ANALISIS DE CASO: SIMON II

SERVICIO NACIONAL DE APRENDISAJE - SENA

GESTION DE LA SEGURIDAD INFORMATICA
CARTAGENA
2017

INTRODUCCION
La informacin se puede considerar el segundo mayor activo de una empresa porque tiene
un valor para la organizacin es decir, es una parte fundamental para el desarrollo normal
de sus procesos lo que hace necesario que cualquier empresa sin importar si es pblica o
privada implemente un sistema de proteccin, para garantizar el normal funcionamiento e
incluso la continuidad de su razn de ser.

Teniendo en cuenta que las organizaciones al usar las herramientas tecnolgicas se han
vuelto dependientes del sistema informtico, lo que conlleva a implementar un SGSI
(Sistema de Gestin de Seguridad de Informacin), lo cual permite mantener su integridad
y seguridad, que a su vez se convierte en una ventaja competitiva, porque al implementar
este sistema se aplica control para minimizar los riesgos de que los intrusos cibernticos
tengan acceso a esta y puedan arruinar el normal funcionamiento del proceso de
exportacin.

2
 Informe: Anlisis de caso: Simn II

Siguiendo con el caso de Simn, l ha determinado que de acuerdo con los resultados
obtenidos en la organizacin tecnolgica de su empresa, ha decidido contratarte como
asesor para que lo ayudes a identificar cules son los activos de informacin presentes y
que normas de seguridad informtica (vulnerabilidad en confidencialidad, integridad y
disponibilidad) estn siendo utilizadas.

Activos de informacin

Los activos de informacin, es todo aquello que las entidades consideran importante o de
alta validez para la misma ya que puede contener importante como lo puede ser Bases de
Datos con usuarios, contraseas, nmeros de cuentas, etc.

Seria critico que a una entidad que maneja alta informacin confidencial, los intrusos
pudieran acceder a ella afectando as la confidencialidad, la disponibilidad y la integridad
de dicha informacin por eso algunas de tantas entidades adoptan un plan de seguridad para
los activos de informacin y as no tener la desgracia de que los datos se fuguen, se
modifiquen o se pierdan.

Inventario de activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos de informacin importantes de la
organizacin (ISO/IEC 27002).

De acuerdo a lo anterior, debemos comenzar con el inventario de activos de la organizacin

de Simn y este debe ser actualizado a fin de proteger todos los activos en trminos de su
confidencialidad, Integridad, Disponibilidad)

Despus de realizar el anlisis de la organizacin encontramos que esta posee los siguientes
activos:

3
ACTIVOS PUROS

Datos digitales: en este activo encontramos que la organizacin maneja datos financieros,
correos electrnicos, la base de datos de los clientes, algunas aplicaciones y un sin nmero
de documentos

Activos tangibles: otro medio de almacenamiento como los libros en las que llevan
informacin manualmente, llaves de la oficina, el correo tradicional y el fax, los personales
y financieros

Activos intangibles: la imagen corporativa de la empresa, los conocimientos tcnicos de

los empleados, secretos comerciales, la productividad y la experiencia

Software de aplicacin: son los programas con los que interacta los trabajadores como
las aplicaciones ofimticas (procesador de texto, hoja de clculo), presentaciones
automatizadas, los navegadores de internet, administradores de bases de datos y programas
de productividad (software contable)

Sistemas operativos: este es el Windows licenciado que se instal en las computadoras de

escritorio y el servidor de archivos

ACTIVOS FSICOS:

Infraestructura: las instalaciones, los escritorios, las sillas y el cableado de la red, aires
acondicionados, extinguidores y dems bienes adquiridos por la organizacin.

Controles de entorno: las Alarmas, controles de entrada que aseguren el permiso de

acceso slo a las personas que estn autorizadas., alimentadores de potencia y red,
supresin contra incendio, etc.

Hardware: Equipos de oficina como los computadores de escritorio adquiridos por la

empresa, impresora, fax y dems dispositivos

4
Activos de servicios: autenticadores para navegacin en internet (proxy), servicios de
soporte mantenimiento, mensajera instantnea, antivirus, cortafuegos, servicios
inalmbricos

ACTIVOS HUMANOS:

Empleados: los tres directivos, Personal informtico,operadores y usuarios con poder.

