Information Risk Management and Compliance Chapter 2
2.11.3 Clasificacin de los activos de informacinEl Gerente de
Seguridad de Informacin debe:Localizar e identificar los recursos
de informacin.Determinar a los dueos, usuarios y custodios de la
informacin.Asignar clases o niveles de sensitividad y criticidad a
los recursos de informacin. Hacer clasificaciones simples.Asegurar
que existen polticas, normas y procedimientos para etiquetar,
manipular, procesar, almacenar, retener y destruir informacin.
Copyright 2013 ISACA. Todos los derechos reservados.1Contenidos
a Enfatizar: El primer paso en el proceso de clasificacin es
localizar e identificar los recursos de informacin. En muchas
organizaciones, esto puede ser difcil, ya que por lo general no se
cuenta con un inventario detallado de los activos relacionados con
la informacin. Esto se aplica en particular a las grandes
organizaciones que tienen mltiples unidades de negocio
independientes pero que no cuentan con un rea de seguridad slida
centralizada. El proceso de identificacin incluir la determinacin
de la ubicacin de los datos, as como de los propietarios, usuarios
y custodios de los datos. El gerente de seguridad debe tambin
considerar los datos que los proveedores de servicios externos
almacenan. Estos proveedores de servicios pueden incluir empresas
de proteccin de medios y archivo, procesadores de listas de correo,
empresas que procesan correos que contienen informacin de la
compaa, empresas que fungen como mensajeros o transportistas de
informacin, as como proveedores de servicios externos. Los
proveedores de servicios pueden incluir centros de datos que
proporcionan funciones de anfitrin (hosting), servicios de nmina o
administracin de seguros mdicos. El gerente de seguridad de la
informacin que trabaje con las unidades de negocio debe establecer
la clasificacin de la informacin adecuada o los niveles de
sensibilidad y gravedad para los recursos de informacin y
asegurarse de que todos los negocios y las partes interesadas en TI
tienen la oportunidad de revisar y aprobar las directrices
establecidas para los niveles de control de acceso. El nmero de
niveles debe mantenerse al mnimo. Las clasificaciones deben ser
sencillas, por ejemplo clasificar por diferentes grados de
sensibilidad y criticidad. Los gerentes de usuarios finales junto
con el administrador de seguridad pueden entonces utilizar estas
clasificaciones en su proceso de evaluacin de riesgos para ayudar a
determinar los niveles de acceso.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
122
2.11.3 Clasificacin de los activos de informacin Los gerentes de
usuarios finales junto con el administrador de seguridad pueden
utilizar estas clasificaciones en su proceso de valoracin de
riesgos para ayudar a determinar los niveles de acceso.La
clasificacin de los activos de informacin reduce el riesgo de una
proteccin insuficiente o el costo de sobreproteger los recursos de
informacin al vincular la seguridad con los objetivos de
negocio.
Copyright 2013 ISACA. Todos los derechos reservados.2Pginas de
Referencia del Manual de Preparacin al Examen: Pg. 122Existen
varias preguntas que deben formularse en cualquier modelo de
clasificacin de los activos de informacin, entre las que se
incluyen:Cuntos niveles de clasificacin son convenientes para la
organizacin?Cmo se localizar la informacin?Qu proceso se utiliza
para determinar la clasificacin?Cmo se identificar la informacin
clasificada?Cmo se mantendr de acuerdo con las polticas o las
leyes?Quin tiene derechos de acceso?Quin tiene autoridad para
determinar el acceso a los datos?Qu aprobaciones se requieren para
el acceso?2.11.3 Clasificacin de los activos de informacin
Copyright 2013 ISACA. Todos los derechos reservados.3Contenidos
a Enfatizar: Existen varias preguntas que deben formularse en
cualquier modelo de clasificacin de los activos de informacin,
entre las que se incluyen:Cuntos niveles de clasificacin son
convenientes para la organizacin?Cmo se localizar la informacin?Qu
proceso se utiliza para determinar la clasificacin?Cmo se
identificar la informacin clasificada?Cmo se etiquetar?Cmo se
manejar?Cmo se transportar?Cmo se identificar la informacin
clasificada?Cul es el ciclo de vida de la informacin (crear,
actualizar, recuperar, archivar, eliminar)?Cules son los procesos
que estn relacionados con las diversas etapas del ciclo de vida de
los activos de informacin?Cmo se mantendr de acuerdo con las
polticas o las leyes?Cmo se destruir en condiciones seguras al
final del periodo de retencin?Quin tiene la propiedad de la
informacin?Quin tiene derechos de acceso?Quin tiene autoridad para
determinar el acceso a los datos?Qu aprobaciones se requieren para
el acceso?
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
122
2.11.3 Clasificacin de los activos de informacin Un anlisis del
impacto en el negocio ayuda a identificar el impacto de los eventos
adversos en actividades o procesos crticos de negocio.
El Gerente de Seguridad de Informacin puede usar mtodos que estn
dentro de los marcos COBIT, NIST y OCTAVE del SEI
Copyright 2013 ISACA. Todos los derechos reservados.4Contenidos
a Enfatizar: Existen varios mtodos para determinar la sensibilidad
y criticidad de los recursos de informacin y el impacto que tienen
los eventos adversos.
Un anlisis del impacto en el negocio es a menudo realizada para
identificar el impacto de los eventos adversos en actividades o
procesos crticos de negocio. Los mtodos dentro de los marcos COBIT,
NIST y Octave del SEI son representativos de los recursos que el
Gerente de Seguridad de Informacin puede utilizar en este
esfuerzo.
Dado que existen numerosos incidentes adversos que pueden
ocurrir, sera una tarea de enormes proporciones mencionarlos todos.
Tal esfuerzo, obviamente, no es prctico ni rentable. Un BIA
generalmente se focaliza en el impacto que un tipo de evento puede
tener en un proceso especfico y crtico del negocio.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
122
2.11.4 Valoracin y anlisis de impactosUn enfoque comn en la
valoracin de impacto es identificar una propuesta de valor de un
activo a la organizacin en trminos de:Costo de reemplazo.El impacto
asociado con la prdida de integridad.El impacto asociado con la
prdida de disponibilidad.El impacto asociado con la prdida de
confidencialidad.Copyright 2013 ISACA. Todos los derechos
reservados.5Pginas de Referencia del Manual de Preparacin al
Examen: Pg. 123
