Valuación de Activos de Caso de Estudio 1

ANALISIS Y VALUACION DE ACTIVOS CASO PROPUESTO

Apropiacion de los Conceptos en Ciberseguridad

Hermes Darío Gómez Galarza

SENA – CURSO VIRTUAL

 Valuación de Activos de Caso de Estudio 2

Resumen

La realización de un análisis de inventario y clasificación de activos hace parte de la debida

diligencia que a nivel estratégico se ha definido en el Modelo de Seguridad y Privacidad de la

Información con respecto a la seguridad de los activos de información de los procesos de una

organización, y cuyo objetivo es dar cumplimiento a: Inventario de Activos, Propiedad de los

Activos, Clasificación de la Información y Etiquetado y Manipulado de la Información.

 Valuación de Activos de Caso de Estudio 3

Análisis y Valuación de Activos Caso Propuesto

Introducción

Uno de los primeros pasos que debe dar una empresa para cumplir con sus objetivos es

realizar un inventario de sus activos de información. Un inventario de activos de información es

una lista de recursos que contienen información valiosa para una empresa, el cual permite

visualizar los activos de la empresa, conocer los más críticos y, con base en ello, determinar

medidas de seguridad que minimicen los riesgos.

Identificación de los Activos Caso Propuesto

Para realizar el análisis del caso de estudio propuesto debemos primero que todo realizar la

identificación de los activos de la empresa para conocer cuales son los más criticos y asi

proceder a determiner el riesgo inminente ante una perdida de información o falla en la

prestación del servicio.

Activos Tangibles

Equipos de red local: donde se expiden o tramitan los expedientes de forma local

Instalaciones o Archivo: donde se guardan los expedientes

Recurso humano: personal que realiza el tramite de expedientes y responsable del proyecto

de administración electronica, director de la unidad, Alta Dirección.

Activos Intangibles

Aplicaciones Informáticas: donde se gestiona el Sistema Informático de Administración

Electrónica y donde los usuarios pueden realizar sus tramitaciones de vía web.

Gestor de Base de Datos: donde se almacena un archivo central que permite recuperar

datos y conserver los expedientes cerrados.

 Valuación de Activos de Caso de Estudio 4

Comunicaciones: servicio de internet y redes de comunicaciones de la empresa donde hay

conexión al archivo central.

Sistemas Operativo: sistemas donde se soporta el sistema informático propio.

Propietarios de los Activos Caso Propuesto

Propietario o responsable de los procesos de la empresa.

Alta Dirección: toma de decisiones, manejo del personal de la empresa y comunicación

interna de impacto general.

Atención a usuarios: personal que atiende al público en el sistema de tramitación de

forma local.

Asesoría Jurídica: trámites y verificación de expedientes.

Servicios Informáticos: personal de sistemas que administra el servicio de la

administración electrónica de expedientes para que los usuarios pueden realizar trámites vía web.

Manejo de archivo central para recuperar datos y conserver los expedientes cerrados.

Seguridad Física: personal que administra la infraestructura tecnológica (equipos y redes

de comunicaciones).

Clasificación de los Activos Caso Propuesto

Para la clasificación de activos se hace según la confidencialidad, integridad y

disponibilidad del activo o servicio.

Clasificación de acuerdo con la Confidencialidad

Confidencial: Alta Dirección, acceso restringido al archivo central.

Restringido: director de área, acceso restringido al Sistema Informático de

Administración Electrónica.
 Valuación de Activos de Caso de Estudio 5

Interno: sistema informático propio, información accessible solo a miembros de la

empresa

Público: servicio propio de la administración electrónica.

Clasificación de acuerdo con la Integridad

ALTA: perdida de la información en el sistema informático propio y archivo central.

MEDIA: afectación en el trámite de expedientes via web.

BAJA: rotación de personal en atención al público ya que requieren nuevas

capacitaciones en las actividades a desarrollar.

NO CLASIFICADA: decision de no inlcuir en el estudio del proyecto como los datos de

identificación y autenticación de los usuarios de los sistemas, áreas de trabajo del personal que

los maneja, centros de proceso de datos y personal relacionados con el proceso

Clasificación de acuerdo con la Disponibilidad

ALTA: perdida en la conectividad de la información en el sistema informático propio y

archivo central.

MEDIA: fallas en el servicio de trámites de expedientes via web perjudicando a los

usuarios externos.

BAJA: fallas en el servicio de internet que afecten los trámites de la empresa.

Estándar Aplicada en el Caso Propuesto

El salvaguardar y brindar un apropiado aseguramiento a la información, se ha

convertido en un objetivo de vital importancia dentro de las organizaciones, esto con el fin de

proveer la protección de sus activos de información y encaminar a la organización al éxito y

continuidad en el negocio, es por ello, que la metodología basada en el estándar internacional

ISO 27001:2013 otorgará a las empresas que usan sistemas informáticos múltiples beneficios
 Valuación de Activos de Caso de Estudio 6

como: competitividad, calidad a la seguridad, reducción de riesgos, concientización y

compromiso y mejora continua.

Implementar un Sistema de Gestión de Seguridad de la Información y lograr la

certificación ISO 27001 es una tarea importante para la mayoría de las empresas. Sin embargo, si

se hace de manera efectiva, existen beneficios significativos para aquellas organizaciones que

dependen de la protección de información valiosa o sensible o en mantener la calidad en la

prestación de sus servicios.

 Valuación de Activos de Caso de Estudio 7

Referencias

Information Security Management Training

https://www.nqa.com/training/information-security

Guía para la Gestión y Clasificación de Activos de Información.

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf

Análisis de Activos de Informacion para un Sistema Misional basados en la Metodologia

MAGERIT v3 y la Norma ISO 27001:2013

https://repository.unad.edu.co/bitstream/handle/10596/19571/80803746.pdf?sequence=3&isAllo

wed=y