ACTIVOS Y SEGURIDAD

EDWIN DAVID MOSQUERA SIERRA

CURSO: GESTION DE LA SEGURIDAD INFORMATICA - 953046

SERVICIO NACIONAL DE APRENDIZAJE - SENA

BUENAVENTURA - VALLE
2015

Activos y seguridad
Actividades de apropiacin del conocimiento (Anlisis de caso)
Caso de Simn:
l ha determinado que de acuerdo a los resultados obtenidos en la organizacin tecnolgica
de su empresa, ha decidido contratarte como asesor para que lo ayudes a identificar cules
son los activos de informacin presentes y que normas de seguridad informtica
(vulnerabilidad en confidencialidad, integridad y disponibilidad) estn siendo utilizadas.
Solucin:
Don Simn se ha dado cuenta que su empresa se esta desarrollando eficientemente lo que
se requiere tener algunos roles especficos para asegurar la informacin que se maneja sea
de la empres como de los usuario, lo cual se ha generado una serie de preguntas que seran:
l es consciente de la importancia que tiene la informacin para su organizacin? Se ha
planteado si las medidas de seguridad con las que cuentan son suficientes para su
proteccin? Entre otras.
La informacin de su negocio resulta cada da ms importante. Su tratamiento, a menudo
hace que sta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema
de Gestin de la Seguridad de la Informacin (SGSI) es sin duda la forma ms prctica de
seguir un conjunto de buenas prcticas que garanticen que el tratamiento de la informacin
de nuestra empresa es adecuado.
Por lo tanto me ha contratado para esa labor, lo cual es muy gratificante, ya que es un trabajo
muy riesgoso porque me da la confianza para que yo le brinde proteccin a su empresa, as
que lo primero que tendra en cuenta seria la norma que protege la informacin de una
empresa.
Los activos de seguridad de la informacin
Se explica en este tema como deben abordarse la elaboracin de un inventario de activos
que recoja los principales activos de informacin de la organizacin, y como deben valorarse
esos activos en funcin de su relevancia para la misma y del impacto que ocasionara un fallo
de seguridad en ellos.
El contenido de este tema:

Identificacin de los activos de informacin.

Inventarios de activos.
Valoracin de los activos.

Identificar los activos de informacin

Se denomina activo aquello que tiene algn valor para la organizacin y por lo tanto debe
protegerse. De manera que un activo de informacin es aquel elemento que contiene o
manipula informacin.

Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin

del sistema, manuales de los usuarios, material de formacin, aplicaciones, software del
sistema, equipos informticos, equipos de comunicaciones, servicios informticos y de
comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y
aire acondicionado y las personas que son al fin y al cabo las que en ultima instancia generan,
trasmiten y destruyen informacin, es decir dentro de una organizacin se han de considerar
todos los tipos de activos de informacin.

La norma ISO 27001: define como implantar un Sistema de Gestin de Seguridad de la

informacin que aporta a la Organizacin interesantes beneficios:

Ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre

otras, la Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPD), la Ley
de Servicios de la Sociedad de la Informacin y Comercio Electrnico (LSSICE),
Propiedad Intelectual, etc.
Aporta a la empresa un valor aadido, dando a nuestros clientes una mayor
credibilidad, ya que contar con esta certificacin, asegura que tenemos un proceso
adecuado para la gestin de la informacin.
Ofrece una metodologa para llevar a cabo un Anlisis y Gestin de Riesgos.
Garantiza la implantacin de medidas de seguridad consistentes, eficientes y
apropiadas al valor de la informacin protegida.

Contempla planes de contingencia ante cualquier tipo de incidencia (prdidas de

datos, incendio, robo, terrorismo, etc.)
Puede ser utilizada como herramienta de diferenciacin frente a la competencia.
Mejora la concienciacin del personal en todo lo que se refiere a la seguridad y a
sus responsabilidades dentro de la organizacin.

El desarrollo de las nuevas tecnologas hace que el tratamiento de la informacin haya dado
un cambio importante en la cultura empresarial y obliga a extremar las precauciones para
garantizar:

La confidencialidad: Evitar que la informacin est a disposicin de individuos,

entidades o procesos que no tienen autorizacin.
La disponibilidad: Asegurar que la informacin sea accesible cuando sea necesario.
La integridad: Mantener la informacin exacta y completa.

Contar con un SGSI ayudar a la Direccin de nuestra empresa a decidir qu polticas y

objetivos de seguridad deben establecerse y nos permitir crear mecanismos que nos ayuden
a proteger la informacin y los sistemas que los procesan.

Para implementar un SGSI conforme a la norma ISO 27001 se deber establecer un

ciclo continuo 'PDCA' como el utilizado en los sistemas de calidad:
Planificar: Establecer el Sistema de Gestin, su alcance y objetivos. En esta fase
deber definirse la poltica de seguridad de la organizacin y la metodologa para la
evaluacin de los riesgos que utilizaremos en nuestro Sistema. Posteriormente,
debern identificarse los riesgos que nuestros activos tienen, evaluando las amenazas
y vulnerabilidades que estos pudieran tener y los impactos que tendra el negocio ante
una prdida de confidencialidad, integridad o disponibilidad.
Una vez analizados los riesgos y determinadas qu situaciones no son aceptables
para la empresa, se establecer un plan para tratar y mitigar los riesgos no aceptables.
Para ello, se aplicarn los controles oportunos. Debern seleccionarse los objetivos
de control y controles del anexo A de la norma ISO 27001 que sern utilizados para
el tratamiento de los riesgos y sern recogidos en una declaracin de aplicabilidad.

