Sunteți pe pagina 1din 8

Gestin de Activos

Jovanka Rodrguez Gins Garcs

2011

CLASIFICACIN Y CONTROL DE ACTIVOS Se debe tener un acabado conocimiento sobre los activos que poseemos como parte importante de la administracin de riesgos. Algunos ejemplos de activos son:

Activos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos fsicos: equipamiento informtico (CPU, monitores, notebooks, mdems), equipos de comunicaciones (routers, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.).

Los activos de informacin deben ser clasificados de acuerdo a la sensibilidad y criticidad de la informacin que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en funcin a ello, con el objeto de sealar cmo ha de ser tratada y protegida dicha informacin. Frecuentemente, la informacin deja de ser sensible o crtica despus de un cierto perodo de tiempo, por ejemplo, cuando la informacin se ha hecho pblica. La informacin puede pasar a ser obsoleta y por lo tanto, ser necesario eliminarla, para ello se debe asegurar la confidencialidad de la misma hasta el momento de su eliminacin Las pautas de clasificacin deben prever y contemplar el hecho de que la clasificacin de un tem de informacin determinado no necesariamente debe mantenerse invariable por siempre, y que sta puede cambiar de acuerdo con una Poltica predeterminada.

Responsabilidad sobre los activos OBJETIVO: Mantener una proteccin adecuada sobre los activos de la organizacin. Todos los activos deben ser considerados y tener un propietario asignado. Deberan identificarse los propietarios para todos los activos importantes, y se debera asignarla

responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantacin de controles debera delegarse. Pero la responsabilidad debera mantenerse en el propietario designado del activo. Inventario de activos Control Todos los activos deben se claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes. Gua de implementacin Una organizacin debe identificar todos los activos y la documentacin de importancia de ellos. El inventario de activos debe incluir toda la informacin necesaria con el fin de recuperarse de un desastre, incluyendo el tipo de activo, formato, ubicacin, informacin de respaldo, informacin de licencia y el valor dentro del negocio. El inventario no debe duplicar otros inventarios sin necesidad , pero debe esta seguro de que el contenido se encuentra alineado. En adicin, los propietarios y la clasificacin de la informacin debe ser aceptada y documentada para cada uno de los activos. Basado en la importancia del activo, su valor dentro del negocio y su clasificacin de seguridad, se deben identificar niveles de proteccin conmensurados con la importancia de los activos. Otra informacin Existen muchos tipos de activos, incluyendo: a) activos de informacin: archivos y bases de datos, documentacin del sistema, manuales de los usuarios, material de formacin, procedimientos operativos o de soporte, planes de continuidad, configuracin del soporte de recuperacin, informacin archivada; b) activos de software: software de aplicacin, software del sistema, herramientas Gua de implementacin Todos los empleados, contratistas y terceras partes deben de seguir las siguientes reglas para un uso aceptable de la informacin y de los activos asociados con las instalaciones del procesamiento de informacin, incluyendo: a) reglas para correo electrnico y usos de Internet
b) guas para el uso de aparatos mviles, especialmente para el uso fuera de las premisas

de la organizacin

c) Reglas especficas o guas deben ser provistas por la gerencia relevante. Empleados, contratistas

y usuarios de terceros usando o teniendo acceso a los activos de la organizacin deben estar al tanto de los lmites existentes para el uso de la informacin de la organizacin y de los activos asociados con las instalaciones de procesamiento de informacin y recursos. Ellos deben ser responsables del uso de cualquier recurso del procesamiento de informacin y de cualquier otro uso parecido bajo su responsabilidad. Clasificacin de la informacin OBJETIVO: Asegurar un nivel de proteccin adecuado a los activos de informacin. La informacin debera clasificarse para indicar la necesidad, prioridades y grado de proteccin. La informacin tiene grados variables de sensibilidad y criticidad. Algunos elementos de informacin pueden requerir un nivel adicional de proteccin o un uso especial. Debera utilizarse un sistema de clasificacin de la informacin para definir un conjunto de niveles de proteccin adecuados, y comunicar la necesidad de medidas de utilizacin especial. Guas de clasificacin Control La informacin debera clasificarse en funcin de su valor, requisitos legales, sensibilidad y criticidad para la organizacin. Gua de implementacin Las clasificaciones de informacin y otros controles de proteccin asociados debera tener encuentra que el negocio necesita compartir o restringir la informacin, as como los impactos en la organizacin asociados a esas necesidades. Las guas de clasificacin deben incluir convenciones para la clasificacin inicial y la reclasificacin a travs del tiempo, en concordancia con algunas polticas de control predeterminadas. Debe ser responsabilidad del propietario del activo definir la clasificacin de este, revisarlo peridicamente y asegurarse que esta actualizado y en un nivel apropiado. La clasificacin debe tomar en cuenta el efecto agregado. Debe darse consideracin al nmero de categoras de clasificacin y los beneficios que se obtendrn de su uso. Esquemas muy complejos pueden ser incmodos y poco rentables de usar o pueden probarse imprcticos. Se debe mantener cuidado al interpretar las etiquetas

