFORMACIÓN MEDIA MEDIA

PUBLICA PRIVADA (M) (2)

INFORMACIÓN BAJA BAJA

PUBLICA (B) (3)

11
 Clasificación de acuerdo a la confidencialidad.
CONFIDENCIALIDAD ACTIVOS PROPIETARIO

1. Documentos de carácter 1. Contraloría.

INFORMACIÓN electrónico (información financiera de
PUBLICA la compañía). 2. Contabilidad
CONFIDENCIAL General y Ventas
2. Bases de datos (contabilidad
electrónica y facturación electrónica).

3. Documentos en Papel 3. Gerentes de cada

(documentación archivada de la departamento.
compañía).
4. Toda la compañía
INFORMACIÓN
4. Correos electrónicos (tanto interno hace uso de cuenta de
PUBLICA PRIVADA
como externo). correo.
5. Medios de almacenamiento (discos 5. Área de sistemas y
duros usuarios y servidor). usuario final.

6. Todos los usuarios

INFORMACIÓN
6.Acceso WEB tienen acceso a la
PUBLICA
WEB.

Clasificación de acuerdo con la integridad.

INTEGRIDAD ACTIVOS

1. Documentos de carácter electrónico (información financiera de la

compañía hojas de cálculo etc.).
A 2. Bases de datos (contabilidad electrónica y facturación
electrónica).

M 5. Medios de almacenamiento (discos duros usuarios y servidor).

3. Documentos en Papel (documentación archivada de la compañía).

B 4. Correos electrónicos (tanto interno como externo).

6.Accesos WEB

12
 Clasificación de acuerdo a la disponibilidad.
DISPONIBILIDAD ACTIVOS

1. Documentos de carácter electrónico (información financiera de

la compañía, hojas de cálculo etc.).

1 2. Bases de datos (contabilidad electrónica y facturación

electrónica).
(ALTA)
5. Medios de almacenamiento (discos duros usuarios y
servidor).

3. Documentos en Papel (documentación archivada de la

2 compañía).
(MEDIA) 4. Correos electrónicos (tanto interno como externo).

3
6.Accesos WEB
(BAJA)

13
 Etiquetado de activos de Información.
(BIMEX)

 Se etiquetaran todos los activos de información que estén clasificados

según las tablas de Confidencialidad, Integridad y disponibilidad.
 Se etiquetara el nivel de clasificación en relación a Confidencialidad,
Integridad y disponibilidad.
 Si un activo de información en formato impreso no se encuentra
etiquetado debe ser tratado en todos sus niveles como NO
CLASIFICADO.
 Cada activo de información debe ser etiquetado teniendo en cuenta el
esquema de clasificación generado con anterioridad en este documento
de la siguiente forma:
{CLA_CONF} - {CLA_INT} - {CLA_DISP}.

 Para nuestros activos clasificados en confidencialidad como

INFORMACIÓN PUBLICA CONFIDENCIAL utilizaremos las siglas IPC,
INFORMACIÓN PUBLICA PRIVADA usaremos IPP y para la
INFORMACIÓN PUBLICA IP.
 Para los activos clasificados en integridad como ALTA etiqueta A, MEDIA
M y BAJA, B.
 Para los activos clasificados en disponibilidad como ALTA se utilizara la
etiqueta 1, MEDIA, 2 y BAJA, 3.
 Para los conceptos de nuestros activos usaremos las siguientes siglas:
1. Documentos de carácter electrónico: DE
2. Bases de datos: BD
3. Documentos en Papel: DP
4. Correos electrónicos: CE
5. Medios de almacenamiento: MA
6. Accesos a la WEB: WEB

Con estas combinaciones ya podremos hacer nuestro etiquetado de nuestra

clasificación trabajada.

