PROGRAMA DE FORMACIN

GESTION DE LA SEGURIDAD
INFORMATICA

2. Activos Fsicos: ........................................... 3

ACTIVIDAD DE APRENDIZAJE 2:
Activos de informacin y Estndares
de Seguridad

Hardware de TI: ............................................. 3

Introduccin

Externos: ........................................................ 4

El siguiente material de formacin busca

que el aprendiz conozca los conceptos
de
Activos
de
informacin
y
Normatividad
de
la
Seguridad
Informtica.

Infraestructura TI: .......................................... 3

Controles del entorno de TI: .......................... 3

Activos de Servicios de TI:.............................. 4

3. Activos Humanos: ...................................... 4

Valoracin de los Activos ................................... 4

Disponibilidad: ............................................... 5
Integridad: ..................................................... 5
Confidencialidad: ........................................... 5
Tema 2: Normatividad de la Seguridad
Informtica......................................................... 5

Descripcin material del programa

NORMA ISO 27000 ......................................... 5

El material de formacin propuesto para

la Unidad 2 del programa, busca
describir de una forma fcil y prctica
los temas a desarrollar con el fin que el
Aprendiz realice satisfactoriamente las
actividades propuestas en la Unidad 2.

NORMA ISO 27001 ......................................... 5

Fases .............................................................. 6
Fase de Planificacin (Plan): .......................... 6
Fase de Ejecucin (Do): .................................. 6
Fase de Seguimiento (Check): ........................ 7
Fase de Mejora (Act):..................................... 7

Contenido

NORMA ISO 27002 ......................................... 7

Tema 1: Activos de Informacin......................... 2

NORMA ISO 27003 ......................................... 7

Inventario de los Activos de la Informacin ... 2

NORMA ISO 27004 ......................................... 7

Clasificacin de los Activos de la Informacin 2

NORMA ISO 27005 ......................................... 7

1. Activos de Informacin Puros,.................... 2

NORMA ISO 27006 ......................................... 8

- Datos Digitales:............................................. 2

NORMA ISO 27007 ......................................... 8

-Activos Tangibles:.......................................... 3

NORMA ISO 27011 ......................................... 8

-Activos Intangibles: ....................................... 3

NORMA ISO 27031 ......................................... 8

-Software de Aplicacin: ................................ 3

NORMA ISO 27032 ......................................... 8

-Sistemas Operativos:..................................... 3

NORMA ISO 27799 ......................................... 8

Proteccin de Datos....................................... 8

LSSI-CE ............................................................ 9
Legislacin Firma Electrnica ......................... 9

Tema 1: Activos de Informacin

Los activos de la informacin, son datos
o informacin propiedad de una
organizacin. Esta se almacena en
cualquier tipo de medio fsico o lgico y
es considerada por la misma como
indispensable para el cumplimiento de
los objetivos de la organizacin.
Dentro de los activos de la informacin,
se pueden mencionar: Bases de datos,
documentos,
contratos,
manuales,
Software,
Hardware,
equipos
de
comunicaciones, servicios informticos,
adems, las personas que generan,
transmiten y destruyen la informacin.
Inventario de los activos de la
informacin
Los activos de informacin, deben de
estar en un inventario que permita
identificar, elaborar y mantener un
registro de los activos de la
organizacin. Este inventario, debe de
registrar la siguiente informacin:
-

Nombre del Activo: Nombre

asignado
dentro
de
la
organizacin al activo
Descripcin del Activo
Categora: determinar a qu

categora pertenece el activo:

equipo, aplicacin, servicio, etc.
Ubicacin: lugar en el que se
encuentra ubicado el activo.
Propietario: persona responsable
del activo.
Valoracin: importancia del Activo
dentro de la organizacin.

Nota: este inventario, debe estar

actualizado, de acuerdo con los cambios
que surjan en los activos de la
informacin.

2
Imagen 1. FUENTE: (Bibiloni,

2011).

Clasificacin de los activos de la

informacin
Los activos de la Informacin
clasifican en:

se

1. Activos de informacin puros,

estos pueden ser:
- Datos digitales: Financieros, legales,
de
investigacin
y
desarrollo,
estratgicos y comerciales, correo
electrnico, contestadores automticos,
bases de datos, unidades lgicas
(particiones) privadas y compartidas,
copias de seguridad (CD, DVD), claves
de cifrado.

