You are on page 1of 7

ACTIVOS Y SEGURIDAD

JOSE ELIAS ORTIZ GUERRERO

CURSO: GESTION DE LA SEGURIDAD INFORMATICA

SERVICIO NACIONAL DE APRENDIZAJE – SENA
PASTO – NARIÑO
2015

aplicaciones. manuales de los usuarios. Por lo tanto me ha contratado para esa labor. contratos y acuerdos. utilidades generales como por ejemplo calefacción. Él ha determinado que de acuerdo a los resultados obtenidos en la organización tecnológica de su empresa.  Inventarios de activos. energía y aire acondicionado y las personas que . y como deben valorarse esos activos en función de su relevancia para la misma y del impacto que ocasionaría un fallo de seguridad en ellos. lo cual es muy gratificante. Contar con un Sistema de Gestión de la Seguridad de la Información (SGSI) es sin duda la forma más práctica de seguir un conjunto de buenas prácticas que garanticen que el tratamiento de la información de nuestra empresa es adecuado. equipos de comunicaciones. a menudo hace que ésta sea expuesta a factores que pueden ponerla en peligro. integridad y disponibilidad) están siendo utilizadas Solución: Don Simón se ha dado cuenta que su empresa se está desarrollando eficientemente lo que se requiere tener algunos roles específicos para asegurar la información que se maneja sea de la empresa como de los usuarios. Activos de información son ficheros y bases de datos. De manera que un activo de información es aquel elemento que contiene o manipula información. El contenido de este tema:  Identificación de los activos de información. lo cual se ha generado una serie de preguntas que serían: ¿Él es consciente de la importancia que tiene la información para su organización? ¿Se ha planteado si las medidas de seguridad con las que cuentan son suficientes para su protección? Entre otras. iluminación. material de formación. Identificar los activos de información Se denomina activo aquello que tiene algún valor para la organización y por lo tanto debe protegerse. así que lo primero que tendría en cuenta seria la norma que protege la información de una empresa. Los activos de seguridad de la información Se explica en este tema como deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización. equipos informáticos.  Valoración de los activos.ACTIVOS Y SEGURIDAD Actividades de apropiación del conocimiento (Análisis de caso) Siguiendo con el caso de Simón. La información de su negocio resulta cada día más importante. documentación del sistema. ha decidido contratarte como asesor para que lo ayudes a identificar cuáles son los activos de información presentes y que normas de seguridad informática (vulnerabilidad en confidencialidad. Su tratamiento. servicios informáticos y de comunicaciones. software del sistema. ya que es un trabajo muy riesgoso porque me da la confianza para que yo le brinde protección a su empresa.

terrorismo.  Contempla planes de contingencia ante cualquier tipo de incidencia (pérdidas de datos. entre otras. consistentes. .  Garantiza la implantación de medidas de seguridad. la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE). la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).  Mejora la concientización del personal en todo lo que se refiere a la seguridad y a sus responsabilidades dentro de la organización. robo.  Aporta a la empresa un valor añadido. es decir dentro de una organización se han de considerar todos los tipos de activos de información.son al fin y al cabo las que en última instancia generan. ya que contar con esta certificación. trasmiten y destruyen información. Propiedad Intelectual. etc. dando a nuestros clientes una mayor credibilidad. etc.)  Puede ser utilizada como herramienta de diferenciación frente a la competencia. asegura que tenemos un proceso adecuado para la gestión de la información. eficientes y apropiadas al valor de la información protegida. En este sentido se incluyen. incendio. La norma ISO 27001: define como implantar un Sistema de Gestión de Seguridad de la información que aporta a la Organización interesantes beneficios:  Ayuda al cumplimiento de leyes y normativas.  Ofrece una metodología para llevar a cabo un Análisis y Gestión de Riesgos.

Contar con un SGSI ayudará a la Dirección de nuestra empresa a decidir qué políticas y objetivos de seguridad deben establecerse y nos permitirá crear mecanismos que nos ayuden a proteger la información y los sistemas que los procesan. Para ello. Posteriormente. entidades o procesos que no tienen autorización. su alcance y objetivos.  Una vez analizados los riesgos y determinadas qué situaciones no son aceptables para la empresa.  La integridad: Mantener la información exacta y completa. se aplicarán los controles oportunos.  La disponibilidad: Asegurar que la información sea accesible cuando sea necesario.  Para implementar un SGSI conforme a la norma ISO 27001 se deberá establecer un ciclo continuo 'PDCA' como el utilizado en los sistemas de calidad:  Planificar: Establecer el Sistema de Gestión. En esta fase deberá definirse la política de seguridad de la organización y la metodología para la evaluación de los riesgos que utilizaremos en nuestro Sistema. Deberán seleccionarse los objetivos de control y controles del anexo A .El desarrollo de las nuevas tecnologías hace que el tratamiento de la información haya dado un cambio importante en la cultura empresarial y obliga a extremar las precauciones para garantizar:  La confidencialidad: Evitar que la información esté a disposición de individuos. integridad o disponibilidad. deberán identificarse los riesgos que nuestros activos tienen. se establecerá un plan para tratar y mitigar los riesgos no aceptables. evaluando las amenazas y vulnerabilidades que estos pudieran tener y los impactos que tendría el negocio ante una pérdida de confidencialidad.

