CASO SIMON II.

LADY JOHANNA ORTIZ CAÑAS

Instructor

JUAN JOSÉ BOTELLO CASTELLANOS

INGENIERO DE SISTEMAS

SENA

GESTIÓN DE LA SEGURIDAD INFORMÁTICA

TULUÁ

2019
 CONTENIDO

Pág.

INTRODUCCIÓN 2

OBJETIVO 3

PLANTEAMIENTO DEL CASO 4

DESARROLLO 5

CONCLUSIONES 8

1
 INTRODUCCIÓN

Las empresas presentan activos de información que son importantes para el desarrollo
de las actividades diarias y para lograr una efectividad en la producción, cabe anotar que
se debe implementar las normas de seguridad informática.

2
 OBJETIVO

Identificar los activos de información presentes en la empresa de simón con el fin de

implementar las que normas de seguridad informática existentes para evitar así la fuga
de información, bases de datos e información financiera de la empresa con el fin de que
no se presente trastornos en la eficiencia de la empresa

3
PLANTEAMIENTO DEL CASO

Simón II Siguiendo con el caso de Simón, él ha determinado que, de acuerdo con los
resultados obtenidos en la organización tecnológica de su empresa, ha decidido
contratarte como asesor para que lo ayude a identificar cuáles son los activos de
información presentes y que normas de seguridad informática (vulnerabilidad en
confidencialidad, integridad y disponibilidad) están siendo utilizadas.

4
IDENTIFICAR CUÁLES SON LOS ACTIVOS DE INFORMACIÓN PRESENTES

Activos de información
Un activo de información principalmente a cualquier conjunto de datos creado o utilizado
por un proceso de la organización, así como el hardware y el software utilizado para su
procesamiento o almacenamiento, los servicios utilizados para su transmisión o
recepción y las herramientas y/o utilidades para el desarrollo y soporte de sistemas de
información.

ACTIVOS PUROS

Datos digitales: en este activo encontramos que la organización maneja datos

financieros, correos electrónicos, la base de datos de los clientes, algunas aplicaciones y
un sin número de documentos

Activos tangibles: otro medio de almacenamiento como los libros en las que llevan
información manualmente, llaves de la oficina, el correo tradicional y el fax, los
personales y financieros

Activos intangibles: la imagen corporativa de la empresa, los conocimientos técnicos

de los empleados, secretos comerciales, la productividad y la experiencia

Software de aplicación: son los programas como pueden ser las aplicaciones ofimáticas
(procesador de texto, hoja de cálculo), presentaciones automatizadas, los navegadores
de internet, administradores de bases de datos y programas de productividad

Sistemas operativos: este es el Windows licenciado que se instaló en los computadoras

ACTIVOS FÍSICOS:

Infraestructura: las instalaciones, los escritorios, las sillas y el cableado de la red, aires
acondicionados, extinguidores y demás bienes adquiridos por la organización.

Controles de entorno: las Alarmas, controles de entrada que aseguren el permiso de

acceso sólo a las personas que están autorizadas., alimentadores de potencia y red,
supresión contra incendio, etc.

Hardware: Equipos de oficina como los computadores de escritorio adquiridos por la

empresa, impresora, fax y demás dispositivos

Activos de servicios: Conectividad a internet, servicios de soporte mantenimiento,

mensajería instantánea

5
ACTIVOS HUMANOS:

Empleados: los tres directivos, Personal informático y usuarios con poder.

Externos: Contratistas, proveedores, entre otros.

Se determina cuál es la importancia de cada uno para la organización, se verifica cual

puede ser el daño que ocasiona a la empresa cuando algún activo se dañe, así:

 Reducción del rendimiento de la actividad

 Perdida de base de datos e información económica de la empresa.
 Trastornos en eficiencia de la empresa.
 No dar aplicabilidad a la normatividad

NORMAS DE SEGURIDAD INFORMÁTICA (VULNERABILIDAD EN

CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD) ESTÁN SIENDO
UTILIZADAS

6
ISO/IEC 27001: esta es la que proporciona la metodología para la implementación de la
seguridad de la información en cualquier tipo de organización, especifica los requisitos
para la implementación de SGSI. Es la norma más importante adopta un enfoque de
gestión de riesgos y promueve la mejora continua de los procesos. La comprenden cuatro
fases para reducir los riesgos en confidencialidad, integridad, disponibilidad y audibilidad
de la información. asi:

Fase de planificación
Fase de ejecución
Fase de seguimiento
Fase de mejora

ISO/IEC 27008: es un estándar que suministra orientación acerca de la implementación

y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto
pública como privada que lleve a cabo revisiones relativas a la seguridad de la
información y los controles de seguridad de la información.

