Beruflich Dokumente
Kultur Dokumente
PRESENTADO A:
JULIANA PILAR MUOZ MUOZ
ACTIVOS Y SEGURIDAD
Actividades de apropiacin del conocimiento (Anlisis de caso)
Siguiendo con el caso de Simn. l ha determinado que de acuerdo a los resultados
obtenidos en la organizacin tecnolgica de su empresa, ha decidido contratarte como
asesor para que lo ayudes a identificar cules son los activos de informacin presentes y
que normas de seguridad informtica (vulnerabilidad en confidencialidad, integridad y
disponibilidad) estn siendo utilizadas
Solucin:
La informacin de su negocio resulta cada da ms importante. Su tratamiento, a menudo hace que
sta sea expuesta a factores que pueden ponerla en peligro. Contar con un Sistema de Gestin de la
Seguridad de la Informacin (SGSI) es sin duda la forma ms prctica de seguir un conjunto de
buenas prcticas que garanticen que el tratamiento de la informacin de nuestra empresa es
adecuado.
Por lo tanto me ha contratado para esa labor, lo cual es muy gratificante, ya que es un trabajo muy
riesgoso porque me da la confianza para que yo le brinde proteccin a su empresa, as que lo primero
que tendra en cuenta seria la norma que protege la informacin de una empresa.
Los activos de seguridad de la informacin
Se explica en este tema como deben abordarse la elaboracin de un inventario de
activos que recoja los principales activos de informacin de la organizacin, y como deben valorarse
esos activos en funcin de su relevancia para la misma y del impacto que ocasionara un
fallo de seguridad en ellos. El contenido de este tema:
Inventarios de activos.
generan, trasmiten y destruyen informacin, es decir dentro de una organizacin se han de considerar
todos los tipos de activos de informacin.
La norma ISO 27001: define como implantar un Sistema de Gestin de Seguridad de la
informacin que aporta a la Organizacin interesantes beneficios:
Aporta a la empresa un valor aadido, dando a nuestros clientes una mayor credibilidad,
ya que contar con esta certificacin, asegura que tenemos un proceso adecuado para la
gestin de la informacin.
Contar con un SGSI ayudar a la Direccin de nuestra empresa a decidir qu polticas y objetivos de
seguridad deben establecerse y nos permitir crear mecanismos que nos ayuden a proteger la
informacin y los sistemas que los procesan.
Una vez analizados los riesgos y determinadas qu situaciones no son aceptables para la
empresa, se establecer un plan para tratar y mitigar los riesgos no aceptables.
Para ello, se aplicarn los controles oportunos. Debern seleccionarse los
objetivos de control y controles del anexo A de la norma ISO 27001 que sern utilizados
parael tratamiento de los riesgos y sern recogidos en una declaracin de aplicabilidad
En esta fase deber establecerse un plan para la gestin de los riesgos que incluya su
oportuna planificacin y desglose de responsabilidades y organizacin de los proyectos.
Check: Monitorizar y revisar el Sistema para evaluar si los controles son eficaces y cubren
los objetivos deseados.
Act: Mantener y mejorar nuestro sistema en base a la eficacia de las medidas del
mismo.
Una vez superados los ciclos anteriores y, sobre la base de los resultados de los
mismos, debern implantarse las acciones de mejora necesaria para afianzar el sistema y
para alcanzar los objetivos previstos.
sus
controles
Esta norma tambin es importante, ya que en cada apartado o artculo explica cmo se debe
organizar para tener una buena seguridad de la informacin que se maneja. ISO 27002
La ISO 27002 es una gua de buenas prcticas que expone recomendaciones a tener en cuenta para
cada uno de los controles del anexo A de la ISO 27001. En la norma ISO 27001se habla de estos
controles en su anexo A, pero no forma parte del corazn de la norma yaque no olvidemos que la ISO
27001 define como gestionar la seguridad (como implementar un Sistema de Gestin de Seguridad de
la Informacin).
La ISO 27002 es, por lo tanto, una ayuda en la gestin de los riesgos que se organiza en los siguientes
apartados:
Apartado 13: Gestin de incidentes. Deber establecerse cules son los canales d
ecomunicacin de eventos y debilidades y cmo ser el proceso de gestin de incidencias.
Apartado 14: Gestin de continuidad del negocio. Este apartado establece los
requisitos que deberan considerarse en relacin a garantizar la continuidad de los
servicios crticos del negocio.
Apartado 15: Cumplimiento legal. Podemos considerar este apartado como garant
a delcumplimiento de las exigencias legales que cada organizacin
tiene. Adems, se incluyen en este apartado las consideraciones que deben
tenerse en cuenta en la auditora de los sistemas.