La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Clasificación de los activos de información

Publicada porEmilia Miguélez Arroyo Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Clasificación de los activos de información"— Transcripción de la presentación:

1 2.11.3 Clasificación de los activos de información
El Gerente de Seguridad de Información debe: Localizar e identificar los recursos de información. Determinar a los dueños, usuarios y custodios de la información. Asignar clases o niveles de sensitividad y criticidad a los recursos de información. Hacer clasificaciones simples. Asegurar que existen políticas, normas y procedimientos para etiquetar, manipular, procesar, almacenar, retener y destruir información. Contenidos a Enfatizar: El primer paso en el proceso de clasificación es localizar e identificar los recursos de información. En muchas organizaciones, esto puede ser difícil, ya que por lo general no se cuenta con un inventario detallado de los activos relacionados con la información. Esto se aplica en particular a las grandes organizaciones que tienen múltiples unidades de negocio independientes pero que no cuentan con un área de seguridad sólida centralizada. El proceso de identificación incluirá la determinación de la ubicación de los datos, así como de los propietarios, usuarios y custodios de los datos. El gerente de seguridad debe también considerar los datos que los proveedores de servicios externos almacenan. Estos proveedores de servicios pueden incluir empresas de protección de medios y archivo, procesadores de listas de correo, empresas que procesan correos que contienen información de la compañía, empresas que fungen como mensajeros o transportistas de información, así como proveedores de servicios externos. Los proveedores de servicios pueden incluir centros de datos que proporcionan funciones de anfitrión (hosting), servicios de nómina o administración de seguros médicos. El gerente de seguridad de la información que trabaje con las unidades de negocio debe establecer la clasificación de la información adecuada o los niveles de sensibilidad y gravedad para los recursos de información y asegurarse de que todos los negocios y las partes interesadas en TI tienen la oportunidad de revisar y aprobar las directrices establecidas para los niveles de control de acceso. El número de niveles debe mantenerse al mínimo. Las clasificaciones deben ser sencillas, por ejemplo clasificar por diferentes grados de sensibilidad y criticidad. Los gerentes de usuarios finales junto con el administrador de seguridad pueden entonces utilizar estas clasificaciones en su proceso de evaluación de riesgos para ayudar a determinar los niveles de acceso. Páginas de Referencia del Manual de Preparación al Examen: Págs. 122

2 2.11.3 Clasificación de los activos de información
Los gerentes de usuarios finales junto con el administrador de seguridad pueden utilizar estas clasificaciones en su proceso de valoración de riesgos para ayudar a determinar los niveles de acceso. La clasificación de los activos de información reduce el riesgo de una protección insuficiente o el costo de sobreproteger los recursos de información al vincular la seguridad con los objetivos de negocio. Páginas de Referencia del Manual de Preparación al Examen: Pg. 122

3 2.11.3 Clasificación de los activos de información
Existen varias preguntas que deben formularse en cualquier modelo de clasificación de los activos de información, entre las que se incluyen: ¿Cuántos niveles de clasificación son convenientes para la organización? ¿Cómo se localizará la información? ¿Qué proceso se utiliza para determinar la clasificación? ¿Cómo se identificará la información clasificada? ¿Cómo se mantendrá de acuerdo con las políticas o las leyes? ¿Quién tiene derechos de acceso? ¿Quién tiene autoridad para determinar el acceso a los datos? ¿Qué aprobaciones se requieren para el acceso? Contenidos a Enfatizar: Existen varias preguntas que deben formularse en cualquier modelo de clasificación de los activos de información, entre las que se incluyen: ¿Cuántos niveles de clasificación son convenientes para la organización? ¿Cómo se localizará la información? ¿Qué proceso se utiliza para determinar la clasificación? ¿Cómo se identificará la información clasificada? ¿Cómo se etiquetará? ¿Cómo se manejará? ¿Cómo se transportará? ¿Cuál es el ciclo de vida de la información (crear, actualizar, recuperar, archivar, eliminar)? ¿Cuáles son los procesos que están relacionados con las diversas etapas del ciclo de vida de los activos de información? ¿Cómo se mantendrá de acuerdo con las políticas o las leyes? ¿Cómo se destruirá en condiciones seguras al final del periodo de retención? ¿Quién tiene la propiedad de la información? ¿Quién tiene derechos de acceso? ¿Quién tiene autoridad para determinar el acceso a los datos? ¿Qué aprobaciones se requieren para el acceso? Páginas de Referencia del Manual de Preparación al Examen: Pg. 122

