Actualización contenido programático Año 2017 con competencias

GUÍA DE TRABAJO
TALLER
Activos de información

PROGRAMA Tecnología en Gestión de Seguridad en redes de computadores

ACADÉMICO
Gestión de Seguridad Informática
ASIGNATURA
TIPO DE PRESENCIAL AUTODIRIGIDA REMOTA X
PRÁCTICA
HORAS DE LA 12 horas
PRÁCTICA:
La Seguridad de la Información es la protección de la información contra
TEMÁTICAS amenazas y riesgos para asegurar la continuidad del negocio, reducir al mínimo
DE LA el daño al negocio y maximizar el retorno de inversión y oportunidades de
PRÁCTICA negocio; va más allá de la infraestructura física, también se debe enfocar en las
personas, es decir, en la cultura de seguridad de la información
PROPÓSITO
La adopción de políticas, normas y procedimientos de seguridad de la información
obedece a una decisión estratégica para la Empresa, por lo cual se declara que la
información (en cualquiera de sus formas, medios de almacenamiento y/o
transferencia) es un activo que tiene valor y es uno de los más importantes para
alcanzar las metas y los objetivos estratégicos definidos por la Compañía.
INTENCIONALIDADES

Este activo se enfrenta constantemente a amenazas de seguridad y ciberseguridad

FORMATIVAS

procedentes de varias fuentes de tipo natural, informático o social, entre ellas

fraudes asistidos por computador, espionaje, sabotaje, vandalismo, incendios e
inundaciones, ciberataques (ingeniería social, virus informáticos, malware,
intrusiones y denegación de servicios).

Por lo anterior, es necesario diseñar e implementar un Sistema de Gestión de

Seguridad de la Información y Ciberseguridad que ayude a protegerla de cualquier
evento que afecte la confidencialidad, disponibilidad e integridad de la
información desde su generación, su proceso y emisión

La Política de Gestión de Activos de Información define los lineamientos que

funcionarios y terceros (proveedores y contratistas) deben aplicar para el uso y
administración de los activos de información
 Todo activo de información (hardware, software, procesos y procedimientos,
personas, información tangible e intangible) es de uso exclusivo de la Entidad
para el desarrollo de su actividad comercial.

Se mantendrá un inventario actualizado de los activos de información existentes,

con su correspondiente clasificación y propietario

OBJETIVO GENERAL

Elaborar un documento de identificación de activos de información (bajo caso de

estudio)

OBJETIVOS ESPECÍFICOS
• Realizar la enumeración y clasificación de activos de información acuerdo a
los criterios de confidencialidad, integridad y disponibilidad y la escala de
gradación.
• Identificación de controles aplicados sobre los activos de acuerdo con lo
propuesto por el anexo A.

COMPETENCIAS
Interpretar metodologías y estándares de gestión de seguridad informática y de la
información, que propenden por mitigación de vulnerabilidades en la
administración de infraestructura tecnológica de las organizaciones.

FUNDAMENTACIÓN TEÓRICA

Clasificación de la Información
Acorde con la Ley 1712 de 2014 toda la información de una Entidad Pública debe ser clasificada en
alguno de los siguientes niveles
• Información Pública: Es la información que está publicada a través de los medios oficiales
de la compañía y cualquier persona o entidad puede conocer.
• Información Pública Clasificada: La información pública clasificada se refiere a la
información que, de divulgarse, puede vulnerar derechos de personas naturales o jurídicas,
relacionados especialmente con la privacidad de estas
• Información Pública Reservada La información será reservada en aquellos casos en los que
la entrega de esta pueda vulnerar el interés público.
En el sector privado la información suele clasificarse acorde a cuatro criterios de acceso a la misma:
• Confidenciales
• Restringido
• Uso interno
• Público.

Activos de información
Se pueden estructurar en cinco categorías:
• Las personas: funcionarios, terceros y clientes
• La información en cualquiera que sea su medio (oral, escrito, magnético)
• Los procesos de la compañía
• El hardware: equipos de cómputo centrales y locales, redes de comunicación y redes
eléctricas.
 • El software: programas aplicativos en general y sistemas operacionales.

Inventario de activos de información

Debe contener información como:
• id del activo o consecutivo,
• tipo de activo,
• nombre del activo,
• descripción,
• clasificación,
• justificación,
• criticidad,
• formato,
• ubicación,
• propietario o responsable del activo,
• roles o usuarios asociados,
• Gestión (Fecha de ingreso y retiro del inventario).
Estos datos se deben recopilar, con el objetivo de identificar en la Compañía los activos críticos que
deben ser protegidos de un desastre o incidente técnico u operativo

DESCRIPCIÓN DE LA PRÁCTICA

Situación Problémica:

A partir de la empresa seleccionada por cada grupo de trabajo definido en clase, donde se realiza un
diagnóstico de la situación actual en materia de seguridad informática, se pide:
• Realizar la caracterización del proceso de TI
• Elaborar la matriz de activos de información (mínimo 10 activos)

REFLEXIONES Y CONCLUSIONES.

