Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SEMANA 8
Clasificación de los datos, funciones y
roles en la seguridad
Reservados todos los derechos Instituto Superior de Artes y Ciencias de la Comunicación S.A. No se permite copiar, reproducir, reeditar, descargar,
publicar, emitir, difundir, de forma total o parcial la presente obra, ni su incorporación a un sistema informático, ni su transmisión en cualquier
forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u otros) sin autorización previa y por escrito de Instituto Superior de
Artes y Ciencias de la Comunicación S.A. La infracciónIACC-2020
de dichos derechos puede constituir un delito contra la propiedad intelectual.
1
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
1.
APRENDIZAJE ESPERADO
El estudiante será capaz de:
IACC-2020
2
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
APRENDIZAJE ESPERADO..................................................................................................................... 2
INTRODUCCIÓN ................................................................................................................................... 4
1. CLASIFICACIÓN DE LA INFORMACIÓN ......................................................................................... 5
1.1. POLÍTICAS, ROLES Y ACTORES .............................................................................................. 5
2. ESTRUCTURA ORGANIZATIVA DE LA SEGURIDAD INFORMÁTICA ............................................... 6
2.1. CATEGORIZACIÓN DE ACTIVOS ............................................................................................ 6
2.2. CATEGORÍA DE CLASIFICACIÓN DE LA INFORMACIÓN ........................................................ 6
3. METODOLOGÍA DE ANÁLISIS DE RIESGO................................................................................... 11
3.1. MÉTODO DE ANÁLISIS DE ESCENARIOS ............................................................................. 11
COMENTARIO FINAL.......................................................................................................................... 14
REFERENCIAS ..................................................................................................................................... 15
IACC-2020
3
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
INTRODUCCIÓN
El manejo de información para cualquier esas amenazas, determinar el impacto en
organización es fundamental, esto caso de su materialización y por último la
considerando tanto la información física así obtención de el riesgo al que se está
como la información automatizada o expuesto con el manejo de la información
electrónica. dentro de la organización.
Por otro lado es importante clasificar la Por esto, el análisis de riesgos es el primer
información y considerar las políticas de punto de la gestión de la seguridad de la
clasificación y manejo de activos dentro de la información de una organización, y es
empresa. necesario para realizar la gestión de los
riesgos, es decir, tomar la decisión de
Por esto, es importante poder identificar las eliminarlos, ignorarlos, transferirlos o
amenazas, las vulnerabilidades asociadas, mitigarlos y controlarlos, es decir realizar la
calcular la probabilidad de ocurrencia de gestión de riesgos.
IACC-2020
4
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
1. CLASIFICACIÓN DE LA INFORMACIÓN
Toda la información que las unidades administrativas de una organización generen, obtengan,
adquieran, transformen o conserven por cualquier título, corresponde a la organización y la
reserva de la misma se justifica estrictamente por excepción, por lo que en caso de clasificarse
como reservada o confidencial requerirá fundarse y estará sujeta a un término para su
desclasificación, designándose al responsable de su custodia o propietario de la información.
IACC-2020
5
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Todos los activos deberán estar claramente identificados. Se deberá elaborar y mantener un
inventario de los activos más importantes, que deberá incluir al menos:
• Tipo de activo.
• Formato.
• Ubicación.
• Responsable del activo.
Se debe tener en cuenta que la propiedad y la clasificación de la información, debe ser acordada y
documentada para cada uno de los activos inventariados. Esto será basándose en:
Todos los datos e información deben tener un propietario, el cual deberá clasificarlos en los
niveles definidos en la sección “Clasificación de los activos”. Será responsabilidad del encargado de
seguridad de la información, en conjunto con los dueños de procesos, la generación y mantención
del inventario de activos de información. En el caso de los activos de información no inventariados
o de aquellos documentos de carácter transitorio o no oficial (borradores, proyectos, etc.) y que
no posean un responsable explícito, será responsabilidad del creador de la información la
aplicación de los niveles de seguridad requeridos en el manejo y transmisión de la información
generada.
IACC-2020
6
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
En caso de existir un activo de información que está clasificado como reservado o secreto,
deberá tener una etiqueta apropiada de clasificación.
A continuación, se presenta una forma en que se deberán categorizar y tipificar los activos de
acuerdo con el tipo de información. Este criterio es solo información de base, pudiendo existir
otros criterios de evaluación, como el caso de restricciones legales respecto a la divulgación de
la información, importancia del activo para un proceso en particular u otros. Estos criterios
deberán ser descritos en el inventario de activos en caso de ser considerados.
IACC-2020
7
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
La gestión de la seguridad de la información con la norma ISO 27001 para algunas organizaciones
es muy importante a la hora de realizar la clasificación de la información. Es una de las principales
tareas que se realizan en dicho ámbito desde que se tiene constancia de ello.
Para clasificar la información según la norma ISO 27001, existen diferentes criterios en los que
basarnos. El criterio más utilizado por las empresas es el basado en el carácter confidencial de la
información.
Para una correcta gestión de la información podemos usar un proceso que consta de cuatro pasos
y que nos ayudará a proteger este activo.
Para realizar una buena gestión de la información en donde ella debe ser clasificada es necesario
que se lleve a cabo el siguiente proceso. Cada empresa, en su política de clasificación de la
información, describe cómo llevar a cabo cada una de las etapas de este proceso de cuatro pasos:
b. Bases de datos.