Do: Hacer, implementar y utilizar el Sistema de Gestin, sus controles de seguridad y

sus exigencias normativas.
En esta fase deber establecerse un plan para la gestin de los riesgos que incluya
su oportuna planificacin y desglose de responsabilidades y organizacin de los
proyectos.
Adems debern definirse los indicadores que ayuden a la organizacin a conocer la
eficacia y eficiencia de las acciones llevadas a cabo para la mitigacin de los riesgos.
Se concienciar y formar a todos las personas y se implantarn los controles
establecidos en la fase anterior.
Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y
cubren los objetivos deseados.
En esta fase se deber revisar la efectividad del Sistema a tiempos planificados y se
revisarn los niveles de riesgo, siempre que existan cambios en la organizacin, la
tecnologa, los procesos, etc
El sistema deber someterse a auditoras internas planificadas y el resultado de estas
y de las actividades deber ser revisada por parte de la Direccin de la empresa.
Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del
mismo.
Una vez superados los ciclos anteriores y, sobre la base de los resultados de los
mismos, debern implantarse las acciones de mejora necesarias para afianzar el
Sistema y para alcanzar los objetivos previstos.

Esta norma tambin es importante, ya que en cada apartado o articulo explica como se debe
organizar para tener una buena seguridad de la informacin que se maneja.
ISO 27002
La ISO 27002 es una gua de buenas prcticas que expone recomendaciones a tener en
cuenta para cada uno de los controles del anexo A de la ISO 27001. En la norma ISO 27001
se habla de estos controles en su anexo A, pero no forma parte del corazn de la norma ya
que no olvidemos que la ISO 27001 define como gestionar la seguridad (como implementar
un Sistema de Gestin de Seguridad de la Informacin).

La ISO 27002 es, por lo tanto, una ayuda en la gestin de los riesgos que se organiza en los
siguientes apartados:
Apartado 5: Poltica de Seguridad. El objetivo de este control es contar con una Poltica de
Seguridad documentada y revisada peridicamente.
Apartado 6: Aspectos organizativos. Este control establece cmo debera estar compuesta la
organizacin de la seguridad de la empresa, cmo deben coordinarse las actividades y cmo
deben mantenerse activas las relaciones con los terceros que pudieran colaborar con
nosotros.
Apartado 7: Gestin de activos. Este apartado propone contar con un inventario detallado de
activos que recoja sus funcionalidades. Adems, establece pautas para el uso responsable y
adecuado de los mismos. Este apartado recoge adems la necesidad de contar con un
procedimiento de tratamiento de la clasificacin, as como las medidas de seguridad que
deberan considerarse en funcin de la clasificacin de estos.
Apartado 8: Recursos humanos. Dividido en tres controles, establece las medidas de
seguridad que deberan considerarse en cada una de las fases de desempeo de trabajo
(definicin del puesto, desempeo de las funciones y a la finalizacin o cambio del puesto de
trabajo).
Apartado 9: Seguridad fsica y ambiental. Las medidas de seguridad fsica y del entorno
quedan recogidas en dos controles de este apartado. Por una parte, se establecen los
requerimientos fsicos de los edificios, como el establecimiento de permetros de seguridad,
las zonas de carga o los controles fsicos de entrada y, por otra, la seguridad de los equipos,
considerando el suministro, la seguridad del cableado o el mantenimiento de los mismos.
Apartado 10: Seguridad comunicaciones y operaciones. La operacin de las comunicaciones
debera estar procedimentada adecuadamente, estableciendo de manera clara las
responsabilidades que, en materia de operacin, deban considerarse. En este apartado se
incluye tambin la supervisin de los servicios que son contratados a terceros y la
planificacin de los requisitos y necesidades de seguridad de los sistemas.
Apartado 11: Control de accesos. Este apartado presenta las pautas que debern tenerse en
cuenta para el control de los accesos a las redes, a los sistemas operativos y a las
aplicaciones corporativas. As mismo, debern considerarse qu privilegios son los
adecuados para cada usuario o cules son las responsabilidades que el usuario tiene para la
proteccin de su puesto de trabajo.
Apartado 12: Adquisicin, desarrollo y mantenimiento de sistemas. Este sistema propone que
los sistemas debieran contar con unos requisitos de seguridad especficos que abarcan desde
la entrada de los datos hasta el control del software y las medidas de seguridad de los
procesos de desarrollo de software. En este apartado se considera adems el control de las
vulnerabilidades tcnicas.
Apartado 13: Gestin de incidentes. Deber establecerse cules son los canales de
comunicacin de eventos y debilidades y cmo ser el proceso de gestin de incidencias.

Apartado 14: Gestin de continuidad del negocio. Este apartado establece los requisitos que
deberan considerarse en relacin a garantizar la continuidad de los servicios crticos del
negocio.
Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garanta del
cumplimiento de las exigencias legales que cada organizacin tiene. Adems, se incluyen en
este apartado las consideraciones que deben tenerse en cuenta en la auditora de los
sistemas.