CONCLUSIÓN

7
La empresa debe implementar las normas de seguridad informática con el fin de proteger
los activos de información, evitando la fuga de información y daños que generan altos
costos a la entidad

ANÁLISIS DE CASO: SIMÓN II

SiguiendoconelcasodeSimón,élhadeterminadoquedeacuerdoconlosresultados obtenidos
enlaorganizacióntecnológicadesuempresa,hadecididocontratartecomo asesorparaquelo
ayudesaidentificarcuálessonlosactivosdeinformaciónpresentesy quenormasdeseguridadi
nformática(vulnerabilidadenconfidencialidad,integridady disponibilidad) están siendo
utilizadas.
Activos de la información
Sedenominanactivosdelainformaciónprincipalmenteacualquierconjuntodedatos creados
outilizadosporlosdiferentesprocesosdentrodelaorganización,asícomolos diferenteseleme
ntosdehardwareysoftwareutilizadosparasuprocesamientoy almacenamiento,losservicios
queseempleanparatransmitirlaoparareceptarlay/olas utilidadesquesetienenencuentapara
eldesarrolloysoportedelosdiferentessistemasde información.Esimportantehacerelinventa
riodeactivosdelaOrganizacióndeSimónyquesealomás actualizadaposibleconelfindeprote
gerlosentérminosdesuCID(confidencialidad, integridadydisponibilidad).Despuésderealiz
arelanálisisdelaorganizaciónencontramos los siguientes activos:
ACTIVOS PUROS
●
Datosdigitales:

Comprensedatosfinancieros,correoselectrónicos,labasede

datos de los clientes, algunas aplicaciones y una gran cantidad de documentos.●

Activostangibles:

Mediosdealmacenamientocomoloslibrosenloscualesse

llevantodotipodeinformaciónmanualmente,llavesdelaoficina,correotradicionaly el fax.●
Softwaredeaplicación:
Sonprogramascomoenelcasodelasaplicaciones

ofimáticas(procesadordetexto,hojasdecálculo),presentacionesautomatizadas, losnavega
doresdeinternet,sistemasadministradoresdebasededatosyotros programas
de productividad.●
Sistemasoperativos:

Windowslicenciadoqueseinstalaenloscomputadoreso

8
cualquierotrosistemaoperativoquesedeseeinstalar,peroteniendoencuentaque debe
tener licencia.
ACTIVOS FÍSICOS
●
Infraestructura:
Lasinstalaciones,losescritorios,lassillasyelcableadodelared, aireacondicionado(encasod
equesetenga),extintoresyelementosdeseguridad en el trabajo, botiquines y demás
bienes adquiridos por la organización.●
Controlesdeentorno:
Lasalarmas,controlesdeaccesoenlasentradasque

asegurenelpermisodeaccesosoloalaspersonasautorizadas,alimentadoresde potencia y
de red, elementos contra incendios, etc.●
Hardware:
Equiposdeoficinacomolascomputadorasdeescritorioadquiridosporla organización,
impresoras, fax, teléfonos, etc.

●Activosdeservicio:Conectividadainternet,serviciosdesoporteymantenimiento, mensajerí
a instantánea y servicios públicos.

ACTIVOS HUMANOS
●
Empleados:
Los tres directivos, personal informático y personal operativo.●
Externos:
Contratistas, proveedores, clientes, entre otros

ANALISIS DE CASO: SIMON II

Siguiendo con el caso de Simón, él ha determinado que de acuerdo con los resultados
obtenidos en la organización tecnológica de su empresa, ha decidido contratarte como
asesor para que lo ayudes a identificar cuáles son los activos de información presentes
y que normas de seguridad informática (vulnerabilidad en confidencialidad, integridad y
disponibilidad) están siendo utilizadas

Activos de información
Un activo de información principalmente a cualquier conjunto de datos creado o utilizado
por un proceso de la organización, así como el hardware y el software utilizado para su
procesamiento o almacenamiento, los servicios utilizados para su transmisión o
recepción y las herramientas y/o utilidades para el desarrollo y soporte de sistemas de
información.

