GESTION DE LA SEGURIDAD INFORMATICA

ESTUDIO DE CASO SIMON PARTE 2

REAGAN ALEJANDRO HERNANDEZ GONZALEZ

C.C: 1.103.100.496

INSTRUCTOR:
LUIS ALBERTO OÑORO GUTIERREZ PROFESOR DIRECTOR

SENA

2019
 ACTIVOS DE INFORMACIÓN
RESPONSABILIDAD DE LOS ACTIVOS DE INFORMACIÓN
Se identifican los activos de información de mayor importancia asociados a cada Sistema de
Procesamiento de la Información en su respectivo proceso, con sus Responsables y su Ubicación,
para luego elaborar un inventario con dicha información.
El Inventario se deberá identificar, documentar y actualizar ante cualquier modificación de la
información y los Activos asociados con los Medios de Procesamiento. Este debe ser revisado con
una periodicidad no mayor a un (1) año.
La responsabilidad de realizar y mantener actualizado el inventario de activos de información es
de cada Responsable de proceso del Ministerio del Interior en compañía del Líder de Seguridad
de la Información.
El uso de los activos de información pertenecientes al Ministerio del Interior es responsabilidad
del propietario asignado; es su deber proteger y mantener la confidencialidad, integridad y
disponibilidad de los activos de información.
Clasificación de la Información
Para la Clasificación de la Información se debe tener en cuenta los criterios de Confidencialidad,
Integridad y Disponibilidad.

DEFINICIÓN DE LOS CRITERIOS DE CLASIFICACIÓN DE LA INFORMACIÓN:

USO PÚBLICO: Información que por sus características puede o debe estar a disposición de
cualquier persona natural o jurídica en el Estado Colombiano. Dentro de esta clasificación se
puede considerar: noticias, informes de prensa, información de rendición de cuentas,
información sobre trámites, normatividad.

USO INTERNO: Información cuya divulgación no causa daños serios al Ministerio del Interior y
su acceso es libre para los funcionarios a través de la intranet o de cualquier otro medio.

USO CONFIDENCIAL: Información cuya divulgación no autorizada puede afectar

considerablemente el cumplimiento de la misión del Ministerio del Interior. La divulgación de
esta información, requiere de la aprobación de su respectivo propietario. En el caso de terceros
rige el acuerdo de confidencialidad que exista entre el Ministerio del interior y el Fondo para la
Participación y el Fortalecimiento de la Democracia y el tercero.

USO SECRETO: Información que sólo puede ser conocida y utilizada por un grupo muy
reducido de Funcionarios, generalmente de la Alta Dirección del Ministerio, y cuya divulgación
o uso no autorizados podría ocasionar graves pérdidas al mismo, a Contratistas o a Terceros.

Sólo el Funcionario Responsable de la Información puede asignar o cambiar su nivel de

 clasificación, cumpliendo con los siguientes Requisitos Mínimos:

 Comunicárselo al Responsable del almacenamiento donde se encuentre el Activo de

Información.

ETIQUETADO Y MANEJO DE LA INFORMACIÓN:

Se deben Desarrollar procedimientos para el Etiquetado y Manejo de la Información, de acuerdo
al esquema de clasificación definido por el Ministerio del Interior. Los mismos contemplarán los
Activos de Tecnología de la información tanto en formatos Físicos, Digital, Activos
Tecnológicos.
ACTIVOS PUROS
Activos digitales: Son recursos como imágenes, textos, presentaciones, videos, códigos de
software, sites, blogs, perfiles de redes sociales etc. Todo ese stock digital es intangible. Es
diferente de los activos físicos o tangibles, como inmuebles, máquinas, equipamientos,
materiales de escritorio, entre otros.

