Académique Documents
Professionnel Documents
Culture Documents
INTRODUCCION
La informacin se puede considerar el segundo mayor activo de una empresa porque tiene
un valor para la organizacin es decir, es una parte fundamental para el desarrollo normal
de sus procesos lo que hace necesario que cualquier empresa sin importar si es pblica o
privada implemente un sistema de proteccin, para garantizar el normal funcionamiento e
incluso la continuidad de su razn de ser.
Teniendo en cuenta que las organizaciones al usar las herramientas tecnolgicas se han
vuelto dependientes del sistema informtico, lo que conlleva a implementar un SGSI
(Sistema de Gestin de Seguridad de Informacin), lo cual permite mantener su integridad
y seguridad, que a su vez se convierte en una ventaja competitiva, porque al implementar
este sistema se aplica control para minimizar los riesgos de que los intrusos cibernticos
tengan acceso a esta y puedan arruinar el normal funcionamiento del proceso de
exportacin.
2
Informe: Anlisis de caso: Simn II
Siguiendo con el caso de Simn, l ha determinado que de acuerdo con los resultados
obtenidos en la organizacin tecnolgica de su empresa, ha decidido contratarte como
asesor para que lo ayudes a identificar cules son los activos de informacin presentes y
que normas de seguridad informtica (vulnerabilidad en confidencialidad, integridad y
disponibilidad) estn siendo utilizadas.
Activos de informacin
Los activos de informacin, es todo aquello que las entidades consideran importante o de
alta validez para la misma ya que puede contener importante como lo puede ser Bases de
Datos con usuarios, contraseas, nmeros de cuentas, etc.
Seria critico que a una entidad que maneja alta informacin confidencial, los intrusos
pudieran acceder a ella afectando as la confidencialidad, la disponibilidad y la integridad
de dicha informacin por eso algunas de tantas entidades adoptan un plan de seguridad para
los activos de informacin y as no tener la desgracia de que los datos se fuguen, se
modifiquen o se pierdan.
Inventario de activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos de informacin importantes de la
organizacin (ISO/IEC 27002).
Despus de realizar el anlisis de la organizacin encontramos que esta posee los siguientes
activos:
3
ACTIVOS PUROS
Datos digitales: en este activo encontramos que la organizacin maneja datos financieros,
correos electrnicos, la base de datos de los clientes, algunas aplicaciones y un sin nmero
de documentos
Activos tangibles: otro medio de almacenamiento como los libros en las que llevan
informacin manualmente, llaves de la oficina, el correo tradicional y el fax, los personales
y financieros
Software de aplicacin: son los programas con los que interacta los trabajadores como
las aplicaciones ofimticas (procesador de texto, hoja de clculo), presentaciones
automatizadas, los navegadores de internet, administradores de bases de datos y programas
de productividad (software contable)
ACTIVOS FSICOS:
Infraestructura: las instalaciones, los escritorios, las sillas y el cableado de la red, aires
acondicionados, extinguidores y dems bienes adquiridos por la organizacin.
4
Activos de servicios: autenticadores para navegacin en internet (proxy), servicios de
soporte mantenimiento, mensajera instantnea, antivirus, cortafuegos, servicios
inalmbricos
ACTIVOS HUMANOS:
VALORACION DE ACTIVOS:
Integridad: evaluar el estado del activo si ha sufrido alteracin sin autorizacin y/o
control.
5
Seguridad de la Informacin), con esta ayuda se establecen procedimientos sistemticos,
documentados y conocidos por toda la organizacin, garantizando que la seguridad de la
informacin es gestionada correctamente.
Con un SGSI, la empresa examina los peligros en los que se puede sometida la
informacin, y se encarga de establecer los controles y procedimientos que se llevaran
dentro de la organizacin.
ISO/IEC 27001:2005
Est formada por cuatro fases que se deben implementar constantemente para reducir los
riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la informacin.
Estas fases son:
Fase de planificacin
Fase de ejecucin
Fase de seguimiento
Fase de mejora
Es una gua de las buenas prcticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la informacin. Contiene 39 objetivos de control y
133 controles, agrupados en 11 dominios.
6
ISO/IEC 27005:2008
Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya
los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque
de gestin de riesgos. Es aplicable a cualquier tipo y tamao de empresa, tanto pblica
como privada que lleve a cabo revisiones relativas a la seguridad de la informacin y los
controles de seguridad de la informacin.
a) Control de activos: para este punto se sugiere realizar un inventario de los activos
para tener control ms riguroso de los mismos. Toda la informacin y activos
asociados a los recursos para el tratamiento de la informacin, deberan tener un
propietario y pertenecer a una parte designada de la organizacin.
b) Seguridad de los recursos humanos: tiene como objetivo asegurar que los
empleados, contratistas y usuarios de terceras partes, entiendan sus
responsabilidades y son aptos para ejercer las funciones para las cuales estn siendo
considerados, con el fin de reducir el riesgo de hurto, fraude o uso inadecuado de las
instalaciones.
7
c) Anlisis de vulnerabilidades a nivel de acceso lgico: la seguridad lgica
concentra sus objetivos en la aplicacin de procedimientos que resguarden el acceso
a los datos y permisos a las personas autorizadas.
8
CONCLUSION