los procesos. etc…  El sistema deberá someterse a auditorías internas planificadas y el resultado de estas y de las actividades deberá ser revisada por parte de la Dirección de la empresa.de la norma ISO 27001 que serán utilizados parael tratamiento de los riesgos y serán recogidos en una declaración de aplicabilidad  Do: Hacer.  Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren los objetivos deseados. sobre la base de los resultados de los mismos. la Tecnología. sus controles de seguridad y sus exigencias normativas.  Se concienciará y formará a todos las personas y se implantarán los controles establecidos en la fase anterior. siempre que existan cambios en la organización. deberán implantarse las acciones de mejora necesaria para afianzar el sistema y para alcanzar los objetivos previstos. implementar y utilizar el Sistema de Gestión.  En esta fase deberá establecerse un plan para la gestión de los riesgos que incluya su oportuna planificación y desglose de responsabilidades y organización de los proyectos.  Una vez superados los ciclos anteriores y.  En esta fase se deberá revisar la efectividad del Sistema a tiempos planificados y se revisarán los niveles de riesgo. .  Además deberán definirse los indicadores que ayuden a la organización a conocer la eficacia y eficiencia de las acciones llevadas a cabo para la mitigación de los riesgos.  Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del mismo.

. establece pautas para el uso responsable y adecuado de los mismos. La ISO 27002 es. desempeño de las funciones y a la finalización o cambio del puesto de trabajo). Dividido en tres controles. ya que en cada apartado o artículo explica cómo se debe organizar para tener una buena seguridad de la información que se maneja. Además. Este apartado propone contar con un inventario detallado de activos que recoja sus funcionalidades. una ayuda en la gestión de los riesgos que se organiza en los siguientes apartados:  Apartado 5: Política de Seguridad. por lo tanto. El objetivo de este control es contar con una Política de Seguridad documentada y revisada periódicamente. establece las medidas desegurida d que deberían considerarse en cada una de las fases de desempeño de trabajo (definición del puesto. así como las medidas de seguridad que deberían considerarse en función de la clasificación de estos.  Apartado 7: Gestión de activos. En la norma ISO 27001se habla de estos controles en su anexo A. cómo deben coordinarse las actividades y cómo deben mantenerse activas las relaciones con los terceros que pudieran colaborar con nosotros. Este apartado recoge además la necesidad de contar con un procedimiento de tratamiento de la clasificación. ISO 27002 La ISO 27002 es una guía de buenas prácticas que expone recomendaciones a tener en cuenta para cada uno de los controles del anexo A de la ISO 27001.  Apartado 8: Recursos humanos.Esta norma también es importante.  Apartado 6: Aspectos organizativos. pero no forma parte del corazón de la norma yaque no olvidemos que la ISO 27001 define como gestionar la seguridad (como implementar un Sistema de Gestión de Seguridad de la Información). Este control establece cómo debería estar compuesta la organización de la seguridad de la empresa.

se incluyen en este apartado las consideraciones que deben tenerse en cuenta en la auditoría de los sistemas. deberán considerarse qué privilegios son los adecuados para cada usuario o cuáles son las responsabilidades que el usuario tiene para la protección de su puesto de trabajo. la seguridad del cableado o el mantenimiento de los mismos.  Apartado 14: Gestión de continuidad del negocio. la seguridad de los equipos. Este apartado presenta las pautas que deberán tenerse en cuenta para el control de los accesos a las redes.  Apartado 12: Adquisición. Este sistema propone que los sistemas debieran contar con unos requisitos de seguridad específicos que abarcan desde la entrada de los datos hasta el control del software y las medidas de seguridad de los procesos de desarrollo de software. . Este apartado establece los requisitos que deberían considerarse en relación a garantizar la continuidad de los servicios críticos del negocio. Deberá establecerse cuáles son los canales decomunicac ión de eventos y debilidades y cómo será el proceso de gestión de incidencias. se establecen los requerimientos físicos de los edificios. por otra. Así mismo. En este apartado se incluye también la supervisión de los servicios que son contratados a terceros y la planificación de los requisitos y necesidades de seguridad de los sistemas. como el establecimiento de perímetros de seguridad. las zonas de carga o los controles físicos de entrada y. En este apartado se considera además el control de las vulnerabilidades técnicas. Apartado 9: Seguridad física y ambiental. en materia de operación. Podemos considerar este apartado como garantía delcu mplimiento de las exigencias legales que cada organización tiene. a los sistemas operativos y a las aplicaciones corporativas. estableciendo de manera clara las responsabilidades que. Las medidas de seguridad física y del entornoqu edan recogidas en dos controles de este apartado. Por una parte. desarrollo y mantenimiento de sistemas. Además. considerando el suministro.  Apartado 11: Control de accesos.  Apartado 10: Seguridad comunicaciones y operaciones. La operación de las comunicaciones debería seguir unos procedimientos adecuadamente.  Apartado 15: Cumplimiento legal.  Apartado 13: Gestión de incidentes. deban considerarse.