4 2.11.3 Clasificación de los activos de información
Un análisis del impacto en el negocio ayuda a identificar el impacto de los eventos adversos en actividades o procesos críticos de negocio. El Gerente de Seguridad de Información puede usar métodos que están dentro de los marcos COBIT, NIST y OCTAVE del SEI Contenidos a Enfatizar: Existen varios métodos para determinar la sensibilidad y criticidad de los recursos de información y el impacto que tienen los eventos adversos. Un análisis del impacto en el negocio es a menudo realizada para identificar el impacto de los eventos adversos en actividades o procesos críticos de negocio. Los métodos dentro de los marcos COBIT, NIST y Octave del SEI son representativos de los recursos que el Gerente de Seguridad de Información puede utilizar en este esfuerzo. Dado que existen numerosos incidentes adversos que pueden ocurrir, sería una tarea de enormes proporciones mencionarlos todos. Tal esfuerzo, obviamente, no es práctico ni rentable. Un BIA generalmente se focaliza en el impacto que un tipo de evento puede tener en un proceso específico y crítico del negocio. Páginas de Referencia del Manual de Preparación al Examen: Págs. 122

5 2.11.4 Valoración y análisis de impactos
Un enfoque común en la valoración de impacto es identificar una propuesta de valor de un activo a la organización en términos de: Costo de reemplazo. El impacto asociado con la pérdida de integridad. El impacto asociado con la pérdida de disponibilidad. El impacto asociado con la pérdida de confidencialidad. Páginas de Referencia del Manual de Preparación al Examen: Pg. 123

Descargar ppt "Clasificación de los activos de información"

Presentaciones similares

Introducción a ISO 9000 ISO 9000 2000 (c)Copyright 2003 RDC9000.

Introducción a ISO 9000 ISO (c)Copyright 2003 RDC9000.
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
Introducción a la Seguridad Informática

Introducción a la Seguridad Informática
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD

ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Gustavo Ramiro Soliz Garnica

Gustavo Ramiro Soliz Garnica
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
::Grupos y movimientos

::Grupos y movimientos
SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.

SEGURIDAD DE LA INFORMACIÓN EN LA SINDICATURA DE COMPTES DE LA COMUNITAT VALENCIANA Alejandro Salom Campos Unidad de Auditoría de Sistemas de Información.
V Simposio Internacional DWH Aguascalientes – Junio 2008 El Problema de todos: resguardo, custodia y recuperación de la información V Simposio Internacional.

V Simposio Internacional DWH Aguascalientes – Junio 2008 El Problema de todos: resguardo, custodia y recuperación de la información V Simposio Internacional.
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Auditoria Informática Unidad II

Auditoria Informática Unidad II
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
USUARIOS INFORMATICOS. USUARIOS FINALES.

USUARIOS INFORMATICOS. USUARIOS FINALES.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS
Implementación de un Plan de Continuidad del Negocio aplicado en el área de Contabilidad de una empresa dedicada a la comercialización de maquinarias y.

Implementación de un Plan de Continuidad del Negocio aplicado en el área de Contabilidad de una empresa dedicada a la comercialización de maquinarias y.
Potencializando las microfinanzas Servicios en la nube: Mitos y realidades Marzo,2013.

Potencializando las microfinanzas Servicios en la nube: Mitos y realidades Marzo,2013.

Presentaciones similares

Anuncios Google