-Activos
tangibles:
personales,
financieros, legales, de investigacin y
desarrollo, estratgicos y comerciales,
correo
tradicional/electrnico,
FAX,
materiales
de
copia
de
seguridad/archivo,
llaves
de
oficinas/cajas fuertes y otros medios de
almacenamiento,
libros,
revistas,
peridicos.
-Activos intangibles: conocimiento,
relaciones y secretos comerciales,
licencias,
patentes,
experiencia,
conocimientos
tcnicos,
imagen
corporativa/marca/reputacin
comercial/confianza de los clientes,
ventaja competitiva, tica, productividad.
-Software de Aplicacin: propietario
desarrollado por la organizacin, de
cliente (compartido y aplicaciones de
escritorio), planificacin de recursos
empresariales (ERP), de gestin de la
informacin
(MIS),
utilidades
y
herramientas de bases de datos,
aplicaciones de comercio electrnico,
middleware.
-Sistemas Operativos: Servidores,
ordenadores
de
sobremesa,
ordenadores centrales, dispositivos de
red, dispositivos de mano e incrustados
(incluyendo la BIOS y el firmware).

Imagen 2. FUENTE: ( Ogomogo,

2007)

2. Activos fsicos:
Infraestructura TI: Edificios, centros de
datos, habitaciones de equipos y
servidores, armarios de red o cableado,
oficinas,
escritorios,
cajones,
archivadores, salas de almacenamiento
de medios fsicos y cajas de seguridad,
dispositivos
de
identificacin
y
autentificacin, control acceso del
personal, circuito cerrado de televisin
(CCTV).
Controles del entorno de TI: Equipos
de alarma, supresin contra incendio,
sistemas de alimentacin ininterrumpida
(SAI), alimentacin de potencia y de red,
acondicionadores, filtros, supresores de
potencia, refrigeradores, alarmas de
aire, alarmas de agua.
Hardware de TI: Dispositivos de
almacenamiento y cmputo como
computadoras
de
sobremesa,
estaciones
de
trabajo,
porttiles,
equipos
de
mano,
servidores,
mainframes,
mdems,
lneas
de
terminacin de red, dispositivos de
comunicaciones (nodos de la red),
impresoras, fotocopiadoras, fax.

Activos de servicios de TI: servicios

de
autenticacin
de
usuario
y
administracin de procesos de usuario,
enlaces, cortafuegos, servidores proxy,
servicios de red, servicios inalmbricos,
anti-spam, anti-virus, deteccin y/o
prevencin de intrusiones, teletrabajo,
seguridad, FTP, correo electrnico,
mensajera instantnea, servicios web,
contratos de soporte y mantenimiento
de software.

Identificacin
del Activo

INVENTARIO
DE ACTIVOS.

3. Activos humanos:
Empleados:
personal,
directivos,
directores ejecutivos, arquitectos de
software y desarrolladores, probadores,
administradores
de
sistemas,
administradores
de
seguridad,
operadores,
abogados,
auditores,
usuarios con poder y expertos en
general.
Externos: trabajadores temporales,
consultores
externos
o
asesores
especialistas,
contratistas
especializados, proveedores y socios.

Local
izaci

Propietario
Tipo
de
Descripcin

Imagen 3. FUENTE: (Vidal, 2008)

Valoracin de los activos

Al ser identificados, los activos de la
organizacin, deben de tener un valor,
ya que por medio de ste, se identifica
cul es la importancia.
Lo primero que se debe de considerar
para la valoracin de los activos de la
organizacin, es determinar el dao que
puede causar el activo si ste, es
deteriorado en disponibilidad, integridad
y confidencialidad. Luego, se le asigna
un valor donde se evala el dao del
activo frente a:

Violacin de legislacin aplicable.

Reduccin del rendimiento de la
actividad.
Efecto negativo en la reputacin.
Perdida econmicas.
Trastornos en el negocio.

Para determinar si un activo es

deteriorado frente a disponibilidad,
integridad y confidencialidad, se debe
de determinar lo siguiente:
Disponibilidad: se debe de evaluar
cul es la importancia o el impacto para
la organizacin si el activo no estuviera
disponible.
Integridad: se debe de evaluar si el
activo de la organizacin, es alterado sin
autorizacin y/o control.
Confidencialidad: se debe de evaluar
cul es el impacto para la organizacin,
si se accede a los activos de forma no
autorizada.

Tema 2: Normatividad de la
Seguridad Informtica
Las Normas de seguridad son creadas
para demostrar la gestin y seguridad
competente y efectiva de los recursos y
datos que se gestionan en una
organizacin.
La herramienta utilizada para este
proceso es SGSI (Sistema de Gestin
de la Seguridad de la Informacin), el
cual,
por
medio
de
procesos
sistemticos,
documentados
y
conocidos por toda la organizacin, se
garantiza que la seguridad de la
informacin
es
gestionada
correctamente.
NORMA ISO 27000
Las Normas ISO 27000, constan de una
serie de normas en las cuales se
establece el marco para la gestin de la
seguridad.
En la norma 27000, se definen los
trminos y conceptos utilizados en todas
las normas de la familia 27000.

