¿Cuáles son los activos tangibles o intangibles informáticos con que cuenta su organización que

están relacionados o requeridos para el cumplimiento de los objetivos empresariales?

Los activos tangibles con los que cuenta mi organización comprenden:

o Computadores
o Servidores, racks, hubs, switches
o Cableado y terminales de red dispuestas para los computadores.
o Los discos duros portátiles y memorias extraíbles
o Celulares, tablets y portátiles
o Los diferentes muebles como escritorios y sillas que otorgan comodidad a los usuarios
para desempeñar óptimamente sus funciones.
o El personal como la cajera, el encargado de la bodega y los técnicos.
o Cajones donde se encuentran los servidores, muebles de almacenaje y otros archivadores.
o Equipos mecánicos como el compresor, la pulidora, taladro, demás.

Entre los activos intangibles podemos encontrar:

o Las aplicaciones de office y el software contable que se utiliza para generar la facturación.
La base de datos de los clientes y de los trabajadores.
o El archivo histórico de facturas de 15 años.
o Software de vigilancia y almacenamiento de videos de seguridad.
o Chats de ventas online
o Generación de electricidad y agua independientes.

¿Cómo debe ser la clasificación de la organización?

¿Qué metodologías o estándares puede utilizar para realizar el proceso de valuación de activos?

Para la valuación de activos, las metodologías utilizadas son las mismas que se mencionan en la
valuación de riesgos informáticos, toda vez que este proceso inicia justamente con la
identificación, clasificación y valuación de los activos, por ello es recomendable hacer la selección
de una metodología que más se ajuste a la necesidad de cada empresa.

Para poder realizar un proceso correcto o adecuado de valuación de riesgos de manera general se
deben de realizar las siguientes actividades:

 Identificar todos aquellos activos de información que tienen algún valor para la
organización.
 Asociar las amenazas relevantes con los activos identificados.
 Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
 Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y
disponibilidad para cada activo.

Para el desarrollo de este proceso se han desarrollado diferentes metodologías dentro de las
cuales se destacan las siguientes:

 ISO 31000:2009. Establece un conjunto de principios que se deben satisfacer para que la
gestión del riesgo sea eficaz.
  Octave. (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Es una de las
metodologías de análisis de riesgos más utilizada por las empresas.
 Magerit. Metodología de Análisis de Riesgos Informáticos desarrollada por el Consejo
Superior de Administración Electrónica. J. Eterovic y G. Pagliari (2011).
 Mehari. Método Armonizado de Análisis de Riesgos. Esta metodología fue propuesta y
desarrollada por el Club Francés de la Seguridad de la Información CLUSIF en el año
1996.v. NIST SP 800 – 30. (National Institute of Standards and Technology): guía de gestión
de riesgo para sistemas de tecnología de la información – Recomendaciones del Instituto
Nacional de Estándares y Tecnología.vi. Coras Construct a Platform for Risk Analysis of
Security Critical Systems. Consultative Objetive Risk Analysis System es un proyecto
desarrollado desde el año 2001 por Sintef.

por otro lado, teniendo en cuenta el caso de estudio definido en el material de formación, plantee
la identificación y clasificación de los activos.

Defina el estándar o el marco de referencia que más se ajusta al estudio de caso