JESÚS DANIEL MAYO

26-11-17
ANÁLISIS CASO SIMÓN II

Evidencia Informe
Análisis caso Simón II

Aprendiz
Jesús Daniel Mayo Vidal

Instructora
Mónica Yamile Burbano Criollo
Actividad de Aprendizaje No.3
Gestión de la Seguridad Informática - 21720170
Centro De Electricidad Y Automatización Industrial - CEAI
SENA Regional Valle – Cali, Colombia
Sábado 18 de noviembre de 2017
SENA – Servicio Nacional de Aprendizaje

Página 1 de 5
 JESÚS DANIEL MAYO
26-11-17
ANÁLISIS CASO SIMÓN II

3.4 Actividades de transferencia del conocimiento.

Informe: Análisis de caso Simón II

Siguiendo con el caso de Simón, él ha determinado que, de acuerdo con los resultados obtenidos en
la organización tecnológica de su empresa, ha decidido contratarte como asesor para que lo ayudes
a identificar cuáles son los activos de información presentes y que normas de seguridad informática
(vulnerabilidad en confidencialidad, integridad y disponibilidad) están siendo utilizada.

Para ello, realice lo siguiente:

1. Elabore un documento en Word donde mencione y explique los elementos identificados

como activos de información y normatividad de la seguridad informática en la empresa de
Simón.
2. Debe tener presente las normas ICONTEC en su última versión para la elaboración de
documentos escritos.

Antes de realizar cualquier modificación a la infraestructura de red de simón, es importante

mencionar y conocer qué es un activo de información.

Los activos de información, son datos o información propiedad de una organización. Esta se
almacena en cualquier tipo de medio físico o lógico y es considerada por la misma como
indispensable para el cumplimiento de los objetivos de la organización. Un activo de información en
el contexto de un SGSI y con base en la norma ISO/IEC 27001:2005 es: “algo a lo que una
organización directamente le asigna un valor y por lo tanto la organización debe proteger”
(Cárdenas, F s.f.).

Luego de tener claro este concepto se debe realizar un inventario de los activos de información que
son vitales para la organización, y la mejor manera de hacerlo es con todas las personas involucradas
en la empresa de Simón, de esta forma se analizará mejor el nivel de riesgo de la información.

 Activos Puros

 Datos Digitales: Bases de datos, documentaciones como manuales y/o instructivos del
manejo de ciertas aplicaciones, manejos financieros, legales, comerciales, entre otro.
 Activos Tangibles: Computadoras, impresoras, fotocopiadoras, libros en los que llevan
información manualmente, llaves de la oficina, el correo electrónico y el fax tanto
personales como corporativos.
 Activos Intangibles: Conocimiento, relaciones y secretos comerciales, licencias,
patentes, experiencias, conocimientos técnicos, imágenes
corporativas/marca/reputación comercial/confianza de los clientes, ventaja
competitiva, ética, productiva.
 Software de Aplicación: Software propietario desarrollado por la organización,
software de cliente (compartido y aplicaciones de escritorio), planificación de recursos
empresariales, herramientas de desarrollo, entre otros.
 Sistemas Operativos: Servidores físicos, licencias de éstos (OS), computadoras de
escritorio, computadoras portátiles, dispositivos de red, BIOS, Firwares, entre otros.

Página 2 de 5
 JESÚS DANIEL MAYO
26-11-17
ANÁLISIS CASO SIMÓN II

 Activos Físicos

 Infraestructura: Edificios, centros de datos, habitaciones de equipos y servidores,

armarios (racks) de red o cableado, oficinas, escritorios, cajones, circuito cerrado de
televisión (CCTV), dispositivos de autenticación y control de acceso al personal.
 Controles de Entorno: Equipos de alarma, supresión contra incendio, sistemas de
alimentación ininterrumpida (SAI), aires acondicionados, entre otros.
 Hardware: Equipos de oficina PC, portátiles, servidores, dispositivos de red, móviles,
fax, etc.
 Activos de Servicio: Servicios de autenticación de usuarios y administración de procesos
de usuario, enlaces (URLs), firewalls, servicios de red en general, entre otros.