14
 Etiquetado de activos de Información.
(BIMEX)

CONFIDEN- ACTIVO INTEGRI- ACTIVO DISPONI- ACTIVO ETIQUETA

CIALIDAD DAD BILIDAD

1. Documentos IPC-DE-A-1
electrónicos (DE). 1. DE 1. DE
IPC A 2. BD 1 2. BD IPC-BD-A-1
2. Bases de datos 3. MA
(BD). MA-1

3. Documentos en IPP-DP-2
Papel (DP).
IPP-CE-2
4. Correos 4. DP
IPP M 3. MA 2 IPP-MA-M
electrónicos (CE). 5. CE
5. Medio
almacenamiento (MA).

6. Accesos WEB IP-WEB-B-3

(WEB). 4. DP
IP B 5. CE 3 6.WEB DP-B
6. WEB
CE-B

15
 Manejo y tratamiento seguro de la Información.
(BIMEX)

Después a ver obtenido nuestra clasificación y etiquetar los activos de la

compañía nos enfocaremos al tratamiento y al buen manejo de la información
con una serie de recomendaciones para los diferentes activos de mayor
importancia localizados.
Queremos reducir el riesgo que representan los hackers, las amenazas internas
y otros ataques maliciosos en la empresa BIMEX, debe utilizar el cifrado para
proteger los datos sensibles en cualquier entorno donde se encuentren, en este
caso en las instalaciones, que es donde se encuentran de forma permanente.
Esto incluye los datos en reposo en aplicaciones en servidores de archivos, en
bases de datos, y en el almacenamiento en red, así como los datos en
movimiento a través de su red.
Trataremos la solución con algún software que nos ayudara a llevar a cabo estas
necesidades (riesgos y vulnerabilidades) debido a que estará al alcance de la
compañía en costos.

16
SafeNet ProtectFile ofrece un cifrado transparente y automatizado de los datos
confidenciales a nivel del sistema de archivos en empresas distribuidas, que
incluye servidores Direct Attached Storage (DAS), Storage Área Network (SAN)
y Network Attached Storage (NAS) con protocolos para compartir archivos
CIFS/NFS.
La solución de cifrado de archivos empresariales protege los datos no
estructurados en servidores, tales como los números de tarjetas de crédito,
información personal, registros, contraseñas, configuraciones y más en una
amplia variedad de archivos. Los ejemplos incluyen documentos de
procesadores de palabras, hojas de cálculo, imágenes, archivos de bases de
datos, exportaciones, registros y copias de seguridad, así como
implementaciones de datos masivos (big data). SafeNet ProtectFile se puede
implementar en las instalaciones, de forma virtual, en nube pública y en entornos
híbridos.
Beneficios.
Colaboración protegida
• Colabore con otros empleados, sabiendo que únicamente
los usuarios autorizados y autenticados podrán ver su
información más delicada.
• Cifre su información de forma transparente, sin interrumpir
las operaciones de sus negocios, su rendimiento de
cómputo o la experiencia de su usuario final.
SafeNet ProtectFile proporciona seguridad para datos a
través de la automatización total del cifrado de datos no-
estructurados en servidores para archivos y unidades de red.
Trabajando en conjunto con un dispositivo SafeNet DataSecure, ProtectFile
combina políticas de cifrado y control de acceso para proteger a los fólderes y
archivos que residen en los servidores y unidades de red. Al elegir ProtectFile,
BIMEX puede facilitar la colaboración y las nuevas modalidades de productividad
con la confianza de que sus archivos siempre estarán seguros. Cuando una
organización sabe que su información confidencial está protegida de amenazas
internas y externas, éstas pueden enfocarse en el crecimiento, adquirir
conocimientos a través de una colaboración segura y disfrutar un incremento en
su productividad.

17
 Gestión centralizada.

El dispositivo DataSecure proporciona una gestión de llaves y políticas

centralizada, simplificando la administración y fortificando la seguridad. Los
administradores pueden establecer políticas para poner candados a ciertos
fólderes y archivos, concediendo acceso únicamente a individuos autorizados.
Cuando un folder es seleccionado para protección, cualquier archivo que sea
depositado en dicho folder es cifrado de forma automática.
Seguridad integrada, cobertura exhaustiva.

