REALIZAR LA VALUACIÓN DE LOS ACTIVOS DE LA ORGANIZACIÓN

Elaborado por:
Erika Patricia Rengifo Zuñiga
Aprendiz

Leonardo Antonio Giraldo Britel

Tutor

Apropiación de los conceptos de Ciberseguridad

código: 23310008
Servicio Nacional De Aprendizaje (SENA)

Sucre Santander

febrero 22 de 2024
 INTRODUCCION

La organización es la Alcaldía del Municipio de Sucre Santander, ubicada en el

centro del pueblo, cuenta con varios equipos de cómputo, equipo de personal,
oficinas y espacios administrativos donde se manejan herramientas informáticas; se
realizar un estudio para verificar que se puede realizar para la protección de los
activos tangibles e intangibles, y poder desarrollar los estándares de ciberseguridad.
 1. ¿Cuáles son los activos tangibles o intangibles informáticos con que
cuenta su organización que están relacionados o requeridos para el
cumplimiento de los objetivos empresariales?

Activos Tangibles

- Oficinas e instalaciones: cuenta con 11 oficinas o dependencias

(Personería, comisaria de familia, pagaduría, recepcionista, secretaria de
despacho, secretaría de desarrollo, secretaria de planeación, oficina del
Sisbén, Oficina de la señora alcaldesa, oficina de secretaría de salud, oficina
del consejo Municipal.
- Personal: Cuenta con 50 funcionarios
- Periféricos: Posee 15 impresora y 3 fotocopiadoras
- Equipos informáticos: Cuenta con 35 computadores (15 pc de mesa todo
en uno y 25 computadores portátiles
- Equipos de red local: Tiene 6 router inalámbrico y tres repetidores de señal

Activos Intangibles

- Aplicaciones Informáticas: Cuenta con un Software de Contabilidad y otro

de gestión de actividades.
- Programas informáticos: Java.
- Comunicaciones: cada funcionario tiene su equipo celular personal y dos
teléfonos fijos en total.
- Sistemas Operativos: Cuentan con 35 licencias de Windows y 35 de
antivirus – Antiware.
 2. ¿Cómo debe ser la clasificación de la organización?

La clasificación es A (Alta), debido a que si hay una pérdida de información

automáticamente tiene un impacto negativo, ya que se manejan bases de datos de
los habitantes del municipio, está la oficina de Sisbén, pago de servicios públicos
entre otros, bases de datos; toda esta información entra en datos sensibles.

3. ¿Qué metodologías o estándares puede utilizar para realizar el proceso

de valuación de activos?

Para el proceso se han generado varias metodologías y se destacan las siguientes:

I. ISO 31000:2009. Establece un conjunto de principios que se deben

satisfacer para que la gestión del riesgo sea eficaz.
II. OCTAVE. (Operationally Critical Threat, Asset, and Vulnerability Evaluation).
Es una de las metodologías de análisis de riesgos más utilizada por las
empresas.
III. MAGERIT. Metodología de Análisis de Riesgos Informáticos desarrollada por
el Consejo Superior de Administración Electrónica. J. Eterovic y G. Pagliari
(2011).
IV. MEHARI. Método Armonizado de Análisis de Riesgos. Esta metodología fue
propuesta y desarrollada por el Club Francés de la Seguridad de la
Información CLUSIF en el año 1996.
V. NIST SP 800 – 30. (National Institute of Standards and Technology): guía de
gestión de riesgo para sistemas de tecnología de la información –
Recomendaciones del Instituto Nacional de Estándares y Tecnología.
VI. CORAS Construct a Platform for Risk Analysis of Security Critical Systems.
Consultative Objetive Risk Analysis System es un proyecto desarrollado
desde el año 2001 por Sintef.
VII. ISO / IEC 27001: 2013. es la protección de la confidencialidad, integridad y
disponibilidad de la información en una empresa.

VIII. COBIT (Objetivos de control para información y tecnologías relacionadas. fue

desarrollado por ISACA, una organización global independiente sin fines de
lucro que se enfoca en el gobierno de TI. Este marco es similar al marco de
NIST e ISO, ya que es un marco más general que la mayoría de las
organizaciones pueden usar. Es una guía de mejores prácticas, dirigida al
control y supervisión de TI. Cuenta con una serie de recursos que pueden
servir de modelo de referencia para la gestión de TI, incluyendo objetivos de
control, mapas de auditoría, herramientas para su implementación y una guía
de técnicas de gestión.

IX. HITRUST CSF (Health Information Trust Alliance - Cybersecurity

Framework), fue desarrollado por Health Information Trust Alliance
(HITRUST) y es el marco de seguridad más adoptado en la industria de la
salud de los Estados Unidos. Originalmente desarrolló su CSF (Cybersecurity
Framework en español Marco de ciberseguridad) para enfocarse en
elementos clave y riesgos inherentes a la industria de la salud, como las
consideraciones de HIPAA (Ley de Responsabilidad y Portabilidad de
Seguros de Salud), pero desde entonces han actualizado el marco con
controles más amplios que se aplicarían a cualquier organización.

X. CSA Cloud Controls Matrix: Fue desarrollada por Cloud Security Alliance
(CSA) específicamente para los proveedores de la nube. La estructura del
almacenamiento de datos en la nube conlleva riesgos únicos que requieren
controles de seguridad específicos, que se establecen en este marco. La
matriz de controles de la nube se actualiza con frecuencia y es útil para los
proveedores de la nube de cualquier tamaño, además fortalece los entornos
de control de seguridad de la información existentes al enfatizar los requisitos
de control de seguridad de la información empresarial, reduce e identifica las
amenazas y vulnerabilidades de seguridad consistentes en la nube,
 proporciona seguridad estandarizada y gestión de riesgos operativos, y
busca normalizar las expectativas de seguridad, taxonomía y terminología de
la nube.

4. Por otro lado, teniendo en cuenta el caso de estudio definido en el

material de formación, plantee la identificación y clasificación de los
activos.

Personal Equipamiento Instalaciones Comunicaciones Aplicaciones Activos

esenciales
50 Computadores Alcaldía Red LAN Software de Software de
funcionarios Portátiles Municipal Servicio de aplicaciones gestión
Impresoras internet
Fotocopiadoras
Tabla 1 identificación y clasificación de activos.

5. Defina el estándar o el marco de referencia que más se ajusta al estudio

de caso.

El marco de referencia que más se ajusta al caso de estudio es, ISO / IEC 27001:
2013, ya que es respetado y ampliamente conocido internacionalmente, además
tiene como enfoque la protección de la confidencialidad, integridad y disponibilidad
de la información en una empresa.
 Referentes bibliográficos

Estudio de Caso propuesto por el curso de Ciberseguridad del SENA. Tomado de

https://sena.territorio.la/content/index.php/institucion/Complementaria/institution/SE
NA/Tecnologia/23310008/Contenido/OVA/CIBERSEGURIDAD_CF1//downloads/e
studio_de_caso_cf1.pdf

NIST CSF (National Institute of Standards and Technology - Cybersecurity

Framework) - Marco de Ciberseguridad del Instituto Nacional de Estándares y
Tecnología.

Resumen Cobit tomada de: https://www.isaca.org/-

/media/files/isacadp/project/isaca/articles/journal/2018/volume-6/advancing-
information-advancing-technology-advancing-cobit_joa_eng_1218.pdf