O sea, los activos digitales pueden ser tantos archivos creados para llevar adelante la
comunicación de la empresa como canales y estrategias de marketing para promover la marca y
relacionarse con clientes.
Por estar almacenados en forma de datos, acaban exigiendo una gestión más organizada para no
dejar ese material disperso en un mar de información. Y por ser intangibles, muchas veces no
reciben la importancia que ameritan.
¿Cuál es la importancia de los activos digitales?
A pesar de no ser componentes físicos, deben ser siempre vistos como parte del patrimonio de la
organización — por tener tanta importancia para el negocio, especialmente para marketing.
Activos Tangibles:
Se consideran activos tangibles todos los bienes de naturaleza material susceptibles de ser
percibidos por los sentidos, tales como:
 Materias primas y Stocks
 El mobiliario
 Las maquinarias
 Los terrenos
 El dinero.
Activos Intangibles:
Se consideran activos intangibles aquellos bienes de naturaleza inmaterial tales como:
 El conocimiento del saber hacer (Know How)
 Nuestras relaciones con los clientes
 Nuestros procesos operativos
 Tecnología de la información y bases de datos
 Capacidades, habilidades y motivaciones de los empleado
Software de aplicación
Se denomina como software de aplicación o una aplicación programa, a un tipo de software de
computadora el cual está diseñado para la realización de un grupo de funciones, actividades o
tareas, las cuales son coordinadas por el usuario y se ejecutan para su beneficio. Las aplicaciones
normalmente se desarrollan para un sistema operativo en particular ya sea Windows, Mac
o Linux entre otros. En muchas ocasiones este término se lo abrevia como app o aplicación.
Teniendo en cuenta que un software de aplicación es un programa que el usuario manipula para
poder obtener cierto beneficio, el rango de posibilidades en cuanto a su utilidad es amplio, así
que se puede encontrar software de aplicación como por ejemplo: un procesador de texto, una
hoja de cálculo, un navegador web, un reproductor de contenido multimedia, una aplicación de
contabilidad, un editor de fotografías, entre muchas otras opciones más
ACTIVOS FÍSICOS
 Infraestructura: Está constituidos por máquinas, equipos, edificios, escritorios, sillas,
aire acondicionado, extintores, cableado de la red y otros bienes de inversión adquiridos
por la organización
 Controles de entorno: Alarmas, controles de entrada que aseguren el permiso de acceso
sólo a las personas que están autorizadas., alimentadores de potencia y red, supresión
contra incendio, etc.
 Hardware: Equipos de oficina como los computadores de escritorio adquiridos por la
empresa, impresora, fax y demás dispositivos
 Activos de servicios: Conectividad a internet, servicios de soporte mantenimiento,
mensajería instantánea

ACTIVOS HUMANOS:

Empleados: los tres directivos, Personal informático y usuarios con poder.

Externos: Contratistas, proveedores, entre otros.

 NORMATIVIDAD DE LA SEGURIDAD INFORMÁTICA

SEGURIDAD PARA PROTEGER LA ORGANIZACIÓN

Las cuestiones básicas tratan qué hay que proteger, qué es proteger, contra qué, y cuanto invertir en
protección.
 Lo que hay que proteger son los activos, esto es, la información y otros recursos de la
organización relacionados con ella, necesarios para que la organización funcione
correctamente y alcance los objetivos propuestos por su dirección. Suele tenerse que
considerar la interdependencia entre activos.
 Para conseguir la seguridad de dichos activos -en especial de la información- hay que
atender cuatros subestados o aspectos de dicha seguridad relacionados con la
autenticación, confidencialidad, integridad y disponibilidad (ACID). Se verán sus
definiciones y métricas en el capítulo 5.
 Los activos han de ser protegidos frente a las amenazas, que son los eventos que pueden
desencadenar un incidente en la organización, produciendo daños materiales o pérdidas
inmateriales. No se trata sólo de los componentes materiales, sino también la información,
nueva materia prima esencial para las organizaciones. Sin olvidar tampoco otros valores
para las organizaciones, como el prestigio o la credibilidad, que pueden sufrir daños de
consideración si un fallo o ataque impide a la organización cumplir con sus cometidos o
compromete la información de terceros que guarde.
 La protección ha de ser proporcionada a los riesgos. Siempre hay una traducción
económica del riesgo que puede asumir o aceptar una organización. Las medidas de
protección se miden también en términos económicos. De cómo fundar la decisión
para escoger los servicios y mecanismos de salvaguarda se ocupa el capítulo 5, con el
análisis y la gestión de los riesgos, que tomará como guía la metodología Magerit.

“La herramienta utilizada para este proceso es SGSI (Sistema de Gestión de la

Seguridad de la Información), esta ayuda a establecer políticas y procedimientos en
relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de
exposición siempre menor al nivel de riesgo que la propia organización ha decidido
asumir”

Las normas de seguridad pueden ser utilizadas y se le recomiendan a la organización de simón

son:
ISO/IEC 27001: esta es la que proporciona la metodología para la implementación de la seguridad de la
información en cualquier tipo de organización, especifica los requisitos para la implementación de
SGSI. Es la norma más importante adopta un enfoque de gestión de riesgos y promueve la mejora
continua de los procesos.

Está formada por cuatro fases que se deben implementar constantemente para reducir los riesgos en
confidencialidad, integridad, disponibilidad y audibilidad de la información. Estas fases son:

Fase de planificación
Fase de ejecución
Fase de seguimiento
Fase de mejora

ISO/IEC 27008: es un estándar que suministra orientación acerca de la implementación y operación de

los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto pública como privada que lleve a
cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.