ProtectFile es activado en paralelo a un dispositivo SafeNet DataSecure,

ofreciendo una combinación inigualable de amplia cobertura, seguridad robusta
y escalabilidad. ProtectFile cifra la información más delicada en muchos tipos de
archivos, como documentos de procesadores de palabras, hojas de cálculo,
imágenes, diseños y más.
Especificaciones Técnicas.
Cifrado de archivos y fólderes
• Unidades de disco de servidores y red
• Servidores de archivos (Microsoft y Novell, Netware, UNIX
[Samba], más)
• Instalación remota y silenciosa para una
fácil activación en entornos de cualquier
tamaño.
Algoritmos de cifrado
• FIPS 140-2 AES
Plataformas que soporta
• Microsoft Windows y Linux
Interoperabilidad
• Servidor para Terminales Microsoft Windows, DFS (Sistema de
Archivos Distribuidos), Global Catalog, y Novell.
Funciones.
Protección centrada en datos – Cifrado granular a nivel de archivos y fólderes a
lo largo del ciclo de vida de la información.
Algoritmos de cifrado comprobados – Proporciona un cifrado confiable de todos sus
archivos de datos y llaves de autenticación, usando algoritmos de cifrado
comprobados.
Acceso controlado – Asegura la conformidad con regulaciones y reduce riesgos
estableciendo políticas para separar deberes administrativos.
Instalación remota – Goce una activación rápida y costo-eficiente en entornos tanto
grandes como pequeños, utilizando la vía remota y silenciosa para la instalación y
la interface de script.

18
Aquí le presentamos una propuesta económica del producto para su necesidad de
lo analizado en activos en software.
SafeNet ProtectFile: Licencia de suscripción (1 año) + 1 Year Plus Support Plan -
1 licencia

Categoría: Aplicaciones de seguridad - cifrado de datos.

Precio licencia: $67225.62 M.N. (Volumen, no para

producción / 1-10 licencias).

Soporte incluido: 1 Año Plan Soporte.

Plataforma: Linux, Windows.

Servicio y mantenimiento: Soporte técnico.

Correos Electrónico y Acceso a la WEB

Para el caso de los correos electrónicos y pagina web se recomienda el uso de un
firewall para el control de lo envían y reciben los usuarios de correos y un filtrado de
las paginas a las cuales el usuario tendrá acceso.
Recomendamos el uso de herramientas SYMANTEC que
nos ayudara para este control de la siguiente manera:

Aislamiento web de Symantec

Prevenir las amenazas de malware y de phishing, y permitir
un amplio acceso online mediante el aislamiento del tráfico
con riesgo potencial. La combinación del aislamiento web y
Web Gateway de Symantec, posibilitada por la red Symantec
Global Intelligence Network, proporciona una capa de
aislamiento que protege a los usuarios de amenazas
procedentes de URL y sitios web sin categorizar con perfiles
de riesgo que pueden ser no seguros.

 Enfoque patentado que impide la ejecución de cualquier código de sitio web

en los dispositivos de los usuarios.

 Experiencia de usuario transparente y fluida.

 Acceso a documentos web mediante aislamiento e inspección de

documentos con soluciones de prevención de amenazas como el análisis de
Symantec Content and Malware.

19
  Estrechamente integrado con Symantec Secure Web Gateway.

Usuarios con privilegios protección adicional frente a amenazas de Internet.

Aislar el tráfico web de directores ejecutivos y otros cargos importantes frente a los
riesgos de Internet.

Algunos grupos de usuarios, como en los departamentos de TI o de contabilidad,

tienen derechos de acceso con privilegios que pueden representar un riesgo
elevado si son objeto de un ataque. El aislamiento proporciona más seguridad a
dichos usuarios para proteger sus dispositivos y el acceso restringido a los sistemas
importantes y a los datos confidenciales.

Aislar la navegación web de los usuarios con privilegios concediéndoles el acceso

a Internet que necesitan y, al mismo tiempo, protegiendo sus dispositivos.

Ataques de phishing generando vínculos de correo electrónico inofensivos.

Prevenir el robo de credenciales y las infecciones de malware.

