Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
1. Instituto Universitario de Tecnología “Antonio José de Sucre”
Extensión Barquisimeto – Escuela de Informática (78)
Realizado por: Mayckoll M. Gudiño M.
CASO ATOLAND C.A.
Riegos informáticos:
Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. Un riesgo conlleva a dos tipos de
consecuencias: Ganancias o Pérdidas.
En informática el riesgo solo tiene que ver con la amenaza que la información
puede sufrir, determinando el grado de exposición y la perdida de la misma.
La ISO (Organización Internacional de Estándares) define el riesgo
informático como:
“La posibilidad que una amenaza se materialice, utilizando vulnerabilidad
existente en un activo o grupos de activos, generando se así pérdidas o
daños”.
Actual el riesgo de la información puede ser afectada mediante: Los spam, los
virus, los gusanos, Adware y Spyware. Software que se maneja como código
malicioso, cabe señalar que estas amenazas existentes de código malicioso
no tienen nada, ya que fueron diseñados con inteligencia, con una secuencia
bien estructurad, el nombre que deberían recibir es Software con intenciones
inadecuadas, provocan poco a poco el exterminio de la productividad y
privacidad.
Riesgos que corren:
No hay planificación para saber que aplicaciones van a tener acceso los
usuarios que este asigna. Lo que causa Lentitud a la hora del uso de los
servicios y aplicaciones, esto debido a la descoordinación de la asignación de
los permisos de acceso de los usuarios por parte del administrador. Es decir
que con el formulario llenado por parte de los usuarios, hay una tendencia de
confusión del uso de ciertas aplicaciones que no es necesaria para dicho
2. usuario. Para solucionarlo se puede crear de un registro, en el cual el
administrador debe evaluar para así, de esta manera asignar los permisos de
acceso de acuerdo al cargo y necesidad que el usuario demande en su puesto
de trabajo.
No tienen bien definida del programa de antivirus. Tiene riesgo el acceso
indebido de posibles hacker, que puedan acceder a la información que puede
que sea importante para la empresa. La solución más viable es la debida
actualización y configuración del programa de antivirus utilizado por la
empresa.
Actualización del antivirus mensual, puedo traer varios problemas ya que
diariamente se registran diversos virus en la red y al tener todos accesos a
internet, esto puede representar un gran riesgo. Esto trae la perdida de
información de los usuarios, datos y hasta el mal funcionamiento de las pc´s.
Solución que se le da, la actualización diaria del antivirus para que en caso de
nuevos programas maliciosos sean debidamente registrados en el mismo.
Hacer respaldo de la información más importante de la impresa y guardarla
en una copia secundaria y mandarla fuera de la empresa esto en caso de que
un catástrofe dentro de la empresa y se pierda la primer respaldo.
ESTÁNDARES SOBRE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es, como el
nombre lo sugiere, un conjunto de políticas de administración de la
información. El término es utilizado principalmente por la ISO/IEC 27001,
aunque no es la única normativa que utiliza este término o concepto.
El término se denomina en inglés "Information Security Management
System" (ISMS).
Un SGSI es para una organización el diseño, implantación, mantenimiento de
un conjunto de procesos para gestionar eficientemente la accesibilidad de la
información, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de información minimizando a la vez los riesgos
de seguridad de la información.
3. Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante
un largo tiempo adaptándose a los cambios internos de la organización así
como los externos del entorno.
ISO/IEC 27000: La información es un activo vital para el éxito y la continuidad
en el mercado de cualquier organización. El aseguramiento de dicha
información y de los sistemas que la procesan es, por tanto, un objetivo de
primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario
implantar un sistema que aborde esta tarea de una forma metódica,
documentada y basada en unos objetivos claros de seguridad y una
evaluación de los riesgos a los que está sometida la información de la
organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de
desarrollo- por ISO, que proporcionan un marco de gestión de la seguridad
de la información utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO
27000 y se indica cómo puede una organización implantar un sistema de
gestión de seguridad de la información (SGSI) basado en ISO 27001.
ISO/IEC 27001: es un estándar para la seguridad de la información aprobado
y publicado como estándar internacional en octubre de 2005 por
International Organization for Standardization y por la comisión International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y
mejorar un sistema de gestión de la seguridad de la información (SGSI) según
el conocido como “Ciclo de Deming”. Es consistente con las mejores prácticas
descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799,
con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de
normalización británica, la British Standards Institution (BSI).
ISO/IEC 27002: es un estándar para la seguridad de la información publicado
por primera vez como ISO/IEC 17799:2000 por la International Organization
4. for Standardization y por la Comisión Electrotécnica Internacional en el año
2000, con el título de Information technology - Security techniques - Code of
practice for information security management. Tras un periodo de revisión y
actualización de los contenidos del estándar, se publicó en el año 2005 el
documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC
17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por
primera vez en 1995.