 Activos Humanos

 Empleados: Personal, directivos, directores ejecutivos, arquitectos de software y

desarrolladores, testers, administradores de sistemas, administradores de seguridad
informática y física, operadores, abogados, auditores, usuario con poder y expertos en
general.
 Externos: Trabajadores temporales (contratistas), consultores externos o asesores
especialistas, proveedores y socios.

Una vez se tienen identificados los activos con los cuál cuenta la empresa y determinar el daño que
pueden causar si el activo fuera deteriorado en cualquiera de los tres pilares de la seguridad de la
información (disponibilidad, confidencialidad y disponibilidad).

Teniendo en cuenta la información recolectada anteriormente se puede decir que los daños que
podrías sufrir estos activos son:

 Violación de legislación aplicable.

 Reducción del rendimiento de la actividad.
 Efecto negativo en la reputación.
 Perdidas económicas.
 Trastornos en el negocio.

Esto debe ser evaluado periódicamente para así evitar que cualquiera de los pilares de la seguridad
de la información sea vulnerado.

Normatividad de la Seguridad de la Información

El sistema de gestión de la seguridad de la información preserva la confidencialidad, la integridad y

la disponibilidad de la información, mediante la aplicación de un proceso de gestión del riesgo, y
brinda confianza a las partes interesadas acerca de que los riesgos son gestionados adecuadamente.

Teniendo en cuenta eso y lo analizado anteriormente se recomienda a Simón implementar los

siguientes procesos en su empresa.

Página 3 de 5
 JESÚS DANIEL MAYO
26-11-17
ANÁLISIS CASO SIMÓN II

 ISO/IEC 27001: El estándar para la seguridad de la información ISO/IEC 27001 (Information

technology – Security techniques – Informations security management systems –
requierements) fue aprobado y publicado en 2005 por la International Organization for
Standardization y por la International Electrotechnical Commission, especificando los
requisistos necesarios para establecer, implementar, mantener y mejorar un sistema de
gestión de la seguridad de la información (SGSI), manteniendo tres características
esenciales, además este estándar se ocupa de la gestión de riesgos de la seguridad de la
información. La norma suministra las directrices para la gestión de seguridad de la
información en una empresa, apoyando particularmente los requisitos del sistema de
gestión de seguridad de la información definidos en ISO 27001

 Confidencialidad: La información solamente debe ser vista por aquellos que tienen
permiso para ello, no debe poder ser accedida por alguien sin el permiso
correspondiente.
 Integridad: La información podrá ser modificada sólo por aquellos con derecho a
cambiarla.
 Disponibilidad: La información deberá estar disponible en el momento en que los
usuarios autorizados requieren acceder a ella.

Este sistema recibe el nombre de Sistema de Gestión de Seguridad de la Información, cada

organización debe cumplir con la norma internacional ISO-27001 cuya norma está formada por
cuatro grandes pilares.

 Fase de Planificación (Plan)

 Fase de Ejecución (Do)
 Fase de Seguimiento (Check)
 Fase de Mejora (Act)

 ISO/IEC 27005:2008: Es un estándar que suministra orientación acerca de la

implementación y operación de los controles, es aplicable a cualquier tipo y tamaño de
empresa, tanto pública como privada que lleve a cabo revisiones relativas a la seguridad de
la información y los controles de seguridad de la información.

Página 4 de 5
 JESÚS DANIEL MAYO
26-11-17
ANÁLISIS CASO SIMÓN II

Bibliografía
Duarte, C. A. (2017). Evidencia-Informe-Analisis-de-Caso-Simon-II. Obtenido de scribd:
https://es.scribd.com/document/360015732/Evidencia-Informe-Analisis-de-Caso-Simon-II

García, J. M., & Agudelo, Y. P. (2017). Activos de información y normatividad de la seguridad de la

informática. Colombia: SENA.

Restrepo, L. G. (2016). Seguridad Informática. Obtenido de Gabriellequintero:

http://gabriellequintero.blogspot.com.co/2016/03/informe-analisis-de-caso-simon-
2_30.html

Página 5 de 5