EVIDENCIA INFORME “Análisi Análisiss de caso: Simón II”
Estudiante CARLOS ALIRIO DAR!E DAR!E
Docente
In"enie#a de Sistemas $ANE!% ACEVEDO LE&I'AM(N &estión de la Se"u#idad In)o#mática Cent#o Indust#ial de Mantenimiento * Manu)actu#a SENA Re"ional +o*acá , So"amoso
SERVICIO NACIONAL DE APRENDIZAJE
Villa-icencio .Meta/0 12 de se3tiem4#e de 1567
EVIDENCIA INFORME “Análisis de caso: Simón II” Siguiendo con el caso de Simón, él ha determinado que de acuerdo con los resultados obtenidos en la organización tecnológica de su empresa, ha decidido contratarte como asesor para que lo ayudes a identificar cuáles son los activos de información presentes y que normas de seguridad informática (vulnerabilidad en confidencialidad, integridad y disponibilidad) están siendo utilizadas. Activos de información
Un activo de información principalmente a cualquier conjunto de datos creado o utilizado por un proceso de la organización, así como el hardware y el software manipulado para su procesamiento o almacenamiento, los servicios utilizados para su transmisión o recepción y las herramientas y/o utilidades para el desarrollo y soporte de sistemas de información. o primero que debemos hacer es el inventario de activos de la organización de Simón y este debe ser actualizado a fin de proteger todos los activos en términos de su confidencialidad, !ntegridad, "isponibilidad.
Acti-os 3u#os
Datos di"itales# $ases de datos, documentaciones como manuales y%o instructivos del mane&o de datos financieros, correos electrónicos, la base de datos de los clientes, algunas aplicaciones.
Acti-os tan"i4les# 'omputadores, impresoras, fotocopiadoras, libros en los que llevan información manualmente, llaves de la oficina, el correo tradicional y el fa, los personales y financieros.
Acti-os intan"i4les# os conocimientos técnicos de los empleados, relaciones y secretos comerciales, productividad, la imagen corporativa de la empresa, la eperiencia.
So)t8a#e de a3licación# os programas como pueden ser las aplicaciones ofimáticas, herramientas de desarrollo, presentaciones automatizadas, los navegadores de internet, administradores de bases de datos y programas de productividad.
Sistemas o3e#ati-os# ste es el *indo+s licenciado que se instaló en las computadoras.
Acti-os )9sicos
In)#aest#uctu#a# stán constituidos por máquinas, equipos, edificios, escritorios, sillas, aire acondicionado, etintores, cableado de la red y otros bienes de inversión adquiridos por la organización.
Cont#oles de ento#no# larmas, alimentadores de potencia, red, supresión contra incendio, controles de entrada que aseguren el permiso de acceso sólo a las personas que están autorizadas.
%a#d8a#e # quipos de oficina (-', portátiles, servidores, dispositivos móviles, fa.)
Acti-os de se#-icios# 'onectividad a internet, mensa&era instantánea, servicios de mantenimiento.
Acti-os umanos
mpleados# -ersonal informático (administradores, desarrolladores, etc.), abogados, auditores, etc.
+ebmaster,
ternos# 'ontratistas, traba&adores temporales, proveedores, entre otros.
!dentificar los activos, determinaremos el da/o que puede causar el activo si éste, es deteriorado en disponibilidad, integridad y confidencialidad, asignándole un valor evaluando el da/o del activo frente# os aspectos a considerar pueden ser los da/os como resultado de#
0iolación de legislación aplicable 1educción del rendimiento de la actividad fecto negativo en la reputación -érdidas económicas 2rastornos en el negocio
No#mati-idad de la Se"u#idad In)o#mática
l Sistema de 3estión de la Seguridad de la !nformación preserva la confidencialidad, la integridad y la disponibilidad de la información, mediante la aplicación de un proceso de gestión del riesgo, y brinda confianza a las partes interesadas acerca de que los riesgos son gestionados adecuadamente as normas de seguridad pueden ser utilizadas y se le recomiendan a la organización de simón son#
ISO;IEC 17556
l estándar para la seguridad de la información !S4%!'567889 (!nformation technology : Security techniques : !nformation security management systems : 1equirements) fue aprobado y publicado en 688; por la !nternational 4rganization for Standardization y por la !nternational lectrotechnical 'ommission, especificando los requisitos necesarios para establecer, implementar, mantener y me&orar un sistema de gestión de la seguridad de la información (S3S!), manteniendo tres caractersticas esenciales.
Con)idencialidad. a información sólo debe ser vista por aquellos que tienen permiso para ello, no debe poder ser accedida por alguien sin el permiso correspondiente.
Inte"#idad. a información podrá ser modificada solo por aquellos con derecho a cambiarla.
Dis3oni4ilidad. a información deberá estar disponible en el momento en que los usuarios autorizados requieren acceder a ella.
s precisamente este sistema el que recibe el nombre de Sistema de 3estión de Seguridad de la !nformación, que es el punto central de la norma pues básicamente nos eige que cada organización que cumpla con !S4567889 lleve a cabo cuatro grandes actividades#
stablecer el sistema. !mplementar y operar el sistema.
stá formada por cuatro fases que se deben implementar constantemente para reducir los riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la información. stas fases son# =ase de planificación =ase de e&ecución =ase de seguimiento =ase de me&ora
ISO;IEC 17552
1eemplaza a la norma !S4 9>>>;56 ?3estión de Seguridad de la !nformación y la tecnologa de las comunicaciones@. a norma fue publicada por primera vez en &unio de 688A, aunque eiste una versión me&orada del a/o 6899. l riesgo se define como una amenaza que eplota la vulnerabilidad de un activo pudiendo causar da/os. l riesgo se encuentra relacionado con el uso, propiedad, operación, distribución y la adopción de las tecnologas de la información de la empresa. unque no eiste un método concreto de cómo gestionar riesgos, se recomienda utilizar un proceso estructurado, sistemático y riguroso de análisis de riesgos para la creación del plan de tratamiento de riesgos.
ISO;IEC 1755<
s un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tama/o de empresa, tanto pBblica como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información.
