Beruflich Dokumente
Kultur Dokumente
Activos y seguridad
Actividades de apropiacin del conocimiento (Anlisis de caso)
Caso de Simn:
l ha determinado que de acuerdo a los resultados obtenidos en la organizacin tecnolgica
de su empresa, ha decidido contratarte como asesor para que lo ayudes a identificar cules
son los activos de informacin presentes y que normas de seguridad informtica
(vulnerabilidad en confidencialidad, integridad y disponibilidad) estn siendo utilizadas.
Solucin:
Don Simn se ha dado cuenta que su empresa se esta desarrollando eficientemente lo que
se requiere tener algunos roles especficos para asegurar la informacin que se maneja sea
de la empres como de los usuario, lo cual se ha generado una serie de preguntas que seran:
l es consciente de la importancia que tiene la informacin para su organizacin? Se ha
planteado si las medidas de seguridad con las que cuentan son suficientes para su
proteccin? Entre otras.
La informacin de su negocio resulta cada da ms importante. Su tratamiento, a menudo
hace que sta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema
de Gestin de la Seguridad de la Informacin (SGSI) es sin duda la forma ms prctica de
seguir un conjunto de buenas prcticas que garanticen que el tratamiento de la informacin
de nuestra empresa es adecuado.
Por lo tanto me ha contratado para esa labor, lo cual es muy gratificante, ya que es un trabajo
muy riesgoso porque me da la confianza para que yo le brinde proteccin a su empresa, as
que lo primero que tendra en cuenta seria la norma que protege la informacin de una
empresa.
Los activos de seguridad de la informacin
Se explica en este tema como deben abordarse la elaboracin de un inventario de activos
que recoja los principales activos de informacin de la organizacin, y como deben valorarse
esos activos en funcin de su relevancia para la misma y del impacto que ocasionara un fallo
de seguridad en ellos.
El contenido de este tema:
El desarrollo de las nuevas tecnologas hace que el tratamiento de la informacin haya dado
un cambio importante en la cultura empresarial y obliga a extremar las precauciones para
garantizar:
Esta norma tambin es importante, ya que en cada apartado o articulo explica como se debe
organizar para tener una buena seguridad de la informacin que se maneja.
ISO 27002
La ISO 27002 es una gua de buenas prcticas que expone recomendaciones a tener en
cuenta para cada uno de los controles del anexo A de la ISO 27001. En la norma ISO 27001
se habla de estos controles en su anexo A, pero no forma parte del corazn de la norma ya
que no olvidemos que la ISO 27001 define como gestionar la seguridad (como implementar
un Sistema de Gestin de Seguridad de la Informacin).
La ISO 27002 es, por lo tanto, una ayuda en la gestin de los riesgos que se organiza en los
siguientes apartados:
Apartado 5: Poltica de Seguridad. El objetivo de este control es contar con una Poltica de
Seguridad documentada y revisada peridicamente.
Apartado 6: Aspectos organizativos. Este control establece cmo debera estar compuesta la
organizacin de la seguridad de la empresa, cmo deben coordinarse las actividades y cmo
deben mantenerse activas las relaciones con los terceros que pudieran colaborar con
nosotros.
Apartado 7: Gestin de activos. Este apartado propone contar con un inventario detallado de
activos que recoja sus funcionalidades. Adems, establece pautas para el uso responsable y
adecuado de los mismos. Este apartado recoge adems la necesidad de contar con un
procedimiento de tratamiento de la clasificacin, as como las medidas de seguridad que
deberan considerarse en funcin de la clasificacin de estos.
Apartado 8: Recursos humanos. Dividido en tres controles, establece las medidas de
seguridad que deberan considerarse en cada una de las fases de desempeo de trabajo
(definicin del puesto, desempeo de las funciones y a la finalizacin o cambio del puesto de
trabajo).
Apartado 9: Seguridad fsica y ambiental. Las medidas de seguridad fsica y del entorno
quedan recogidas en dos controles de este apartado. Por una parte, se establecen los
requerimientos fsicos de los edificios, como el establecimiento de permetros de seguridad,
las zonas de carga o los controles fsicos de entrada y, por otra, la seguridad de los equipos,
considerando el suministro, la seguridad del cableado o el mantenimiento de los mismos.
Apartado 10: Seguridad comunicaciones y operaciones. La operacin de las comunicaciones
debera estar procedimentada adecuadamente, estableciendo de manera clara las
responsabilidades que, en materia de operacin, deban considerarse. En este apartado se
incluye tambin la supervisin de los servicios que son contratados a terceros y la
planificacin de los requisitos y necesidades de seguridad de los sistemas.
Apartado 11: Control de accesos. Este apartado presenta las pautas que debern tenerse en
cuenta para el control de los accesos a las redes, a los sistemas operativos y a las
aplicaciones corporativas. As mismo, debern considerarse qu privilegios son los
adecuados para cada usuario o cules son las responsabilidades que el usuario tiene para la
proteccin de su puesto de trabajo.
Apartado 12: Adquisicin, desarrollo y mantenimiento de sistemas. Este sistema propone que
los sistemas debieran contar con unos requisitos de seguridad especficos que abarcan desde
la entrada de los datos hasta el control del software y las medidas de seguridad de los
procesos de desarrollo de software. En este apartado se considera adems el control de las
vulnerabilidades tcnicas.
Apartado 13: Gestin de incidentes. Deber establecerse cules son los canales de
comunicacin de eventos y debilidades y cmo ser el proceso de gestin de incidencias.
Apartado 14: Gestin de continuidad del negocio. Este apartado establece los requisitos que
deberan considerarse en relacin a garantizar la continuidad de los servicios crticos del
negocio.
Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garanta del
cumplimiento de las exigencias legales que cada organizacin tiene. Adems, se incluyen en
este apartado las consideraciones que deben tenerse en cuenta en la auditora de los
sistemas.