UNIVERSIDAD COOPERATIVA DE COLOMBIA

GESTIÓN DE SEGURIDAD INFORMÁTICA

TÉCNICAS DE LA SEGURIDAD
9 DE AGOSTO 2019
SERGIO DAVID ZULUAGA PÉREZ
OSCAR GOMEZ REBOLLO

A.6.1.2 SEPARACIÓN DE DEBERES

Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir la posibilidad
de modificación no autorizada o no intencional, o en uso indebido de los activos de la
organización

Este control se estaría violando si en una empresa x no se asignan herramientas de trabajo (pcs)
por departamentos, dividiendo las responsabilidades, evitando de esta manera el ingreso de
personas ajenas a la información que se valla a tratar previniendo que esta sea modificada,
cambiada o borrada sin autorización

Un ejemplo puede ser una empresa donde el administrador del sistema gestor de la seguridad
de la información no establezca limites en las cuentas de los usuarios empleados o clientes y
puedan esto acceder a información privada, o que toda la información de todos los
departamentos este guardada en un solo pc y cualquiera pueda acceder a ella

A.6.2.1 POLÍTICA PARA DISPOSITIVOS MÓVILES

Se deben adoptar una política y unas medidas de seguridad de soporte, para gestionar los
riesgos introducidos por el uso de dispositivos móviles

Este control debe ir incluido en los controles A.5.1.1 Y A.5.1.2 donde se le informa a los
funcionarios y se hace revisión de las políticas para la seguridad de la información donde se
documentan las políticas que se deben adoptar con respecto al ingreso y uso de móviles que
puedan atentar contra la seguridad de la información
Un ejemplo es una persona que tenga un cargo publico en la registraduría donde se prohíba el
uso de dispositivos electrónico que puedan grabar información sensible acerca de los usuarios

A.7.3.1 TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO

La responsabilidad y los deberes de seguridad de la información que permanecen validos

después de la terminación o cambio de empleo se deben definir, comunicar al empleado y se
deben hacer cumplir

Un ejemplo sería el caso una persona que maneja la cartera de una empresa al momento se
cambiar de empleo le hacen saber que no puede difundir la información que ya conoce de esta
porque podría afectar a su antigua empresa y beneficiar a la nueva

A.8.2.1 CLASIFICACIÓN DE LA INFORMACIÓN

La información se debe clasificar en función de los requisitos legales, valor, criticidad y

susceptibilidad a divulgación o a modificación no autorizada

En relación con el control A.6.1.1 de roles y separación de responsabilidades la información se

debe separar según sea pertinente para quien la gestione evitando así la divulgación o
manipulación de personal no autorizado un ejemplo puede ser un funcionario de admisiones
con privilegios de cartera pudiendo este condonar matriculas a recién admitidos ilícitamente

A.9.1.1 POLITICAS DE CONTROL DE ACCESO

Se debe establecer, documentar y revisar una política de control de acceso con base en los
requisitos del negocio y de seguridad de la información

En este control se asignan las políticas de acceso a la información o de ingreso de datos de forma
segura un ejemplo es cuando una entidad bancaria te recomienda no hacer transferencias
atreves de redes públicas y abiertas

A.9.4.3 SISTEMA DE GESTION DE CONTRASEÑAS

Los sistemas de gestión de las contraseñas deben ser interactivos y deben asegurar la calidad de
las contraseñas
Un ejemplo de la implementación de este control es cuando el sistema interactúa con los
usuarios sugiriendo un cambio de contraseña y asegura la calidad de las mismas recomendando
el uso de mayúsculas, minúsculas, Números y signos