IACC-2020
8
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
d. Correos electrónicos.
e. Medios de almacenamiento.
f. Información verbal.
• Paso 3. Asignar una etiqueta a la información, una vez haya sido clasificada. Realizada la
anterior clasificación de la información, se tiene que etiquetar de forma adecuada. Es
necesario que se defina una serie de pautas a seguir para cada tipo de activo de información.
Esto, igualmente es cuestión de cada empresa, la cual se hace responsable de definir sus
propias reglas, dado que la norma ISO 27001 no es prescriptiva en este sentido. Una empresa
puede establecer las siguientes reglas para indicar el carácter confidencial en cada uno de los
documentos en papel que posee: indicar en la esquina superior del lado derecho del
documento concreto el nivel de confidencialidad atribuido al mismo y que aparezca en el
frente de la portada y en la carpeta donde se archive tal documento.
• Paso 4. Hacer un manejo y tratamiento seguro de tal información clasificada. Cada empresa
tiene que definir una serie de reglas que guíen sobre cómo proteger cada tipo de información
según el nivel de confidencialidad de cada una. Es necesario presentar un ejemplo de
posibles reglas para proteger la información, según su nivel de confidencialidad y siendo el
medio en el que se presente, podríamos establecer la siguiente regla: los documentos en
IACC-2020
9
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
formato papel, que se encuentran categorizados como de carácter “restringido” deben ser
guardados en un gabinete. Es necesario que se transfiera dentro o fuera de la empresa pero
siempre que se encuentren en sobres cerrados. En caso de mandarse fuera, el documento
tiene que enviarse con un servicio de devolución.
Este proceso de clasificar la información según la norma ISO 27001 puede parecer complejo,
pero realmente es muy comprensible. A esto le sumamos la gran libertad que confiere la
norma ISO 27001 para que cada empresa adapte sus reglas según sus particularidades:
IACC-2020
10
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
Es cierto que no existe una única metodología de riesgos. La forma ideal de realizar la gestión es
seleccionar y combinar las mejores técnicas según el tipo de negocio o de proyecto. Por eso, a la
hora de escoger, hay que tener en cuenta que algunas de estas herramientas son más idóneas
para evaluar las causas de un problema, mientras que otras son más adecuadas para valorar las
consecuencias.
Las organizaciones deben implementar una metodología para el análisis de riesgos según ISO
9001, no porque la norma lo exija, sino porque es la forma apropiada para identificar riesgos y
tomar decisiones sobre cómo gestionarlos o eliminarlos.
El propósito de una metodología para el análisis de riesgos según ISO 9001 es encontrar problemas
potenciales que, eventualmente, pueden surgir durante la elaboración de un producto o en la
ejecución de un proceso específico. Así será posible jerarquizar el riesgo y realizar alguna acción al
respecto.
IACC-2020
11
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
lo que puede suceder, partiendo del análisis de las condiciones que presenta la realidad y sus
tendencias y del reconocimiento de las posibilidades que tiene una política pública para incidir
sobre el comportamiento de estas tendencias. Se parte, asimismo, asumiendo los límites de las
posibilidades de intervención, no sólo por las restricciones que impone nuestro contexto
tecnológico o económico-financiero, sino también por las dificultades para unificar el proceso de
toma de decisión y para lograr que la realidad se encamine en la dirección que se considere
conveniente.
IACC-2020
12
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
b) Identificar las variables críticas sobre las que se puede actuar y reducir en nivel de
riesgo.
Con esta metodología se puede implementar un procedimiento que evalúe las distintas
situaciones de riesgos. La nueva metodología permitirá analizar y administrar riesgos en los
siguientes niveles:
• Evaluación de los activos informáticos sujetos a riesgos.
• Evaluación de los servicios de seguridad o controles existentes.
• Evaluación de amenazas o causas de riesgos.
• Determinación y valoración del daño causado.
• Estimación del nivel de riesgo y determinación de controles.
IACC-2020
13
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
COMENTARIO FINAL
No existe una manera objetiva de determinar si una clasificación de la información es buena o
mala, una taxonomía puede ser muy útil para una organización, pero totalmente ineficiente para
otra. Por eso, es muy importante reflexionar acerca de qué tipo de información que se maneja y se
debe clasificar, cómo está estructurada nuestra organización y la relación que existe entre esta
estructura organizativa y la tipología de documentos y/o procesos con los que trabajamos día a
día.
Finalmente, y aunque no lo parezca, el hecho de que la información esté bien clasificada aportará
un mayor nivel de seguridad por dos motivos: en primer lugar, porque nos ayudará a evitar fugas
de información. El riesgo que se corre en una plataforma de colaboración es que la información
confidencial aparezca en un área pública de nuestra plataforma.
Una buena definición del perfil de usuario nos puede servir para conceder permisos en nuestra
estructura de sitios en función de la pertenencia a un departamento, a una sede o a un grupo de
trabajo del usuario.
IACC-2020
14
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
REFERENCIAS
Borrell, G. (2016). El control de versiones Copyright © 2006 Guillem Borrell Nogueras.
http://www.informatica.us.es/~ramon/articulos/LicenciasSoftware.pdf
Continental.
Ediciones.
IACC-2020
15
SEMANA 8 – EVALUACIÓN DE PROCESOS INFORMÁTICOS
IACC-2020
16