Se pide:

Elaborar un documento en formato IEEE con el desarrollo de la investigación arriba planteada, que
incluya los siguientes apartados
- Portada
- Objetivos
- Desarrollo de la actividad (Pantallazos)
- Bibliografía
El archivo de investigación será subido en el recurso Tarea Taller Activos de Información que se
encuentra en el Aula Virtual para el 1er corte de la materia Gestión de Seguridad Informática

RECURSOS A UTILIZAR EN LA PRÁCTICA

MATERIALES QUE EL ESTUDIANTE MATERIALES Y EQUIPOS QUE LE
DEBE LLEVAR SERÁN SUMINISTRADOS PARA EL
LABORATORIO
• Material de apoyo publicado en la • Aula virtual
plataforma virtual • Links de referencia

SOFTWARE A UTILIZAR EN LA PRÁCTICA

 • Navegador internet
• Software para utilizar en la práctica u otro tipo de requerimiento para el desarrollo de la
práctica

METODOLOGÍA
MÉTODO O ACTIVIDADES
• Individualmente realizar la investigación propuesta en la Situación Problémica.
• Generar un archivo con el documento de investigación en formato PDF con norma IEEE con
el desarrollo del trabajo arriba planteado.
• Elaborar una presentación con el resumen ejecutivo de los temas investigados, para la
sustentación en el entorno de clase.
CRITERIOS DE EVALUACIÓN
• Trabajo individual
• Trabajo grupal
• Evidencias aportadas
INFORME O PRODUCTOS A ENTREGAR
• Subir en el espacio de actividades (Tarea Taller Activos de Información) que se encuentra
en el Aula Virtual, en el área del 1er corte de la materia Gestión de Seguridad Informática,
un archivo en formato PDF con la investigación arriba planteada

RÚBRICAS DE EVALUACIÓN
CRITERIOS DE 4.5 - 5.0 4.0 - 4.5 3.0 - 3.5 2.5 - 3.0 CALIFICACION
EVALUACION
Expresa de manera No es copia fiel de Algunos párrafos son No se presenta de
clara y concisa las los textos copias fieles de los manera clara
1.- Definiciones ideas y conceptos consultados sino textos consultados. y completa. La
derivados de la una síntesis de Algunas ideas del relación con el
práctica realizada, ideas completas y tema están cortadas. problema planteado
las definiciones claras del tema. es prácticamente
son de autoría incongruente. El 60%
propia. del tema es copiado.

2.- Desarrollo de la Realiza todos los Realiza un 80% de Realiza un 60% a Realiza un 50% ó
experimentos, los experimentos, 70% de los menos de los
Práctica mencionando el mencionando el experimentos, experimentos,
procedimiento de procedimiento de mencionando el mencionando el
manera completa, manera completa procedimiento de procedimiento de
incluyendo el incluyendo el manera completa manera completa
material y equipo material y equipo incluyendo el incluyendo el
utilizado. Las utilizado. Las material y equipo material y equipo
respuestas son respuestas son utilizado. Las utilizado. Las
congruentes con congruentes con respuestas son respuestas no son
los experimentos los experimentos congruentes con los congruentes con los
realizados. realizados. experimentos experimentos
realizados. realizados.
3.- Interpretación, Recopila y ordena Presenta datos Tiene datos Tiene datos
los datos en ordenados en parcialmente parcialmente
Análisis de los relación con el relación con el ordenados, presenta ordenados, presenta
Resultados procedimiento. Se procedimiento. Se algunas algunas
presentan los datos presentan en tablas o gráficas, los tablas o gráficas, los
en tablas, gráficas, tablas, gráficas, resultados resultados se
dibujos, etc. dibujos, etc. se interpretan y interpretan y analizan
Claramente claramente analizan en 60% en un 50%
identificados. Los identificados, se a 70%. ó menos.
datos se interpretan y
interpretan y
 analizan analizan
comparativamente parcialmente en un
con la información 80%.
bibliográfica
consultada.
4.- Conclusión Deduce el Deduce el Deduce parcialmente No deduce el
comportamiento comportamiento el comportamiento comportamiento de
de la(s) variable(s) de la(s) variable(s) de la(s) variable(s) la(s) variable(s)
estudiada(s) a estudiada(s) a estudiada(s) a partir estudiada(s) a partir
partir del partir del del problema del problema
problema problema planteado. planteado.
planteado. planteado. No incluye el No incluye el
Rechaza o acepta Incluye el rechazo rechazo o aceptación rechazo o
la hipótesis e o la aceptación de de la hipótesis ni aceptación de la
incluye propuestas la hipótesis, pero propone mejoras. hipótesis ni
de mejora o genera no las propuestas propone mejoras.
nuevos problemas. de mejoras.
5.- Actitud Participa Participa Es un observador No participa en la
propositiva e ocasionalmente o pasivo. realización de la
integralmente en lo hace práctica.
toda la práctica. constantemente,
pero sin
coordinarse con
sus compañeros.
BIBLIOGRAFÍA SUGERIDA
https://www.pmg-ssi.com/2015/03/iso-27001-los-activos-de-informacion/
https://www.escuelaeuropeaexcelencia.com/2019/05/el-anexo-a-y-los-controles-de-seguridad-
en-iso-27001/
https://www.iso27000.es/iso27002_8.html
https://iveconsultores.com/caracterizacion-de-procesos/

Elaborado por: Revisado por:

Ing. Jorge Alonso Flórez Rojano