Cules son las estrategias de seguridad que una organizacin debe tomar con sus activos de informacin en un mundo que constantemente esta ciberconectado?Las estrategias cambian dependiendo la empresa (depende de los servicios o bienes que ofrezcan), sin embargo se pueden mencionar estrategias como: Incluir los aspectos de la seguridad con la empresa. Invertir en controles y tecnologa que les permita ser competitivos. Considerar selectivamente la posibilidad de subcontratar reas del programa de seguridad operativa. Invertir en capacitacin del personal en reas de tecnologa y reas a fines.Elabore un documento en Word donde mencione y explique los elementos identificados como activos de informacin y estndares de seguridad en la empresa de Simn. Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto debe protegerse. De manera que un activo de informacin es aquel elemento que contiene o manipula informacin. Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones, software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos y de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan, transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerar todos los tipos de activos de informacin.

Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir diferentes categoras de los mismos: Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en la organizacin. Aplicaciones: El software que se utiliza para la gestin de la informacin. Personal: En esta categora se encuentra tanto la plantilla propia de la organizacin, como el personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una manera u otra a los activos de informacin de la organizacin. Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por ejemplo la gestin administrativa), como los externos, aquellos que la organizacin suministra a clientes y usuarios (por ejemplo la comercializacin de productos). Tecnologa: Los equipos utilizados para gestionar la informacin y las comunicaciones (servidores, PCs, telfonos, impresoras, routers, cableado, etc.) Instalaciones: Lugares en los que se alojan los sistemas de informacin (oficinas, edificios, vehculos, etc.) Equipamiento auxiliar: En este tipo entraran a formar parte todos aquellos activos que dan soporte a los sistemas de informacin y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de destruccin de datos, equipos de climatizacin, etc.) Cada uno de los activos que se identifiquen debe contar con un responsable, que ser su propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque no necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede existir un activo que sea la base de clientes y Simn podra ser el Director Comercial, sin embargo sern los comerciales de la organizacin los usuarios del mismo y el responsable de sistemas el encargado del mantenimiento de la base de datos. Pero Simn es quien decide quin accede y quin no a la informacin, si es necesario aplicarle alguna medida de seguridad o existe algn riesgo que deba ser tenido en cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad exigidas por la Ley, etc.

II. Inventario de activos: El inventario de activos que se va a utilizar para la gestin de la seguridad no debera duplicar otros inventarios, pero s que debe recoger los activos ms importantes e identificarlos de manera clara y sin ambigedades.El inventario de activos es la base para la gestin de los mismos, ya que tiene que incluir toda la informacin necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta informacin como mnimo es: Identificacin del activo: Un cdigo para ordenar y localizar los activos. Tipo de activo: A qu categora de las anteriormente mencionadas pertenece el activo. Descripcin: Una breve descripcin del activo para identificarlo sin ambigedades. Propietario: Quien es la persona a cargo del activo. Localizacin: Dnde est fsicamente el activo. En el caso de informacin en formato electrnico, en qu equipo se encuentra. El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un equipo informtico no es probable que vaya a proporcionar informacin relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organizacin y adems complicar enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos haya ms laborioso ser el mismo.El inventario deber recoger los activos que realmente tengan un peso especfico y sean significativos para la organizacin, agrupando aquellos que, por ser similares, tenga sentido hacerlo. Por ejemplolos computadores que adquirio Simn tienen parecidas caractersticas tcnicas y en la misma ubicacin fsica, pueden agruparse en un nico activo, denominado por ejemplo equipo informtico. En el caso si los computadores y porttiles no salieran nunca y los permanecieran siempre en la misma ubicacin, tambin se podra asumir que constituyen un nico activo pero si los porttiles se utilizan fuera de las instalaciones de la organizacin, ya no se podran agrupar los equipos, ya que las circunstancias en las que se utilizaran los equipos son distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico fijo para los PCs y Equipo informtico mvil para los porttiles. En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto, puede hacer necesario el desarrollar un rbol de dependencias entre activos. El concepto es que algunos activos dependen de otros, en uno o ms parmetros de seguridad. Identificar y documentar estas dependencias constituye un rbol de dependencias, que dar una idea ms exacta del valor de cada activo. III. Valoracin de los activos: Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin, cual es su importancia para la misma. Para calcular este valor, se considera cual puede ser el dao que puede suponer para la organizacin que un activo resulte daado en cuanto a su disponibilidad, integridad y confidencialidad. Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar econmicamente los activos, se utiliza la escala cuantitativa. En la mayora de los casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden ser los daos como resultado de: - Violacin de legislacin aplicable. - Reduccin del rendimiento de la actividad. - Efecto negativo en la reputacin. - Prdidas econmicas. - Trastornos en el negocio.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar involucradas todas las reas de la organizacin, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista de los activos de la organizacin. Es til definir con anterioridad unos parmetros para que todos los participantes valoren de acuerdo a unos criterios comunes, y se obtengan valores coherentes. Un ejemplo de la definicin de estos parmetros podra ser: - Disponibilidad: Para valorar este criterio debe responderse a la pregunta de cul sera la importancia o el trastorno que tendra el que el activo no estuviera disponible.-Integridad: Para valorar este criterio la pregunta a responder ser qu importancia tendra que el activo fuera alterado sin autorizacin ni control.-Confidencialidad: En este caso la pregunta a responder para ponderar adecuadamente este criterio ser cual es la importancia que tendra que al activo se accediera de manera no autorizada.

Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva de la seguridad de los recursos y datos que gestionan. Deben demostrar que identifican y detectan los riesgos a los que est sometida y que adoptan medidas adecuadas y proporcionadas. Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a Seguir.Herramienta: SGSI (Sistema de Gestin de la Seguridad de la Informacin). En ingls ISMS (Information Security Management System). SGSI: proceso sistemtico, documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente.

- Normas ISO 27000: Familia de estndares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestin de la seguridad.

Seguridad de la informacin (segn ISO 27001): preservacin de su confidencialidad, integridad y disponibilidad, as como la de los sistemas implicados en su tratamiento - Confidencialidad: la informacin no se pone a disposicin ni se revela a individuos, entidades o procesos no autorizados. -Integridad: mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. - Disponibilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Norma ISO 27001 que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas Objetivo: Mejora continua Se adopta el modelo Plan-Do-CheckAct (PDCA ciclo de Deming) para todos los procesos de la organizacin.

Fase Planificacin (Plan) [establecer el SGSI]: Establecer la poltica, objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin. Fase Ejecucin (Do) [implementar y gestionar el SGSI]: Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos. Fase Seguimiento (Check) [monitorizar y revisar el SGSI]: Medir y revisar las prestaciones de los procesos del SGSI. Fase Mejora (Act) [mantener y mejorar el SGSI]: Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la mejora contnua del SGSI.

ISO 27002: Conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar los Sistemas de Informacin. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado. Objetivo: Definir los aspectos prcticos/operativos de la implantacin del SGSI.