INFORME: ANÁLISIS DE CASO: SIMÓN 2
ANA CECILIA CECILIA FAJARDO FAJARDO MERINO MERINO
SERVICIO NACIONAL DE PARENDIZAJE PARENDIZAJE SENA
GESTION DE LA SEGURIDAD INFORMATICA INFORMATICA
MEDELLIN, 04 De Juli De 20!"
ANALISIS DE CASO: SIMON II Siguiendo con el caso de Simón, él ha determinado que de acuerdo con los resultados obtenidos en la organización tecnológica de su empresa, ha decidido contratarte como asesor para que lo ayudes a identificar cuáles son los activos de información presentes y que normas de seguridad informática (vulnerabilidad en confidencialidad, integridad y disponibilidad) están siendo utilizadas
A#$i%& 'e i()*+#i-( Un activo de información principalmente a cualquier conunto de datos creado o utilizado por un proceso de la organización, as! como el hard"are y el soft"are utilizado para su procesamiento o almacenamiento, los servicios utilizados para su transmisión o recepción y las herramientas y#o utilidades para el desarrollo y soporte de sistemas de información$
%e acuerdo a lo anterior, debemos comenzar con el inventario de activos de la organización de Simón y este debe ser actualizado a fin de proteger todos los activos en términos de su confidencialidad, &ntegridad, %isponibilidad) %espués de realizar el análisis de la organización encontramos que esta posee los siguientes activos'
ACTIVOS PUROS D$& 'i.i$le&' en este activo encontramos que la organización manea datos financieros, correos electrónicos, la base de datos de los clientes, algunas aplicaciones y un sin nmero de documentos
A#$i%& $(.i/le&: otro medio de almacenamiento como los libros en las que llevan información manualmente, llaves de la oficina, el correo tradicional y el fa, los personales y financieros
A#$i%& i($(.i/le&' la imagen corporativa de la empresa, los conocimientos técnicos de los empleados, secretos comerciales, la productividad y la eperiencia
S)$*e 'e 1li##i-(' son los programas como pueden ser las aplicaciones ofimáticas (procesador de teto, hoa de cálculo), presentaciones automatizadas, los navegadores de internet, administradores de bases de datos y programas de productividad
Si&$e+& 1e*$i%&: este es el *indo"s licenciado que se instaló en los computadoras
ACTIVOS FSICOS: I()*e&$*u#$u*' las instalaciones, los escritorios, las sillas y el cableado de la red, aires acondicionados, etinguidores organización$
y demás bienes adquiridos por la
C($*le& 'e e($*(' las +larmas,
controles de entrada que aseguren el permiso de acceso sólo a las personas que están autorizadas$, alimentadores de potencia y red, supresión contra incendio, etc$
3*'*e: quipos de oficina como los computadores de escritorio adquiridos por la empresa, impresora, fa y demás dispositivos
A#$i%&
'e
&e*%i#i&' -onectividad
a
internet,
servicios
de
mantenimiento, mensaer!a instantánea
ACTIVOS 3UMANOS: E+1le'&: los tres directivos, .ersonal informático y usuarios c on poder$
soporte
E$e*(&' -ontratistas, proveedores, entre otros$ /o siguiente es valorarlos, determinar cuál es la importancia de cada uno para la organización, .ara calcular este valor, se considera cual puede ser el da0o que puede suponer para la organización que un activo resulte da0ado en cuanto a su disponibilidad, integridad y confidencialidad$
/os aspectos a considerar pueden ser los da0os como resultado de'
1$ 3$ 5$ 6$ 7$
2iolación de legislación aplicable$ 4educción del rendimiento de la actividad$ fecto negativo en la reputación$ .erdida económicas$ 8rastornos en el negocio$
NORMATIVIDAD DE LA SEGURIDAD INFORMÁTICA: 9/a herramienta utilizada para este proceso es S:S& (Sistema de :estión de la Seguridad de la &nformación), esta ayuda a establecer pol!ticas y procedimientos en relación a los obetivos de negocio de la organización, con obeto de mantener un nivel de eposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir; /as normas de seguridad pueden ser utilizadas y se le recomiendan a la organización de simón son'
ISO5IEC 2600!: esta es la que proporciona la metodolog!a para la implementación de la seguridad de la información en cualquier tipo de organización, especifica los requisitos para la implementación de S:S&$ s la norma más importante adopta un enfoque de gestión de riesgos y promueve la meora continua de los procesos$
stá formada por cuatro fases que se deben implementar constantemente para reducir los riesgos en confidencialidad, integridad, disponibilidad y audibilidad de la información$ stas fases son'
ISO5IEC 26007: es un estándar que suministra orientación acerca de la implementación y operación de los controles, es aplicable a cualquier tipo y tama0o de empresa, tanto pblica como privada que lleve a cabo revisiones relativas a la seguridad de la información y los controles de seguridad de la información$