Externos: trabajadores temporales, contratistas, proveedores, entre otros.

VALORACION DE ACTIVOS:

Lo siguiente es determinar el dao que puede causar el activo, si este es deteriorado en

disponibilidad, integridad y confidencialidad. Para calcular este valor se evala el dao del
activo frente a:

Violacin de legislacin aplicable.

Reduccin del rendimiento de la actividad.
Efecto negativo en la reputacin.
Perdida econmicas.
Trastornos en el negocio.

Para establecerel detrimento de un activo frente a disponibilidad, integridad y

confidencialidad, se debe comprobar lo siguiente:

Disponibilidad: cul es la importancia y/o impacto para la organizacin la no

disponibilidad del activo.

Integridad: evaluar el estado del activo si ha sufrido alteracin sin autorizacin y/o
control.

Confidencialidad: evaluar el impacto si se accede a los activos de forma no autorizada.

NORMATIVIDAD DE LA SEGURIDAD INFORMTICA:

Las normas de seguridad de la informacin, son creadas para demostrar la gestin y

seguridad competente y efectiva de los recursos y datos que se gestionan en una
organizacin. La herramienta utilizada para este proceso es SGSI (Sistema de Gestin de la

5
Seguridad de la Informacin), con esta ayuda se establecen procedimientos sistemticos,
documentados y conocidos por toda la organizacin, garantizando que la seguridad de la
informacin es gestionada correctamente.

Con un SGSI, la empresa examina los peligros en los que se puede sometida la
informacin, y se encarga de establecer los controles y procedimientos que se llevaran
dentro de la organizacin.

Las normas de seguridad pueden ser utilizadas y se le recomiendan a la organizacin de

simn son:

ISO/IEC 27001:2005

Es la norma principal de la serie y contiene los requisitos del sistema de gestin de

seguridad de la informacin. En su anexo A, enumera en forma de resumen los objetivos de
control y controles para que sean seleccionados por las organizaciones en el desarrollo de
su SGSI, aunque no es obligatoria la implementacin de todos los controles enumerados en
dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los
controles no implementados.

Est formada por cuatro fases que se deben implementar constantemente para reducir los
riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la informacin.
Estas fases son:

Fase de planificacin
Fase de ejecucin
Fase de seguimiento
Fase de mejora

ISO/IEC 27002: 2005

Es una gua de las buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. Contiene 39 objetivos de control y
133 controles, agrupados en 11 dominios.

6
ISO/IEC 27005:2008

Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque
de gestin de riesgos. Es aplicable a cualquier tipo y tamao de empresa, tanto pblica
como privada que lleve a cabo revisiones relativas a la seguridad de la informacin y los
controles de seguridad de la informacin.

Por la complejidad de la implementacin de la norma, se recomienda a la organizacin

definir de manera sistemtica el alcance del proyecto, en las reas de CONTROL DE
ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS.

a) Control de activos: para este punto se sugiere realizar un inventario de los activos
para tener control ms riguroso de los mismos. Toda la informacin y activos
asociados a los recursos para el tratamiento de la informacin, deberan tener un
propietario y pertenecer a una parte designada de la organizacin.
b) Seguridad de los recursos humanos: tiene como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes, entiendan sus
responsabilidades y son aptos para ejercer las funciones para las cuales estn siendo
considerados, con el fin de reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.

7
c) Anlisis de vulnerabilidades a nivel de acceso lgico: la seguridad lgica
concentra sus objetivos en la aplicacin de procedimientos que resguarden el acceso
a los datos y permisos a las personas autorizadas.

8
 CONCLUSION

Actualmente en la sociedad de la informacin, es necesario que todas las organizaciones,

sin tener en cuenta su tamao, implementen mecanismos que permitan mantenerla segura,
donde una se use la norma internacional ISO/IEC 27001 como un sistema basado en
procesos que busca garantizar la seguridad de la informacin, siguiendo una serie de pautas
y controles que de aplicarse, minimizan los riesgos a los cuales se ve expuesta.