Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
41/74
APNDICE
(Informativo)
B.1
Para desempear una valoracin de activo, una organizacin necesita primero identificar sus
activos (en un nivel apropiado de detalle). Dos tipos de activos pueden distinguirse:
Informacin.
Los activos de soporte (sobre los cuales los elementos primarios del alcance dependen)
de todos los tipos:
B.1.1
Hardware.
Soltware.
Red.
Personal.
Sitio.
Estructura de la organizacin.
Para descr'1bir el alcance ms precisamente, esta actividad consiste en identificar los activos
primarios (procesos y actividades de negocios, informacin). Esta identificacin es llevada a
cabo mediante un grupo de trabajo mezclado representativo del proceso (gerentes,
especialistas y usuarios de los sistemas de informacin).
Los activos primarios son usualmente los procesos e informacin esenciales de la actividad
en el alcance. Otros activos primarios tales como los procesos de la organizacin pueden
considerarse tambin, los cuales son ms apropiados para preparar una poltica de la
seguridad de la informacin o un plan de continuidad de negocios. Dependiendo del
propsito, algunos estudios no requieren un anlisis exhaustivo de todos los elementos que
completan el alcance. En tales casos, los lmites de estudio pueden limitarse a los elementos
clave del alcance.
Los activos primarios son de dos tipos:
"' PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
42/74
Procesos que son necesarios para que la organizacin cumpla con los requisitos
contractuales, legales o reguladores.
2.- Informacin:
Ms en general, la informacin primaria comprende principalmente:
para
Los procesos e informacin que no son identificados como sensibles despus de esta
actividad tienen una clasificacin no definida en el resto del estudio. Esto significa que an si
tales procesos o informacin son comprometidos, la organizacin an logra la misin
exitosamente.
Sin embargo, a menudo heredan los controles implementados para proteger los procesos e
informacin identificados como sensibles.
B.1.2
El alcance consiste de activos que deben identificarse y describirse. Estos activos tienen
vulnerabilidades que son explotables mediante amenazas que apuntan a afectar los activos
primarios del alcance (procesos e informacin). Son de varios tipos:
Hardware
El tipo de hardware consiste de todos los elementos fsicos que soportan los procesos.
Equipo de Procesamiento de datos (activo)
"PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
43/74
111
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
44/74
Esto incluye todos los programas de una computadora que prepara la base operacional de la
cual los dems programas (servicios o aplicaciones) se ejecutan. Incluye un kernel y
funciones o servicios bsicos. Dependiendo de la arquitectura, un sistema operativo puede
ser monoltico o compuesto de un micro-kernel y un conjunto de servicios de sistema. Los
elementos principales del sistema operativo son todos los servicios de gestin del equipo
(Unidad de Procesamiento Central (CPU, por sus siglas en ingls), memoria, disco, e
interfases de red), servicios de gestin de tarea o proceso y servicios de gestin de derechos
de usuario.
Software de servicio. mantenimiento o gestin
Software caracterizado por el hecho de que complementa los servicios del sistema operativo
y no est directamente en el servicio de los usuarios o aplicaciones (an cuando es
usualmente esencial o an indispensable para la operacin global del sistema de
informacin).
Software de paquete o software normalizado
El software de paquete o software normalizado son productos comercializados como tales
(ms que desarrollos fuera de la serie o especficos) con medio, liberacin y mantenimiento.
Proporcionan servicios para los usuarios y aplicaciones, pero no estn personalizados o
especficos en la forma que las aplicaciones de negocios son.
Ejemplos: software de gestin de base de datos, software de mensajera electrnica, para
trabajo en grupo, software directorio, software servidor web, etc.
Aplicacin de negocios
Aplicacin normalizada de negocios
Esto es un software comercial diseado para dar a los usuarios acceso directo a los
servicios y funciones que requieren de su sistema de informacin en su contexto
profesional. Hay un rango de campos muy extenso, tericamente sin lmites.
Ejemplos: software de contabilidad, software de control de mquina-herramienta
para trabajar metal, software de cuidado al consumidor, software de gestin de
competencia personal, software administrativo, etc.
Aplicacin esoecfica de negocios
Esto es software en el cual varios aspectos (fundamentalmente de soporte,
mantenimiento, actualizacin, etc.) han sido desarrollados especficamente para dar
a los usuarios acceso directo a los servicios y funciones que requieren de su sistema
de informacin. Hay un rango de campos muy extenso, tericamente sin lmites.
Ejemplos: gestin de factura de los consumidores de las operadoras de
telecomunicaciones, aplicacin de la supervisin en tiempo real para lanzamiento de
cohetes.
ai
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NVCE, A.C.
NMX-I-27005-NYCE-2011
45/74
"' PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
46/74
El tipo de sitio comprende todos los lugares que contienen el alcance o parte del alcance y
los medios fsicos requeridos para que opere.
Ubicacin
Ambiente externo
Esto concierne a todas las ubicaciones en las cuales los medios de la organizacin de
la seguridad no pueden aplicarse.
Ejemplos: residencia del personal, establecimientos de otra organizacin, ambiente
externo al sitio (rea urbana, rea de peligro).
Establecimjentos
Este lugar es limitado por el permetro de la organizacin directamente en contacto
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
47/74
Una zona est formada por un lmite de proteccin fsico que forma particiones
dentro de los establecimientos de la organizacin. Se obtiene mediante la creacin
de barreras fsicas alrededor de las infraestructuras de procesamiento de la
informacin de la organizacin.
Ejemplos: oficinas, zona de acceso reservado, zona segura.
Servicios esenciales
Todos los servicios requeridos por el equipo de la organizacin para operar.
