Cules son las estrategias de seguridad que una organizacin debe tomar con sus activos

de informacin en un mundo que constantemente esta ciberconectado?

Las estrategias cambian dependiendo la empresa (depende de los servicios o bienes que
ofrezcan), sin embargo se pueden mencionar estrategias como:
-Incluir los aspectos de la seguridad con la empresa.
-Invertir en controles y tecnologa que les permita ser competitivos.
-Considerar selectivamente la posibilidad de subcontratar reas del programa de seguridad
operativa.
-Invertir en capacitacin del personal en reas de tecnologa y reas a fines.
Elabore un documento en Word donde mencione y explique los elementos identificados
como activos de informacin y estndares de seguridad en la empresa de Simn.
Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto debe
protegerse. De manera que un activo de informacin es aquel elemento que contiene o manipula
informacin. Activos de informacin son ficheros y bases de datos, contratos y acuerdos,
documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones,
software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos y
de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y
aire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan,

transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerar

todos los tipos de activos de informacin.

Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir
diferentes categoras de los mismos:
- Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan,
transmiten y destruyen en la organizacin.
- Aplicaciones: El software que se utiliza para la gestin de la informacin.
- Personal: En esta categora se encuentra tanto la plantilla propia de la organizacin, como el
personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de
una manera u otra a los activos de informacin de la organizacin.
- Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte de la
organizacin suministra a otra (por ejemplo la gestin administrativa), como los externos,
aquellos que la organizacin suministra a clientes y usuarios (por ejemplo la comercializacin de
productos).
- Tecnologa: Los equipos utilizados para gestionar la informacin y las comunicaciones
(servidores, PCs, telfonos, impresoras, routers, cableado, etc.)
- Instalaciones: Lugares en los que se alojan los sistemas de informacin (oficinas, edificios,
vehculos, etc.)

- Equipamiento auxiliar: En este tipo entraran a formar parte todos aquellos activos que dan
soporte a los sistemas de informacin y que no se hallan en ninguno de los tipos anteriormente
definidos (equipos de destruccin de datos, equipos de climatizacin, etc.)
Cada uno de los activos que se identifiquen debe contar con un responsable, que ser su
propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque no
necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede existir un activo
que sea la base de clientes y Simn podra ser el Director Comercial, sin embargo sern los
comerciales de la organizacin los usuarios del mismo y el responsable de sistemas el encargado
del mantenimiento de la base de datos. Pero Simn es quien decide quin accede y quin no a la
informacin, si es necesario aplicarle alguna medida de seguridad o existe algn riesgo que deba
ser tenido en cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad
exigidas por la Ley, etc.

II. Inventario de activos: El inventario de activos que se va a utilizar para la gestin de la

seguridad no debera duplicar otros inventarios, pero s que debe recoger los activos ms
importantes e identificarlos de manera clara y sin ambigedades.
El inventario de activos es la base para la gestin de los mismos, ya que tiene que incluir toda la
informacin necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre.
Esta informacin como mnimo es:
- Identificacin del activo: Un cdigo para ordenar y localizar los activos.

- Tipo de activo: A qu categora de las anteriormente mencionadas pertenece el activo.

- Descripcin: Una breve descripcin del activo para identificarlo sin ambigedades.
- Propietario: Quien es la persona a cargo del activo.
- Localizacin: Dnde est fsicamente el activo. En el caso de informacin en formato
electrnico, en qu equipo se encuentra. El inventario de activos no es recomendable que sea
demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un
equipo informtico no es probable que vaya a proporcionar informacin relevante en cuanto a las
amenazas y los riesgos a los que debe hacer frente la organizacin y adems complicar
enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos haya ms
laborioso ser el mismo.
El inventario deber recoger los activos que realmente tengan un peso especfico y sean
significativos para la organizacin, agrupando aquellos que, por ser similares, tenga sentido
hacerlo. Por ejemplolos computadores que adquirio Simn tienen parecidas caractersticas
tcnicas y en la misma ubicacin fsica, pueden agruparse en un nico activo, denominado por
ejemplo equipo informtico. En el caso si los computadores y porttiles no salieran nunca y los
permanecieran siempre en la misma ubicacin, tambin se podra asumir que constituyen un
nico activo pero si los porttiles se utilizan fuera de las instalaciones de la organizacin, ya no
se podran agrupar los equipos, ya que las circunstancias en las que se utilizaran los equipos son
distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico fijo para
los PCs y Equipo informtico mvil para los porttiles.

