ACTIVIDAD 3

ANÁLISIS DE CASO: SIMÓN II

GESTION DE LA SEGURIDAD INFORMATICA

JEFFERSON LOPEZ GALEANO

CURSO 1900083
Siguiendo con el caso de Simón, él ha determinado que de acuerdo con los
resultados obtenidos en la organización tecnológica de su empresa, ha decidido
contratarte como asesor para que lo ayudes a identificar cuáles son los activos
de información presentes y que normas de seguridad informática (vulnerabilidad
en confidencialidad, integridad y disponibilidad) están siendo utilizadas. Para
ello, siga las instrucciones de la guía de aprendizaje.

ACTIVOS DE INFORMACION

Lo primero que se debe hacer es realizar un inventario de los activos con su

respectiva clasificación y la mejor manera es hacerlo con todas las personas
involucradas en la empresa, de esta forma se analizara mejor el nivel de riesgo
de la información.
Después de realizar la indagación tenemos:

ACTIVOS PUROS
Datos digitables: base de datos, documentaciones como manuales y/o
instructivos del manejo de ciertas aplicaciones, manejo financiero, legales,
comerciales, etc.
Activos tangibles: computadores, impresoras, fotocopiadoras.
Activos intangibles: conocimiento, relaciones y secretos comerciales.
Software de aplicación: sistema de información, herramientas de desarrollo.
Sistemas operativos: servidores, computadores de escritorio.

ACTIVOS FISICOS

Infraestructura: están constituidos por maquinas, equipos, edificios y otros

bienes de inversión.
Controles de entorno: alarmas, alimentadores de potencia y red, supresión
contra incendio.
Hardware: equipos de oficina (PC, portátiles, servidores, dispositivos móviles).
Activos de servicios: conectividad a internet, servicios de mantenimiento.
 ACTIVOS HUMANOS
Empleados: personal informático (administradores, webmaster,
desarrolladores), abogados, auditores.
Externos: contratistas, trabajadores temporales, proveedores.

Al ser identificados ya podemos determinar su nivel de importancia y determinar

el daño que puede causar si el activo fuera deteriorado en confidencialidad,
integridad y disponibilidad.
 violación de legislación aplicable
 Reducción del rendimiento de la actividad
 Efecto negativo en la reputación
 Perdidas económicas
Esto debe ser evaluado periódicamente para así evitar que cualquiera de los CID
(confidencialidad, integridad y disponibilidad) presente deterioros.

NORMATIVIDAD DE LA SEGURIDAD INFORMATICA

“El sistema de gestión de la seguridad de la información preserva la

confidencialidad, integridad y disponibilidad de la información, mediante la
aplicación de un proceso de gestión del riesgo y brinda confianza a las partes
interesadas acerca de que los riesgos son gestionados adecuadamente”
Se recomienda a Simón implementar:
ISO/EC 27005: es el estándar que se ocupa de la gestión de riesgos de
seguridad de información; la norma suministra las directrices para la gestión de
riesgos de seguridad de la información de una empresa, apoyando
particularmente los requisitos del sistema de seguridad definidos en ISO 27001.

ISO/EC 27008: es un estándar que suministra orientación acerca de la

implementación y operación de los controles, es aplicable a cualquier tipo y
tamaño de empresa, tanto pública como privada, que lleve a cabo revisiones
relativas a la seguridad de la información y los controles de seguridad de la
información.