de clasificacin en documentos de otras organizaciones que puedan tener diferentes definicin es para nombres de etiquetas iguales o similares. Otra informacin El nivel de proteccin puede ser determinado analizando la confidencialidad, integridad y disponibilidad u otro requisito para la informacin considerada. La informacin continuamente deja de ser sensible o critica despus de un cierto periodo de tiempo, por ejemplo, cuando la informacin ha sido hecha pblica. Estos aspectos deben ser tomados en cuenta, como la sobre clasificacin puede llevar a la implementacin de controles innecesarios resultando en gastos adicionales. Considerando documentos con similares requisitos de seguridad cuando se asigne los niveles de clasificacin, pueden ayudar a simplificar las tareas de clasificacin. En general, la clasificacin dada como informacin permite determinar cmo esta informacin debe ser maniobrada y protegida. CONFIDENCIALIDAD 1 PUBLICO- Informacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, sea empleado o no. 2 USO INTERNO - Informacin que puede ser conocida y utilizada por todos los empleados y algunas entidades externas debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para la entidad o terceros. 3 CONFIDENCIAL - Informacin que slo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas para la entidad o terceros. 4 SECRETA - Informacin que slo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente del directorio, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves para la entidad o terceros. INTEGRIDAD 1- Informacin cuya modificacin no autorizada puede repararse fcilmente, o no afecta la operatoria. 2- Informacin cuya modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves.

3- Informacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas. 4- Informacin cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves. DISPONIBILIDAD 1- Informacin cuya inaccesibilidad no afecta la operatoria. 2- Informacin cuya inaccesibilidad permanente durante una semana podra ocasionar prdidas significativas. 3- Informacin cuya inaccesibilidad permanente durante un da podra ocasionar prdidas significativas. 4- Informacin cuya inaccesibilidad permanente durante una hora podra ocasionar prdidas significativas. Marcado y tratamiento de la informacin Control Es importante definir un conjunto adecuado de procedimientos para marcar y tratar la informacin de acuerdo con el esquema de clasificacin adoptado por la organizacin. Gua de implementacin Los procedimientos para el marcado de la informacin han de cubrir los activos en formato fsico y electrnico. La salida procedente de los sistemas que traten informacin clasificada como sensible o crtica debera llevar una etiqueta de clasificacin adecuada (en la salida). El marcado debera reflejar la clasificacin de acuerdo con las reglas establecidas. Se consideran elementos como informes impresos, pantallas, medios de almacenamiento (cintas, discos, CDs, casetes), mensajes electrnicos y transferencias de archivos. Para cada nivel de clasificacin, los procedimientos de manipulacin incluyendo el procesamiento seguro, copia, almacenamiento, transmisin, clasificacin y destruccin deben ser definidos. Los acuerdos con otras organizaciones que compartan informacin deben incluir procedimientos para identificar la clasificacin de dicha informacin e interpretar la marca de clasificacin de otras organizaciones.

Otra informacin El marcado y la manipulacin segura de la informacin clasificada es un requisito clave para acuerdos de informacin compartida. Las etiquetas fsicas son una forma comn de marcado. Sin embargo, algunos activos de informacin, como documentos electrnicos, no pueden ser fsicamente marcados por lo que medios electrnicas para marcar deben ser usadas. Por ejemplo, etiquetas de notificacin pueden aparecer en la pantalla. Donde el marcado no se fiable, otras formas de designar la clasificacin de la informacin pueden aparecer.

Conclusin

La correcta clasificacin de los controles es una tarea que requiere del apoyo de especialistas en seguridad informtica o de alguien capacitado de manera similar, con conocimientos adquiridos en circunstancias de diversas ndoles (experiencia) en la implementacin de la ISO 17799 o 27000; ya que cuando stos se establecen de forma inadecuada o incorrecta pueden generar un marco de trabajo demasiado estricto y poco cmodo para las operaciones (eventos desempeados) de la organizacin y de los que habitan en ella.

La Seguridad de la Informacin es un rbol de races amargas pero de dulces y ricos frutos a recolectar; parte de un Juego al que apost para Ganarlo!

S-ar putea să vă placă și