Gestión de la Seguridad Informática

1. GESTIÓN Y SEGURIDAD INFORMATICA
1210703
ACTIVIDAD No. 3
ANALISIS DE CASO SIMON II
JULIO CESAR LABRADOR CASTILLO
APRENDIZ
SERVICIO NACIONAL DE APRENDIZAJE (SENA)
CENTRO NACIONAL DE ASISTENCIA TÉCNICA A LA INDUSTRIA (ASTIN)
REGIONAL VALLE
2016

2. GESTIÓN Y SEGURIDAD INFORMATICA
1210703
ACTIVIDAD No. 3
ANALISIS DE CASO SIMON II
JULIO CESAR LABRADOR CASTILLO
APRENDIZ
AYDA ANDREA FRANCO VILLAMIL
INGENIERA ELECTRÓNICA
SERVICIO NACIONAL DE APRENDIZAJE (SENA)
CENTRO NACIONAL DE ASISTENCIA TÉCNICA A LA INDUSTRIA (ASTIN)
REGIONAL VALLE
2016

3. SEGURIDAD INFORMATICA
INFORME: ANÁLISIS DE CASO: SIMÓN 2
Siguiendo con el caso de Simón, él ha determinado que, de acuerdo con los
resultados obtenidos en la organización tecnológica de su empresa, ha decidido
contratarte como asesor para que lo ayudes a identificar cuáles son los activos de
información presentes y que normas de seguridad informática (vulnerabilidad en
confidencialidad, integridad y disponibilidad) están siendo utilizadas.
Activos de información
Lo primero que se debe hacer es realizar un inventario de los activos con su
respectiva clasificación y la mejor manera es hacerlo con todas las personas
involucradas en la empresa de Simón, de esta forma se analizará mejor el nivel de
riesgo de la información.
Después de realizar la indagación tenemos:
Activos puros:
Datos digitales: Bases de datos, documentaciones como manuales y/o instructivos
del manejo de ciertas aplicaciones, manejos financieros, legales, comerciales, entre
otros.
Activos tangibles: Computadores, impresoras, fotocopiadoras, entre otros.
Activos intangibles: Conocimiento, relaciones y secretos comerciales,
productividad, etc.

4. Software de aplicación: Sistemas de información, herramientas de desarrollo,
entre otros.
Sistemas operativos: Servidores, computadores de escritorio, etc.
Activos físicos:
Infraestructura: están constituidos por máquinas, equipos, edificios y otros bienes
de inversión.
Controles de entorno: Alarmas, alimentadores de potencia y red, supresión contra
incendio, etc.
Hardware: Equipos de oficina (PC, portátiles, servidores, dispositivos móviles, etc.)
Activos de servicios: Conectividad a internet, servicios de mantenimiento, etc.
Activos humanos:
Empleados: Personal informático (administradores, webmaster, desarrolladores,
etc.), abogados, auditores, etc.
Externos: Contratistas, trabajadores temporales, proveedores, entre otros.

5. Al ser identificados ya podemos determinar su nivel de importancia y determinar el
daño que puede causar si el activo fuera deteriorado en confidencialidad, integridad
y disponibilidad.
 Violación de legislación aplicable.
 Reducción del rendimiento de la actividad.
 Efecto negativo en la reputación.
 Perdidas económicas.
 Trastornos en el negocio.
Esto debe ser evaluado periódicamente para así evitar que cualquiera de los CID
(confidencialidad, integridad y disponibilidad) presente deterioros.
Normatividad de la seguridad informática
“El sistema de gestión de la seguridad de la información preserva la
confidencialidad, la integridad y la disponibilidad de la información, mediante la
aplicación de un proceso de gestión del riesgo, y brinda confianza a las partes
interesadas acerca de que los riesgos son gestionados adecuadamente”
Se recomienda a Simón implementar:
ISO/IEC 27005: es el estándar internacional que se ocupa de la gestión de riesgos
de seguridad de información. La norma suministra las directrices para la gestión de
riesgos de seguridad de la información en una empresa, apoyando particularmente
los requisitos del sistema de gestión de seguridad de la información definidos en
ISO 27001.

6. ISO/IEC 27008: es un estándar que suministra orientación acerca de la
implementación y operación de los controles, es aplicable a cualquier tipo y tamaño
de empresa, tanto pública como privada que lleve a cabo revisiones relativas a la
seguridad de la información y los controles de seguridad de la información