Imagen 4. FUENTE: (Geoffrey

,2011).

NORMA ISO 27001

Norma que especifica los requisitos
para establecer, implantar, poner en
funcionamiento,
controlar,
revisar,
mantener
y
mejorar
un
SGSI
documentado dentro del contexto global

de los riesgos de negocio de la

organizacin. Especifica los requisitos
para la implementacin de los controles
de seguridad hechos a medida de las
necesidades
de
organizaciones
individuales o partes de las mismas1
La Norma ISO 27001, proporciona la
metodologa para la implementacin de
la seguridad de la informacin en
cualquier tipo de organizacin, teniendo
en cuenta los controles de seguridad,
proteccin a los activos de informacin e
identificacin de riesgos.

Fase de Planificacin (Plan): esta fase

se enfoca en la planificacin de
polticas, procesos, procedimientos y
objetivos de la seguridad de la
informacin, con los cuales se
identifican los controles pertinentes de
seguridad.
Esta
es
una
fase
para
el
establecimiento y gestin del SGSI, se
debe de tener en cuenta:

Imagen 5. FUENTE:

(Vidal, 2012)

Fases
La norma 27001 est formada por
cuatro fases que se deben de
implementar
constantemente
para
reducir los riesgos en confidencialidad,
integridad, disponibilidad y auditabilidad
de la informacin. Estas fases son:

______
1. CCIA. (Sin fecha) rea de Ciencias de la
Computacin
e
Inteligencia
Artificial
Consultado el 30 de noviembre de 2013 en:

http://ccia.ei.uvigo.es/docencia/SSI/norm
as-leyes.pdf

Definir el alcance del sistema de

gestin.
Definir la poltica del SGSI.
Definir la metodologa para la
valoracin del riesgo.
Identificar los riesgos.
Elaborar un anlisis y evaluacin
de dichos riesgos.
Identificar
los
diferentes
tratamientos de riesgo.
Seleccionar los controles y
objetivos de los mismos que
posibilitaran dicho tratamiento.

Fase de Ejecucin (Do): en esta fase,

se ejecutan los procesos planificados en
la fase anterior.
Es una fase para la implantacin y
puesta en marcha del SGSI, para ello,
se debe de tener en cuenta:
Preparar un plan de tratamiento del
riesgo.
Implantar los controles que se hayan

seleccionado.

preventivas.

Medir la eficacia de dichos controles.

NORMA ISO 27002

Esta norma involucra el cdigo de
buenas prcticas para la gestin de la
seguridad, donde se tienen en cuenta:

Crear programas
concienciacin.

de

formacin

Imagen 6. FUENTE:

(Snchez, 2008)

Fase de Seguimiento (Check): en esta

fase, se realiza monitoreo al SGSI,
verificando el cumplimiento de los
objetivos establecidos.
Fase de Mejora (Act): esta fase, adopta
acciones correctivas y preventivas
basadas en auditorias y revisiones
internas o en otra informacin relevante
a fin de alcanzar la mejora continua del
SGSI.
En las fases de Seguimiento (Check) y
Mejora (Act) para el Control y
Evaluacin del SGSI, se debe de tener
en cuenta:
- Implantar una serie de procedimientos
para el control y la revisin.
- Puesta en marcha de una serie de
revisiones regulares sobre la eficacia del
SGSI, a partir de los resultados de las
auditorias de seguridad y de las
mediciones.
-Tomar

las

medidas

correctivas

Medidas a tomar para asegurar

los sistemas informticos de una
organizacin.
Describe los objetivos de control
para garantizar la seguridad de la
informacin, y especifica los
controles a implantar.

NORMA ISO 27003

Gua de implementacin de SGSI e
informacin acerca del modelo PDCA
(Plan-Do-Check-Act)
de
los
requerimientos de sus diferentes fases
(Esta norma se encuentra en desarrollo)
NORMA ISO 27004
Especifica las mtricas y las tcnicas de
medida aplicables para determinar la
eficacia de un SGSI y de los controles
relacionados (Esta norma se encuentra
en desarrollo).
NORMA ISO 27005
Gestin de riesgos de seguridad de la
informacin,
donde
se
realizan
recomendaciones, mtodos y tcnicas
para la evaluacin de riesgos de
seguridad.

encuentra en desarrollo).

NORMA ISO 27006

NORMA ISO 27032

Esta norma involucra los requisitos a
cumplir
por
las
organizaciones
encargadas de emitir certificaciones de
la Norma ISO 27001, permite identificar
los requisitos para acreditar entidades
de auditora y certificacin.