9
De acuerdo a lo anterior, debemos comenzar con el inventario de activos de la
organización de Simón y este debe ser actualizado a fin de proteger todos los activos en
términos de su confidencialidad, Integridad, Disponibilidad)

Después de realizar el análisis de la organización encontramos que esta posee los

siguientes activos:

ACTIVOS PUROS

Datos digitales: en este activo encontramos que la organización maneja datos

financieros, correos electrónicos, la base de datos de los clientes, algunas aplicaciones y
un sin número de documentos

Activos tangibles: otro medio de almacenamiento como los libros en las que llevan
información manualmente, llaves de la oficina, el correo tradicional y el fax, los
personales y financieros

Activos intangibles: la imagen corporativa de la empresa, los conocimientos técnicos

de los empleados, secretos comerciales, la productividad y la experiencia

Software de aplicación: son los programas como pueden ser las aplicaciones ofimáticas
(procesador de texto, hoja de cálculo), presentaciones automatizadas, los navegadores
de internet, administradores de bases de datos y programas de productividad

Sistemas operativos: este es el Windows licenciado que se instaló en los computadoras

ACTIVOS FÍSICOS:

Infraestructura: las instalaciones, los escritorios, las sillas y el cableado de la red, aires
acondicionados, extinguidores y demás bienes adquiridos por la organización.

Controles de entorno: las Alarmas, controles de entrada que aseguren el permiso de

acceso sólo a las personas que están autorizadas., alimentadores de potencia y red,
supresión contra incendio, etc.

Hardware: Equipos de oficina como los computadores de escritorio adquiridos por la

empresa, impresora, fax y demás dispositivos

Activos de servicios: Conectividad a internet, servicios de soporte mantenimiento,

mensajería instantánea

10
ACTIVOS HUMANOS:

Empleados: los tres directivos, Personal informático y usuarios con poder.

Externos: Contratistas, proveedores, entre otros.

Lo siguiente es valorarlos, determinar cuál es la importancia de cada uno para la

organización, Para calcular este valor, se considera cual puede ser el daño que puede
suponer para la organización que un activo resulte dañado en cuanto a su disponibilidad,
integridad y confidencialidad.

Los aspectos a considerar pueden ser los daños como resultado de:

1. Violación de legislación aplicable.

2. Reducción del rendimiento de la actividad.
3. Efecto negativo en la reputación.
4. Perdida económicas.
5. Trastornos en el negocio.

NORMATIVIDAD DE LA SEGURIDAD INFORMÁTICA:

“La herramienta utilizada para este proceso es SGSI (Sistema de Gestión de la Seguridad
de la Información), esta ayuda a establecer políticas y procedimientos en relación a los
objetivos de negocio de la organización, con objeto de mantener un nivel de exposición
siempre menor al nivel de riesgo que la propia organización ha decidido asumir”

Las normas de seguridad pueden ser utilizadas y se le recomiendan a la organización de

simón son:

ISO/IEC 27001: esta es la que proporciona la metodología para la implementación de la

seguridad de la información en cualquier tipo de organización, especifica los requisitos
para la implementación de SGSI. Es la norma más importante adopta un enfoque de
gestión de riesgos y promueve la mejora continua de los procesos.

11
Está formada por cuatro fases que se deben implementar constantemente para reducir
los riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la información.
Estas fases son:

Fase de planificación
Fase de ejecución
Fase de seguimiento
Fase de mejora

ISO/IEC 27008: es un estándar que suministra orientación acerca de la implementación

y operación de los controles, es aplicable a cualquier tipo y tamaño de empresa, tanto
pública como privada que lleve a cabo revisiones relativas a la seguridad de la
información y los controles de seguridad de la información.

12
13
14
15
Qué ventajas tiene para una empresa, el documentar la metodología de valoración,
mitigación y seguimiento de riesgos en los activos de información

Al documentar la metodología de análisis, valoración, mitigación y seguimiento de riesgos en los activos

de información de una manera estructurada y modular (por
fases o etapas) permite identificar, evaluar, controlar y valorar los riesgos en el área informática de
una empresa o entidad. El trabajo se desarrollará documentado cada una de las fases o etapas
que componen la metodología: Fase de identificación, evaluación, control
y valoración, incluyendo las actividades que se deben ejecutar en cada fase. Después de identificar
y evaluar las amenazas asociadas a
los sistemas y sus componentes, se iniciarán programas de control de riesgos lo cual nos ayudar a:

16
1. Reducción de costos.
2. Mayor nivel de satisfacción de clientes y empleados.
3. Incremento de la productividad, al reducirse los siniestros.
4. Disminución drástica de la incertidumbre.
5. Logro de los objetivos organizacionales.
6. Posibilidad de evitar situaciones que podrían causar pérdidas inesperadas y no planificadas.
7. Mejora del rendimiento
8. Optimización de recursos
9. Política de prevención

17
18
19