Siguiendo con el caso de Simn, l ha determinado que de acuerdo con los

resultados obtenidos en la organizacin tecnolgica de su empresa, ha decidido

contratarte como asesor para que lo ayudes a identificar cules son los activos de
informacin presentes y que normas de seguridad informtica (vulnerabilidad en
confidencialidad, integridad y disponibilidad) estn siendo utilizadas.

Activos de informacin

Lo primero que se debe hacer es realizar un inventario de los activos con su

respectiva clasificacin y la mejor manera es hacerlo con todas las personas
involucradas en la empresa de Simn, de esta forma se analizar mejor el nivel de
riesgo de la informacin.

Despus de realizar la indagacin tenemos:

Activos puros:

Datos digitales: Bases de datos, documentaciones como manuales y/o

instructivos del manejo de ciertas aplicaciones, manejos financieros,
legales, comerciales, entre otros.

Activos tangibles: Computadores, impresoras, fotocopiadoras, entre

otros.

Activos intangibles: Conocimiento, relaciones y secretos comerciales,

productividad, etc.

Software de aplicacin: Sistemas de informacin, herramientas de

desarrollo, entre otros.

Sistemas operativos: Servidores, computadores de escritorio, etc.

Activos fsicos:

Infraestructura: estn constituidos por mquinas, equipos, edificios y

otros bienes de inversin.

Controles de entorno: Alarmas, alimentadores de potencia y red,

supresin contra incendio, etc.

Hardware: Equipos de oficina (PC, porttiles, servidores, dispositivos

mviles, etc.)

Activos de servicios: Conectividad a internet, servicios de mantenimiento,

etc.
Activos humanos:

Empleados: Personal informtico (administradores, webmaster,

desarrolladores, etc.), abogados, auditores, etc.

Externos: Contratistas, trabajadores temporales, proveedores, entre

otros.

Al ser identificados ya podemos determinar su nivel de importancia y determinar el

dao que puede causar si el activo fuera deteriorado en confidencialidad,
integridad y disponibilidad.

Violacin de legislacin aplicable.

Reduccin del rendimiento de la actividad.
Efecto negativo en la reputacin.
Perdida econmicas.
Trastornos en el negocio.

Esto debe ser evaluado peridicamente para as evitar que cualquiera de los CID
(confidencialidad, integridad y disponibilidad) presente deterioros.

Normatividad de la seguridad informtica

El sistema de gestin de la seguridad de la informacin preserva la

confidencialidad, la integridad y la disponibilidad de la informacin, mediante la
aplicacin de un proceso de gestin del riesgo, y brinda confianza a las partes
interesadas acerca de que los riesgos son gestionados adecuadamente

Se recomienda a Simn implementar:

ISO/IEC 27005: es el estndar internacional que se ocupa de la gestin de riesgos

de seguridad de informacin. La norma suministra las directrices para la gestin
de riesgos de seguridad de la informacin en una empresa, apoyando
particularmente los requisitos del sistema de gestin de seguridad de la
informacin definidos en ISO 27001.

ISO/IEC 27008: es un estndar que suministra orientacin acerca de la

implementacin y operacin de los controles, es aplicable a cualquier tipo y
tamao de empresa, tanto pblica como privada que lleve a cabo revisiones
relativas a la seguridad de la informacin y los controles de seguridad de la
informacin.