El aislamiento web protege frente a mensajes de correo electrónico con vínculos a

sitios web maliciosos para que no puedan distribuir malware, ransomware ni realizar
otros tipos de ataques. Asimismo, mediante la generación de páginas de solo
lectura, impide que los usuarios envíen credenciales corporativas y demás
información confidencial a sitios web desconocidos y maliciosos.

 Impedir que los usuarios envíen contraseñas corporativas e información

confidencial a sitios web maliciosos.

 Aislar los vínculos a sitios web maliciosos e impedir que el malware llegue
a los puntos finales.

 Proporcionar una experiencia de navegación sin problemas.

 Es compatible con todos los dispositivos sin necesidad de un agente.

 Integración sencilla con Symantec Secure Web Gateway.

Secure Web Gateway de Symantec

Protección avanzada en Internet. Symantec Advanced Secure Gateway combina

las funciones de pasarela de seguridad web de Symantec ProxySG con la
inteligencia de Symantec Content Analysis para proporcionarle una solución de
seguridad web potente y unificada, que le ofrece protección de primera clase contra

20
las amenazas. Advanced Secure Gateway es un proxy ampliable diseñado para
proteger sus comunicaciones web y acelerar sus aplicaciones empresariales. La
arquitectura exclusiva del proxy le permite supervisar, controlar y proteger el tráfico
de forma eficaz para garantizar una experiencia segura tanto en Internet.

 Controle el uso de Internet con un rendimiento óptimo de las aplicaciones.

 Establezca una «defensa de día negativo» contra las amenazas.

 Implemente un entorno de autenticación múltiple.

 Mejore la visibilidad del tráfico web cifrado.

 Consiga una integración sencilla con protección avanzada contra

amenazas.

 Total visibilidad y control de los accesos a Internet.

Documentos en papel.
Podemos dar dos opciones:
La digitalización y encriptación de documentos implica pasar documentación
física a formato digital. Son muchas las empresas que almacenan gran cantidad de
documentación que ocupa demasiado espacio y es difícil de consultar. Aunque este
proceso pueda resultar tedioso, una vez realizado puede suponer una ventaja
competitiva al hacer que la información sea accesible y segura.
Otro aspecto importante será el realizar una copia de seguridad de la
documentación digitalizada. Así, se facilitará el no perder la información en caso de
que se elimine el archivo digital. Esto supondrá tener otra versión de los documentos
que evitará futuros problemas ante la pérdida de información.
Servicio de Custodia y Gestión de Documentos.

La custodia de información se refiere a la práctica aplicada de archivar, controlar, y

supervisar los documentos importantes de una organización.

Esta gestión se lleva a cabo en centros de documentación acondicionados con los

más altos estándares ambientales, de infraestructura, seguridad y tecnología,
garantizándole la integridad y conservación de la información.

Incluye además, la indexación en un sistema de código de barras, el inventario, el

acceso en línea, la consulta y los servicios de entrega por demanda, así como la
destrucción de registros de acuerdo a los plazos establecidos por el cliente.

21
Seguridad. La gestión de documentos físicos requiere acciones distintas que la
gestión de sus homólogos electrónicos. Las empresas necesitan un equipo de
gestión de documentos capacitado para manipular registros físicos. El primer paso
en la custodia documental implica el proceso de identificación y autenticación,
generalmente a través de una cuestión de archivado y recuperación.

La gestión de documentos físicos requiere acciones distintas que la gestión de sus

homólogos electrónicos. Las empresas necesitan un equipo de gestión de
documentos capacitado para manipular registros físicos. El primer paso en la
custodia documental implica el proceso de identificación y autenticación,
generalmente a través de una cuestión de archivado y recuperación.

22
 RECOMENDACIONES

-El cifrado de la información:

Cifrado de bases de datos, cifrado de disco duro, cifrado de archivos y resguardo
de llaves.

-Control de Acceso
Cuestas Privilegiadas y Acceso a la red.

-Seguridad para el contenido

Control de la información DLP, Seguridad y filtrado Web y Prevención ante APT.