En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto, puede

hacer necesario el desarrollar un rbol de dependencias entre activos. El concepto es que algunos
activos dependen de otros, en uno o ms parmetros de seguridad. Identificar y documentar estas
dependencias constituye un rbol de dependencias, que dar una idea ms exacta del valor de
cada activo.
III. Valoracin de los activos: Una vez identificados los activos, el siguiente paso a realizar es
valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin, cual es su importancia
para la misma. Para calcular este valor, se considera cual puede ser el dao que puede suponer
para la organizacin que un activo resulte daado en cuanto a su disponibilidad, integridad y
confidencialidad. Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o
cualitativa. Si es posible valorar econmicamente los activos, se utiliza la escala cuantitativa. En
la mayora de los casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan
escalas cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo
de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden ser los
daos como resultado de:
- Violacin de legislacin aplicable.
- Reduccin del rendimiento de la actividad.
- Efecto negativo en la reputacin.
- Prdidas econmicas.
- Trastornos en el negocio.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar involucradas
todas las reas de la organizacin, aunque no participen en otras partes del proyecto y de esta
manera obtener una imagen realista de los activos de la organizacin. Es til definir con
anterioridad unos parmetros para que todos los participantes valoren de acuerdo a unos criterios
comunes, y se obtengan valores coherentes. Un ejemplo de la definicin de estos parmetros
podra ser:
- Disponibilidad: Para valorar este criterio debe responderse a la pregunta de cul sera la
importancia o el trastorno que tendra el que el activo no estuviera disponible.
-Integridad: Para valorar este criterio la pregunta a responder ser qu importancia tendra que el
activo fuera alterado sin autorizacin ni control.
-Confidencialidad: En este caso la pregunta a responder para ponderar adecuadamente este
criterio ser cual es la importancia que tendra que al activo se accediera de manera no
autorizada.

Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin
competente y efectiva de la seguridad de los recursos y datos que gestionan.
Deben demostrar que identifican y detectan los riesgos a los que est sometida y que adoptan
medidas adecuadas y proporcionadas.
Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a Seguir.

Herramienta: SGSI (Sistema de Gestin de la Seguridad de la Informacin). En ingls ISMS

(Information Security Management System). SGSI: proceso sistemtico, documentado y
conocido por toda la organizacin para garantizar que la seguridad de la informacin es
gestionada correctamente.

- Normas ISO 27000: Familia de estndares de ISO (International Organization for

Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco
para la gestin de la seguridad.

Seguridad de la informacin (segn ISO 27001): preservacin de su confidencialidad, integridad

y disponibilidad, as como la de los sistemas implicados en su tratamiento
- Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o
procesos no autorizados.
-Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de
proceso.
- Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la
misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Norma ISO 27001 que especifica los requisitos para establecer, implantar, poner en
funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del
contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la
implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones

individuales o partes de las mismas Objetivo: Mejora continua Se adopta el modelo Plan-DoCheckAct (PDCA ciclo de Deming) para todos los procesos de la organizacin.

Fase Planificacin (Plan) [establecer el SGSI]: Establecer la poltica, objetivos, procesos y

procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la
organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la
organizacin.
Fase Ejecucin (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de
acuerdo a su poltica, controles, procesos y procedimientos.
Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de
los procesos del SGSI.
Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas
basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la
mejora contnua del SGSI.

ISO 27002: Conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar
los Sistemas de Informacin. Los objetivos de seguridad recogen aquellos aspectos
fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas
que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de
medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin

del riesgo analizado. Objetivo: Definir los aspectos prcticos/operativos de la implantacin del
SGSI.