Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Análisis de Caso Simón II

    Cargado por

    cristian
    5 vistas8 páginas
    CASO SIMON 2

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    CASO SIMON 2

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas8 páginas

    Análisis de Caso Simón II

    Cargado por

    cristian
    CASO SIMON 2

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    EVIDENCIA INFORME

    “Análisis de caso: Simón II”

    Siguiendo con el caso de Simón, él ha determinado que de acuerdo con los


    resultados obtenidos en la organización tecnológica de su empresa, ha decidido
    contratarte como asesor para que lo ayudes a identificar cuáles son los activos de
    información presentes y que normas de seguridad informática (vulnerabilidad en
    confidencialidad, integridad y disponibilidad) están siendo utilizadas.

    Activos de información

    Un activo de información principalmente a cualquier conjunto de datos creado o


    utilizado por un proceso de la organización, así como el hardware y el software
    manipulado para su procesamiento o almacenamiento, los servicios utilizados para
    su transmisión o recepción y las herramientas y/o utilidades para el desarrollo y
    soporte de sistemas de información.

    Lo primero que debemos hacer es el inventario de activos de la organización de


    Simón y este debe ser actualizado a fin de proteger todos los activos en términos
    de su confidencialidad, Integridad, Disponibilidad.
    Activos puros

     Datos digitales: Bases de datos, documentaciones como manuales y/o


    instructivos del manejo de datos financieros, correos electrónicos, la base
    de datos de los clientes, algunas aplicaciones.

     Activos tangibles: Computadores, impresoras, fotocopiadoras, libros en los


    que llevan información manualmente, llaves de la oficina, el correo
    tradicional y el fax, los personales y financieros.

     Activos intangibles: Los conocimientos técnicos de los empleados,


    relaciones y secretos comerciales, productividad, la imagen corporativa de la
    empresa, la experiencia.
     Software de aplicación: Los programas como pueden ser las aplicaciones
    ofimáticas, herramientas de desarrollo, presentaciones automatizadas, los
    navegadores de internet, administradores de bases de datos y programas de
    productividad.

     Sistemas operativos: Este es el Windows licenciado que se instaló en las


    computadoras.

    Activos físicos

     Infraestructura: Están constituidos por máquinas, equipos, edificios,


    escritorios, sillas, aire acondicionado, extintores, cableado de la red y otros
    bienes de inversión adquiridos por la organización.
     Controles de entorno: Alarmas, alimentadores de potencia, red, supresión
    contra incendio, controles de entrada que aseguren el permiso de acceso
    sólo a las personas que están autorizadas.

     Hardware: Equipos de oficina (PC, portátiles, servidores, dispositivos


    móviles, fax.)

     Activos de servicios: Conectividad a internet, mensajería instantánea,


    servicios de mantenimiento.
    Activos humanos

     Empleados: Personal informático (administradores, webmaster,


    desarrolladores, etc.), abogados, auditores, etc.

     Externos: Contratistas, trabajadores temporales, proveedores, entre otros.

    Identificar los activos, determinaremos el daño que puede causar el activo si éste,
    es deteriorado en disponibilidad, integridad y confidencialidad, asignándole un valor
    evaluando el daño del activo frente:

    Los aspectos a considerar pueden ser los daños como resultado de:

     Violación de legislación aplicable


     Reducción del rendimiento de la actividad
     Efecto negativo en la reputación
     Pérdidas económicas
     Trastornos en el negocio

    Normatividad de la Seguridad Informática

    El Sistema de Gestión de la Seguridad de la Información preserva


    la confidencialidad, la integridad y la disponibilidad de la información, mediante la
    aplicación de un proceso de gestión del riesgo, y brinda confianza a las partes
    interesadas acerca de que los riesgos son gestionados adecuadamente

    Las normas de seguridad pueden ser utilizadas y se le recomiendan a la


    organización de simón son:
    ISO/IEC 27001

    El estándar para la seguridad de la información ISO/IEC-27001 (Information


    technology – Security techniques – Information security management systems –
    Requirements) fue aprobado y publicado en 2005 por la International Organization
    for Standardization y por la International Electrotechnical Commission,
    especificando los requisitos necesarios para establecer, implementar, mantener y
    mejorar un sistema de gestión de la seguridad de la información (SGSI),
    manteniendo tres características esenciales.

     Confidencialidad. La información sólo debe ser vista por aquellos que tienen
    permiso para ello, no debe poder ser accedida por alguien sin el permiso
    correspondiente.

     Integridad. La información podrá ser modificada solo por aquellos con


    derecho a cambiarla.

     Disponibilidad. La información deberá estar disponible en el momento en


    que los usuarios autorizados requieren acceder a ella.

    Es precisamente este sistema el que recibe el nombre de Sistema de Gestión de


    Seguridad de la Información, que es el punto central de la norma pues básicamente
    nos exige que cada organización que cumpla con ISO-27001 lleve a cabo cuatro
    grandes actividades:

     Establecer el sistema.
     Implementar y operar el sistema.
     Mantener y mejorar el sistema.
     Monitorear y revisar el sistema.
    Está formada por cuatro fases que se deben implementar constantemente para
    reducir los riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la
    información. Estas fases son:

    Fase de planificación
    Fase de ejecución
    Fase de seguimiento
    Fase de mejora

    ISO/IEC 27005

    Reemplaza a la norma ISO 13335-2 “Gestión de Seguridad de la Información y la


    tecnología de las comunicaciones”. La norma fue publicada por primera vez en junio
    de 2008, aunque existe una versión mejorada del año 2011.

    El riesgo se define como una amenaza que explota la vulnerabilidad de un activo


    pudiendo causar daños. El riesgo se encuentra relacionado con el uso, propiedad,
    operación, distribución y la adopción de las tecnologías de la información de la
    empresa. Aunque no existe un método concreto de cómo gestionar riesgos, se
    recomienda utilizar un proceso estructurado, sistemático y riguroso de análisis de
    riesgos para la creación del plan de tratamiento de riesgos.

    ISO/IEC 27008

    Es un estándar que suministra orientación acerca de la implementación y operación


    de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública
    como privada que lleve a cabo revisiones relativas a la seguridad de la información
    y los controles de seguridad de la información.

    También podría gustarte