Esta norma contiene la gua relativa a la

ciberseguridad
(Esta
norma
se
encuentra en desarrollo).
NORMA ISO 27799
Esta norma contiene la gua para
implantar la Norma ISO 27002
especfica para entornos mdicos.

Imagen 7. FUENTE:

(Vidal, 2012)

Proteccin de Datos
Existen, varias leyes y decretos que
hablan de esto, entre ellas:
-

NORMA ISO 27007

Esta norma, contiene la gua de
actuacin para auditar los SGSI
conforme a las normas 27000.

NORMA ISO 27011

Esta norma, contiene la gua de gestin
de seguridad de la informacin
especfica para telecomunicaciones.
(Esta norma se encuentra en desarrollo)
NORMA ISO 27031
Esta norma contiene la gua de
continuidad de negocio en lo relativo a
las tecnologas de la informacin y
Comunicaciones, (TIC). (Esta norma se

Ley Orgnica 15/1999, de 13 de

Diciembre, de Proteccin de
Datos de Carcter Personal
LOPD.
Real Decreto 994/1999 de 11 de
junio, por el que se aprueba el
Reglamento de Medidas de
Seguridad
de
los
ficheros
automatizados que contengan
datos de carcter personal
Real Decreto 1720/2007 de 19 de
diciembre, por el que se aprueba
el Nuevo Reglamento de Medidas
de Seguridad de los ficheros
automatizados y fsicos que
contengan datos de carcter
personal.

Nota: Todas las organizaciones que

tengan ficheros con datos personales
deben de declararlos a la Agencia
Espaola de Proteccin de Datos
(www.agpd.es).

LSSI-CE
Ley 34/2002 de 11 de julio, de Servicios
de la Sociedad de la Informacin y del
Comercio Electrnico (LSSI-CE), en la
cual se establecen los criterios de
servicios en Internet, cuando sean parte
de alguna actividad econmica.
Legislacin Firma Electrnica
Ley 59/2003 de 19 de diciembre, de
Firma Electrnica. Esta ley equipara la
firma electrnica a la firma fsica,
estableciendo su validez legal.
Referencias
CCIA. (Sin fecha) rea de Ciencias de la
Computacin
e
Inteligencia
Artificial
Consultado el 30 de noviembre de 2013 en:

http://ccia.ei.uvigo.es/docencia/SSI/norm
as-leyes.pdf

Dussan, Antonio (2006) Polticas de

seguridad informtica. Artculo web.
Consultado el 15 de diciembre de
2013,
en:
http://www.unilibrecali.edu.co/entramado
/images/stories/pdf_articulos/volumen2/
Politicas_de_seguridad_informtica.pdf

Emaza. Los 10 tipos de activos en la

Seguridad de la Informacin Qu son y
cmo
valorarlos?
Artculo
web.
Consultado el 15 de diciembre de
2013,
en:
http://www.seguridadinformacion.net/los10-tipos-de-activos-en-la-seguridad-dela-informacion-que-son-y-comovalorarlos/

CONTROL DE DOCUMENTO
Autores

Nombre

Cargo

Dependencia

Fecha

Expertos temticos

Jenny Marisol
Henao Garcia

Experta Temtica

Sena - Centro de
Diseo e Innovacin
Tecnolgica
Industrial Regional
Risaralda

Diciembre 20de
2013

Yuly Paulin Saenz

Agudelo

Experta Temtica

Sena - Centro de
Diseo e Innovacin
Tecnolgica
Industrial Regional
Risaralda.

Diciembre 20 de
2013

John Jairo
Alvarado
Gonzlez

Guionista

Sena - Centro de
Diseo e Innovacin
Tecnolgica
Industrial Regional
Risaralda.

Diciembre 23 de
2013

Andrs Felipe
Valencia Pimienta

Lder lnea de
produccin

Sena - Centro de
Diseo e Innovacin
Tecnolgica
Industrial Regional
Risaralda

Diciembre 23 de
2013

Revisin

10

CRDITOS
Equipo Lnea de Produccin,
SENA Centro de diseo e
innovacin tecnolgica industria,
Dosquebradas
Lder lnea de produccin:
Andrs Felipe Valencia Pimienta
Apoyo lnea de produccin:
Carlos Andrs Mesa Montoya
Asesor pedaggico:
Edward Abilio Luna Daz
Elaboracin de contenidos
expertas temticas:
Yuly Pauln Senz Giraldo
Yenny Marisol Henao Garca
Guionistas:
John Jairo Alvarado Gonzlez
Gabriel Gmez Franco
Diseadores:
Lina Marcela Cardona
Mario Fernando Lpez Cardona
Desarrolladores Front End:
Julin Giraldo Rodrguez
Ricardo Bermdez Osorio
Cristian Fernando Dvila Lpez

11