CLASIFICACIONES
Y CONTROL DE ACTIVOS DE UNA SEGURIDAD
Análisis de Riesgos
Análisis de riesgos, en economía,
estimación de los riesgos implícitos en una actividad. Todas las decisiones que
se toman en el mundo de los negocios implican cierto grado de incertidumbre o
de riesgo.
En la empresa actual, expuesta a
los riesgos tradicionales y nuevos, encuentra sentido el que los expertos se
ocupen de su análisis sistemático y organizado, desde el que se informe y
asesore a la dirección de la empresa para que ésta decida las medidas
apropiadas para su gestión más eficaz.
El Análisis de Riesgos que supone
un determinado peligro tiene por objeto, predecir la probabilidad de ocurrencia
del accidente y las consecuencias que pueda provocar. Por tanto el análisis de
riesgos es útil para tomar decisiones ante un determinado peligro que pueda afectar
a una persona, empresa, etc.
Responsabilidad sobre
los activos
Mantener una
protección adecuada sobre los activos de la organización. Todos los activos
deben ser considerados y tener un propietario asignado. Deberían identificarse
los propietarios para todos los activos importantes, y se debería asignarla
responsabilidad del mantenimiento de los controles apropiados. La
responsabilidad de la implantación de controles debería delegarse. Pero la
responsabilidad debería mantenerse en el propietario designado del activo.
Inventario de activos
Todos los activos deben se
claramente identificados y se debe elaborar y mantener un inventario de todos
los activos importantes.
Recuperarse de un desastre,
incluyendo el tipo de activo, formato, ubicación, información de respaldo,
información de licencia y el valor dentro del negocio. El inventario no debe
duplicar otros inventarios sin necesidad, pero debe estar seguro de que el
contenido se encuentra alineado. En adición, los propietarios y la
clasificación de la información debe ser aceptada y documentada para cada uno
de los activos. Basado en la importancia del activo, su valor dentro del
negocio y su clasificación de seguridad, se deben identificar niveles de
protección conmensurados con la importancia de los activos
Existen
muchos tipos de activos:
a) Activos de
información: archivos y bases de datos, documentación del sistema, manuales
de los usuarios, material de formación, procedimientos operativos o de soporte,
planes de continuidad, configuración del soporte de recuperación, información
archivada.
b) Activos de software: software
de aplicación, software del sistema, herramientas programas de desarrollo.
c) Activos físicos: equipo de
cómputo, equipo de comunicaciones, medios magnéticos (discos y cintas) u otro
equipo técnico.
d) servicios: servicios de cómputo
y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire
acondicionado).
e) personas, y sus calificaciones,
habilidades y experiencia
f) intangibles, como la
reputación y la imagen organizacional.
Propiedad
de los activos
Toda la información y los activos
asociados con el proceso de información deben ser poseídos por una parte
designada de la organización.
Los propietarios de los activos deben ser responsables por:
a) Asegurar que la información y
los activos asociados con las instalaciones desprocesamiento de información son
apropiadamente clasificada.
b) Definiendo y revisando
periódicamente las restricciones de acceso y las clasificaciones, tomando en
cuenta políticas de control aplicables.
La propiedad debe ser asignada a:
- proceso de negocios
- un conjunto definido de actividades.
- una paliación.
- un conjunto definido de datos.
Uso
adecuado de los activos Control
Las reglas para un uso aceptable
de la información y de los activos asociados con las instalaciones del
procesamiento de la información deben ser identificadas, documentados
implementadas
Todos los empleados, contratistas
y terceras partes deben de seguir las siguientes reglas para un uso aceptable
de la información y de los activos asociados con las instalaciones del
procesamiento de información, incluyendo:
- Reglas para correo electrónico y usos de Internet.
- Guías para el uso de aparatos móviles, especialmente para el uso fuera de la premisa de la organización.
No hay comentarios:
Publicar un comentario