Scribd Logo
Upload

Welcome to Scribd!

  • Simon 2

    Uploaded by

    Alejandro Betancur Agudelo
    44 views6 pages
    H

    Original Title

    SIMON 2

    Copyright

    © © All Rights Reserved

    Available Formats

    DOC, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    H

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    44 views6 pages

    Simon 2

    Uploaded by

    Alejandro Betancur Agudelo
    H

    Copyright:

    © All Rights Reserved
    Download as DOC, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 6

    EVIDENCIA INFORME

    Anlisis de caso: Simn II

    Estudiante
    ALEJANDRO BETANCUR

    SERVICIO NACIONAL DE APRENDIZAJE

    EVIDENCIA INFORME
    Anlisis de caso: Simn II

    Siguiendo con el caso de Simn, l ha determinado que de acuerdo con los


    resultados obtenidos en la organizacin tecnolgica de su empresa, ha
    decidido contratarte como asesor para que lo ayudes a identificar cules son
    los activos de informacin presentes y que normas de seguridad informtica
    (vulnerabilidad en confidencialidad, integridad y disponibilidad) estn siendo
    utilizadas.

    Activos de informacin

    Un activo de informacin principalmente a cualquier conjunto de


    datos creado o utilizado por un proceso de la organizacin, as como
    el hardware y el software manipulado para su procesamiento o
    almacenamiento, los servicios utilizados para su transmisin o
    recepcin y las herramientas y/o utilidades para el desarrollo y
    soporte de sistemas de informacin.

    Lo primero que debemos hacer es el inventario de activos de la organizacin


    de Simn y este debe ser actualizado a fin de proteger todos los activos en
    trminos de su confidencialidad, Integridad, Disponibilidad.

    Activos puros

    Datos digitales: Bases de datos, documentaciones como manuales y/o


    instructivos del manejo de datos financieros, correos electrnicos, la
    base de datos de los clientes, algunas aplicaciones.

    Activos tangibles: Computadores, impresoras, fotocopiadoras, libros en


    los que llevan informacin manualmente, llaves de la oficina, el correo
    tradicional y el fax, los personales y financieros.

    Activos intangibles: Los conocimientos tcnicos de los empleados,


    relaciones y secretos comerciales, productividad, la imagen corporativa
    de la empresa, la experiencia.
    Software de aplicacin: Los programas como pueden ser las
    aplicaciones ofimticas, herramientas de desarrollo, presentaciones
    automatizadas, los navegadores de internet, administradores de bases
    de datos y programas de productividad.

    Sistemas operativos: Este es el Windows licenciado que se instal en


    las computadoras.

    Activos fsicos

    Infraestructura: Estn constituidos por mquinas, equipos, edificios,


    escritorios, sillas, aire acondicionado, extintores, cableado de la red y
    otros bienes de inversin adquiridos por la organizacin.

    Controles de entorno: Alarmas, alimentadores de potencia, red,


    supresin contra incendio, controles de entrada que aseguren el permiso
    de acceso slo a las personas que estn autorizadas.

    Hardware: Equipos de oficina (PC, porttiles, servidores, dispositivos


    mviles, fax.)

    Activos de servicios: Conectividad a internet, mensajera instantnea,


    servicios de mantenimiento.

    Activos humanos

    Empleados: Personal informtico (administradores, webmaster,


    desarrolladores, etc.), abogados, auditores, etc.

    Externos: Contratistas, trabajadores temporales, proveedores, entre


    otros.

    Identificar los activos, determinaremos el dao que puede causar el activo si


    ste, es deteriorado en disponibilidad, integridad y confidencialidad,
    asignndole un valor evaluando el dao del activo frente:

    Los aspectos a considerar pueden ser los daos como resultado de:

    Violacin de legislacin aplicable


    Reduccin del rendimiento de la actividad
    Efecto negativo en la reputacin
    Prdidas econmicas
    Trastornos en el negocio

    Normatividad de la Seguridad Informtica


    El Sistema de Gestin de la Seguridad de la Informacin preserva la
    confidencialidad, la integridad y la disponibilidad de la informacin, mediante la
    aplicacin de un proceso de gestin del riesgo, y brinda confianza a las partes
    interesadas acerca de que los riesgos son gestionados adecuadamente

    Las normas de seguridad pueden ser utilizadas y se le recomiendan a la


    organizacin de simn son:

    ISO/IEC 27001

    El estndar para la seguridad de la informacin ISO/IEC-27001 (Information


    technology Security techniques Information security management systems
    Requirements) fue aprobado y publicado en 2005 por la International
    Organization for Standardization y por la International Electrotechnical
    Commission, especificando los requisitos necesarios para establecer,
    implementar, mantener y mejorar un sistema de gestin de la seguridad de la
    informacin (SGSI), manteniendo tres caractersticas esenciales.

    Confidencialidad. La informacin slo debe ser vista por aquellos que


    tienen permiso para ello, no debe poder ser accedida por alguien sin el
    permiso correspondiente.

    Integridad. La informacin podr ser modificada solo por aquellos con


    derecho a cambiarla.
    Disponibilidad. La informacin deber estar disponible en el momento
    en que los usuarios autorizados requieren acceder a ella.

    Es precisamente este sistema el que recibe el nombre de Sistema de Gestin


    de Seguridad de la Informacin, que es el punto central de la norma pues
    bsicamente nos exige que cada organizacin que cumpla con ISO-27001 lleve
    a cabo cuatro grandes actividades:

    Establecer el sistema.
    Implementar y operar el sistema.
    Mantener y mejorar el sistema.
    Monitorear y revisar el sistema.

    Est formada por cuatro fases que se deben implementar constantemente para
    reducir los riesgos en confidencialidad, integridad, disponibilidad y audibilidad
    de la informacin. Estas fases son:

    Fase de planificacin
    Fase de ejecucin
    Fase de seguimiento
    Fase de mejora

    ISO/IEC 27005
    Reemplaza a la norma ISO 13335-2 Gestin de Seguridad de la Informacin y
    la tecnologa de las comunicaciones. La norma fue publicada por primera vez
    en junio de 2008, aunque existe una versin mejorada del ao 2011.

    El riesgo se define como una amenaza que explota la vulnerabilidad de un


    activo pudiendo causar daos. El riesgo se encuentra relacionado con el uso,
    propiedad, operacin, distribucin y la adopcin de las tecnologas de la
    informacin de la empresa. Aunque no existe un mtodo concreto de cmo
    gestionar riesgos, se recomienda utilizar un proceso estructurado, sistemtico y
    riguroso de anlisis de riesgos para la creacin del plan de tratamiento de
    riesgos.

    ISO/IEC 27008

    Es un estndar que suministra orientacin acerca de la implementacin y


    operacin de los controles, es aplicable a cualquier tipo y tamao de empresa,
    tanto pblica como privada que lleve a cabo revisiones relativas a la seguridad
    de la informacin y los controles de seguridad de la informacin.

    You might also like