Comunicacin
Los servicios y equipo de telecomunicaciones proporcionados por un operador.
Ejemplos: lnea telefnica, PABX, redes telefnicas internas.
Utilidades
Servicios y medios (fuentes y alambrado) requeridos para proporcionar energa al
equipo y perifricos de tecnologa de la informacin.
Ejemplos: fuente de alimentacin de baja tensin elctrica, inversor, punto final de
un circuito elctrico.
Suministro de agua.
Eliminacin de desperdicios.
Servicios y medios (equipo, control) para enfriar y purificar el aire.
Ejemplos: tuberas de agua fra, aires acondicionados.
Oraanizacin
El tipo de organizacin describe el marco de trabajo organizativo, que consiste de todas las
estructuras de personal asignadas a una tarea y los procedimientos que controlan estas
estructuras.
Autoridades
Estas son organizaciones de las cuales la organizacin estudiada deriva su autoridad.
Esta
111
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
48/74
* PROHIBIDA
LA COPIA, REPRODUCCIN PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
49/74
Incumplimiento de confidencialidad.
In
~PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
50/74
Prdida financiera.
Interrupcin de servicio.
Dao a la reputacin.
Infraccin de leyes/regulaciones.
Incumplimiento de contrato.
Prdidas financieras.
En trminos de personal.
ID
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
51/74
Prdida de bienes/fondos/activos.
Prdida de efectividad/confianza.
Crisis gubernamentales.
Despido.
Dao material.
Estos criterios son ejemplos de temas a considerarse para la valoracin del activo. Para
llevar a cabo las valoraciones, una organizacin necesita seleccionar el criterio relevante al
tipo de negocios y requisitos de seguridad. Esto puede significar que algunos de Jos criterios
listados arriba no son aplicables, y que otros pueden necesitar agregarse a la lista.
Escala
Despus de establecer el criterio a considerarse, la organizacin debe acordar sobre una
escala a usarse a lo largo y ancho de una organizacin. El primer paso es decidir sobre el
nmero de niveles a usarse. No hay reglas con consideracin al nmero de niveles que son
ms apropiados. Ms niveles proporcionan un nivel ms grande de granulacin pero algunas
veces una diferenciacin demasiada fina hace asignaciones consistentes desde el principio
hasta el fin de la dificultad de la organizacin. Normalmente, cualquier nmero de niveles
entre 3 (por ejemplo, bajo, medio, y alto) y 10 pueden usarse tanto tiempo como sea
consistente con el enfoque que la organizacin est usando para todo el proceso de
evaluacin del riesgo.
Una organizacin puede definir sus propios lmites para los valores del activo, como "bajo",
"medio", o "alto". Estos lmites deben evaluarse en conformidad al criterio seleccionado (por
ejemplo, para prdida financiera posible, deben darse en valores monetarios, pero para
consideracio
.io
PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL 0 TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.
NMX-I-27005-NYCE-2011
52/74
monetaria puede ser compleja y puede no ser apropiada para todas las organizaciones).
Finalmente, es de plena competencia de la organizacin decidir qu se considera como
consecuencia "baja" o "alta". Una consecuencia que puede ser desastrosa para una
organizacin pequea puede ser baja o an insignificante para una organizacin muy
grande.
Deoendencias
Los procesos de negocios ms relevantes y numerosos soportados por un activo, el valor
ms grande de este activo. Las dependencias de los activos sobre los procesos de negocios u
otros activos deben identificarse tambin dado que esto puede influenciar los valores de los
activos. Por ejemplo, Ja confidencialidad de los datos debe guardarse desde el principio
hasta el final de su ciclo de vida, en todas las etapas, que incluye el almacenaje y
procesamiento, es decir, las necesidades de seguridad del almacenaje de datos y los
programas de procesamiento deben relacionarse directamente al valor que representa la
confidencialidad de los datos almacenados y procesados. Tambin, si un proceso de negocios
est dependiendo de la integridad de ciertos datos que son producidos por un programa, los
datos de entrada de este programa deben ser de una responsabilidad apropiada. Adems, la
integridad de la informacin es dependiente del hardware y software usado para su
almacenaje y procesamiento. Tambin, el hardware es dependiente de la fuente de
alimentacin y posiblemente del aire acondicionado. As, la informacin acerca de las
dependencias ayuda en la identificacin de amenazas y particularmente de vulnerabilidades.
Adicionalmente, ayuda a asegurar que el valor de los activos (a travs de las relaciones de
dependencia) es dado a los activos, de ese modo indicando el nivel apropiado de proteccin.
Los valores de los activos sobre los cuales otros activos son dependientes pueden
modificarse en la siguiente forma:
Si los valores de los activos dependientes (por ejemplo, datos) son ms bajos o iguales
al valor del activo considerado (por ejemplo, software), su valor contina siendo el
mismo.
Si los valores del activo dependiente (por ejemplo, datos) son ms grandes, entonces el
valor del activo considerado (por ejemplo, software) debe incrementarse en conformidad
a:
El grado de dependencia.
Los valores de los otros activos.
Una organizacin puede tener algunos activos que estn disponibles ms de una vez, como
copias de programas de software o el mismo tipo de computadora usada en la mayora de
las oficinas. Es importante considerar este hecho cuando se hace la valoracin del activo.
Por un lado, estos activos son pasados por alto fcilmente, por consiguiente el cuidado debe
tomarse para identificarlos a todos ellos; por otro lado, pueden usarse para reducirse los
problemas de disponibilidad.
~PROHIBIDA LA COPIA, REPRODUCCIN PARCIAL O TOTAL DE ESTA NORMA MEXICANA SIN LA AUTORIZACIN DE NYCE, A.C.