Anda di halaman 1dari 4

ANÁLISIS DE CASO: SIMÓN II

ESTUDIANTE
LUDWING ORLANDO BRETÓN ORTIZ
CC. 91510507

TUTOR
JAVIER PEREZ CAMPO

SENA
GESTIÓN DE LA SEGURIDAD INFORMÁTICA
NORTE DE SANTADER
CUCUTA 2019
Informe: Análisis de caso: Simón II

Siguiendo con el caso de Simón, él ha determinado que, de acuerdo con


los resultados obtenidos en la organización tecnológica de su empresa, ha
decidido contratarte como asesor para que lo ayudes a identificar cuáles
son los activos de información presentes y que normas de seguridad
informática (vulnerabilidad en confidencialidad, integridad y
disponibilidad) están siendo utilizadas.

Activos de información
Un activo de información principalmente a cualquier conjunto de datos
creado o utilizado por un proceso de la organización, así como el hardware
y el software utilizado para su procesamiento o almacenamiento, los
servicios utilizados para su transmisión o recepción y las herramientas
y/o utilidades para el desarrollo y soporte de sistemas de información.

De acuerdo a lo anterior, debemos comenzar con el inventario de activos


de la organización de Simón y este debe ser actualizado a fin de proteger
todos los activos en términos de su confidencialidad, Integridad,
Disponibilidad)

Después de realizar el análisis de la organización encontramos que esta


posee los siguientes activos:

ACTIVOS PUROS

Datos digitales: en este activo encontramos que la organización maneja


datos financieros, correos electrónicos, la base de datos de los clientes,
algunas aplicaciones y un sin número de documentos.

Activos tangibles: otro medio de almacenamiento como los libros en las


que llevan información manualmente, llaves de la oficina, el correo
tradicional y el fax, los personales y financieros.

Activos intangibles: la imagen corporativa de la empresa, los


conocimientos técnicos de los empleados, secretos comerciales, la
productividad y la experiencia.

Software de aplicación: son los programas como pueden ser las


aplicaciones ofimáticas (procesador de texto, hoja de cálculo),
presentaciones automatizadas, los navegadores de internet,
administradores de bases de datos y programas de productividad.
Sistemas operativos: este es el Windows licenciado que se instaló en
las computadoras.

ACTIVOS FÍSICOS:

Infraestructura: las instalaciones, los escritorios, las sillas y el cableado


de la red, aires acondicionados, extinguidores y demás bienes adquiridos
por la organización.

Controles de entorno: las Alarmas, controles de entrada que aseguren


el permiso de acceso sólo a las personas que están autorizadas.,
alimentadores de potencia y red, supresión contra incendio, etc.

Hardware: Equipos de oficina como los computadores de escritorio


adquiridos por la empresa, impresora, fax y demás dispositivos

Activos de servicios: Conectividad a internet, servicios de soporte


mantenimiento, mensajería instantánea

ACTIVOS HUMANOS:

Empleados: los tres directivos, Personal informático y usuarios con


poder.

Externos: Contratistas, proveedores, entre otros.

Lo siguiente es valorarlos, determinar cuál es la importancia de cada uno


para la organización, Para calcular este valor, se considera cual puede ser
el daño que puede suponer para la organización que un activo resulte
dañado en cuanto a su disponibilidad, integridad y confidencialidad.

Los aspectos a considerar pueden ser los daños como resultado de:

1. Violación de legislación aplicable.


2. Reducción del rendimiento de la actividad.
3. Efecto negativo en la reputación.
4. Perdida económicas.
5. Trastornos en el negocio.

NORMATIVIDAD DE LA SEGURIDAD INFORMÁTICA:

“La herramienta utilizada para este proceso es SGSI (Sistema de Gestión


de la Seguridad de la Información), esta ayuda a establecer políticas y
procedimientos en relación a los objetivos de negocio de la organización,
con objeto de mantener un nivel de exposición siempre menor al nivel de
riesgo que la propia organización ha decidido asumir”

Las normas de seguridad pueden ser utilizadas y se le recomiendan a la


organización de simón son:

ISO/IEC 27001: esta es la que proporciona la metodología para la


implementación de la seguridad de la información en cualquier tipo de
organización, especifica los requisitos para la implementación de SGSI.
Es la norma más importante adopta un enfoque de gestión de riesgos y
promueve la mejora continua de los procesos.

Está formada por cuatro fases que se deben implementar constantemente


para reducir los riesgos en confidencialidad, integridad, disponibilidad y
audibilidad de la información. Estas fases son:

Fase de planificación
Fase de ejecución
Fase de seguimiento
Fase de mejora

ISO/IEC 27008: es un estándar que suministra orientación acerca de la


implementación y operación de los controles, es aplicable a cualquier tipo
y tamaño de empresa, tanto pública como privada que lleve a cabo
revisiones relativas a la seguridad de la información y los controles de
seguridad de la información.