-Servicios
Radiografía de red y Auditoria de servicios.

23
 CONCLUSIONES.

El estudio que se hizo a la compañía BIMEX nos ha demostrado los riesgos y las
vulnerabilidades a las que se encuentran sus activos de la información, y aplicar los
tratamientos necesarios para el evitar alguna pérdida o robo de la información.
El cifrado de los datos nos será útil para proteger la información, así que es posible
cifrar la información contenida en Discos, Carpetas y archivos individuales, para
evitar el acceso no permitido. El cifrado también nos ayudara para evitar algún robo
de identidad o los fraudes bancarios.
Es importante hacer conciencia de nuestros activos en la organización de datos, y
que tan valiosos puede ser nuestra pérdida de información, nos puede hacer perder
en el aspecto monetario; México se encuentre en el país más atacado a nivel
Latinoamérica y a nivel mundial el número 8. En todos los niveles de organización
en México debería de ser de suma importancia, la información a todos los niveles.
Existen varias amenazas por lo que es importante tener precaución con lo que se
abre en internet y en correos que mandan personas desconocidas, ya que, es
posible que la computadora sea infectada con un virus y cause problemas a la
misma, tales como la pérdida total o parcial de la información, falsificación de los
datos, interferencia en el funcionamiento, por lo que es importante concientizar a
todo el personal de nuestras organizaciones ya que podrían provocar un gran
problema con la perdida de información.

24
 GLOSARIO.

AES

Advanced Encryption Standard. Es un esquema de cifrado por bloques, el AES

es uno de los algoritmos más populares usados en criptografía simétrica.

CIFS
Sistema común de archivos de Internet
CLA_CONF
Siglas utilizadas para etiquetar significado clasificación de la confidencialidad.
CLA_INT
Clasificación de la integridad.
CLA_DISP
Clasificación de la disponibilidad.
NFS
Sistema de archivos de red.

Firewall.
Un firewall es un dispositivo de seguridad de la red que monitorea el tráfico de red
entrante y saliente y decide si permite o bloquea tráfico específico en función de un
conjunto definido de reglas de seguridad.
Malware.
El término se utiliza para hablar de todo tipo de amenazas informáticas o software
hostil, y existen distintos tipos entre ellos nos encontramos con los virus, gusanos,
troyanos, keyloggers, botnets, spyware, adware, ransomware y sacareware.
Phishing.
Método que los ciber-delincuentes utilizan para engañarle y conseguir que revele
información personal, como contraseñas o datos de tarjetas de crédito y de la
seguridad social y números de cuentas bancarias.

25
Ransomware.
Restringe el acceso a su sistema y exige el pago de un rescate para eliminar la
restricción.

REFERENCIAS

AS/NZS 4360:1999 Estándar Australiano Administración de Riesgos.

DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIÓN PÚBLICA, Guía para la
Administración del Riesgo del Departamento Administrativo de la Función Pública
(DAFP). Disponible en web www.dafp.gov.co.

http://www.iso27000.es/download/doc_certificacion_all.pdf
Título: Certificación - doc_certificacion_all.pdf
Fecha: 10 de febrero de 2014 12:55:16 p.

México por debajo del promedio internacional en Seguridad Informática

https://www.cynthus.com.mx/blog/seguridad-de-la-informacion/mexico-y-la-
seguridad-infor Grupo Cynthus, Seguridad de la Información, 2017-05-03

https://www.esecforte.com/products/gemalto-safenet-authentication-solutions/
Título: Gemalto SafeNet Identity & Data Protection Solutions | Two Factor
Authentication.

https://www.symantec.com/es/es/solutions/internet-of-things
Título: Seguridad de Internet de las cosas | Symantec ES

http://www.comunidadbaratz.com/blog/archivo-fisico-y-archivo-electronico-una-
misma-necesidad-una-misma-solucion/
Título: Archivo físico y Archivo electrónico: una misma necesidad, una misma
solución.
Fecha: 09 de febrero de 2016.

26