SGSI - 07 Los activos de Seguridad de la Información
Summary
TLDREl guion habla sobre la importancia de proteger la información de las organizaciones frente a riesgos y amenazas. Se describe la clasificación de los activos de seguridad de la información según la metodología de Madrid, incluyendo servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones. Se enfatiza la necesidad de conocer y identificar estos activos, así como realizar un análisis de dependencias y una valoración de su relevancia y impacto para la organización. Se sugiere el uso de entrevistas y encuestas para evaluar la información basada en la integridad, confidencialidad y disponibilidad.
Takeaways
- 🔒 La información es un activo crucial para las organizaciones y su protección es fundamental para asegurar el correcto funcionamiento del negocio.
- 🗂 Los activos de seguridad de la información se pueden dividir en grupos según su naturaleza, siguiendo la metodología de Madrid.
- 🏢 El primer grupo de activos incluye servicios, que son los procesos de negocio tanto externos como internos de la organización.
- 💾 El segundo grupo se compone de datos e información, que son el núcleo del sistema y suelen ser manipulados dentro de la organización.
- 📱 El tercer grupo incluye aplicaciones de software, mientras que el cuarto está formado por equipos informáticos.
- 👥 El quinto grupo es el personal, que puede ser interno, subcontratado o de clientes.
- 🌐 El sexto grupo son las redes de comunicaciones, que pueden ser propias o subcontratadas, y son esenciales para el movimiento de información.
- 💽 El séptimo grupo son los soportes de información, que permiten el almacenamiento físico de la información a largo plazo.
- 🛠️ El octavo grupo incluye el equipamiento auxiliar que apoya a los sistemas de información y no se ha incluido en otros grupos.
- 🏢 El último grupo son las instalaciones, como oficinas o edificios, donde se alojan los sistemas de información.
- 🏷️ Además de los activos tangibles, también se deben considerar los intangibles como la imagen y la reputación de la empresa.
- 📋 Para proteger los activos de información, es necesario conocer y identificarlos dentro de la organización mediante un inventario detallado.
- 🔍 El inventario de activos debe incluir al menos la descripción, localización y propietario de cada activo.
- 🔗 Es importante realizar un análisis de las dependencias entre los activos para establecer un árbol de dependencias que muestre la relación entre todos los activos.
- 📊 Se debe realizar una valoración de los activos en función de su relevancia para el negocio y el impacto de una incidencia sobre ellos.
- 👤 La valoración puede ser cuantitativa o cualitativa, y es crucial que exista un criterio homogéneo para comparar entre activos.
- 🗣️ Entrevistas y encuestas son métodos comunes para valorar los activos, seleccionando un grupo significativo y diverso de personas dentro de la empresa.
Q & A
¿Qué es el activo de seguridad de la información y por qué es importante para una organización?
-El activo de seguridad de la información es la información que es esencial para el correcto funcionamiento de un negocio. Es importante porque su protección asegura la continuidad y la integridad de los procesos empresariales.
Según la metodología de Madrid, ¿cómo se agrupan los activos de seguridad de la información?
-Los activos de seguridad de la información se agrupan en servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones.
¿Qué se considera como el segundo grupo de activos según la metodología de Madrid?
-El segundo grupo de activos son los datos e información, que son el núcleo del sistema y suelen ser manipulados dentro de la organización.
¿Qué tipo de activos se encuentran en el quinto grupo según el guion?
-El quinto grupo de activos son el personal, que incluye tanto personal interno como subcontratado, así como clientes.
¿Cuál es la función de las redes de comunicaciones en la organización según el guion?
-Las redes de comunicaciones dan soporte a la organización para el movimiento de la información y pueden ser propias o subcontratadas a terceros.
¿Qué se debe incluir en el inventario de activos de información para protegerlos adecuadamente?
-El inventario debe incluir al menos la descripción, la ubicación y el propietario de cada activo.
¿Quién debe definir el grado de seguridad que requiere un activo y por qué?
-El propietario del activo debe definir el grado de seguridad que requiere, ya que es la persona responsable de determinar las necesidades de protección específicas del activo.
¿Cómo se establecen las dependencias entre los activos de información?
-Las dependencias entre los activos se establecen haciendo preguntas sobre quién depende de quién y qué otros activos se ven afectados por un fallo en un activo específico.
¿Qué es un árbol de dependencias de activos y para qué sirve?
-Un árbol de dependencias de activos es una representación gráfica que muestra la relación entre todos los activos de una organización, desde los de más alto nivel hasta los de nivel más bajo.
¿Cómo se realiza una valoración de los activos de información y cuáles son los criterios principales?
-Se realiza una valoración de los activos de información tanto de forma cuantitativa como cualitativa, basándose en la relevancia para el negocio y el impacto de una incidencia. Los criterios principales son la integridad, confidencialidad y disponibilidad de la información.
¿Qué métodos son más utilizados para realizar una valoración de los activos de información en una empresa?
-Los métodos más utilizados para valorar los activos de información son la entrevista y la encuesta, seleccionando un grupo significativo y representativo del personal de la empresa.
Outlines
💼 Protección de la Información como Activo de Seguridad
El primer párrafo explica la importancia de la información en las organizaciones y cómo es esencial para su funcionamiento correcto. Se introduce el concepto de 'activo de seguridad de la información' y se enfatiza la necesidad de proteger estos activos. Se describe la metodología de agrupación de activos siguiendo la norma de Madrid, que incluye servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones. Además, se menciona la importancia de proteger no solo los activos tangibles sino también los intangibles como la imagen y la reputación de la empresa. Se sugiere crear un inventario de activos para su identificación y clasificación, incluyendo detalles como descripción, ubicación y propietario, y se destaca la importancia de definir el nivel de seguridad requerido por cada activo.
🔍 Análisis de Dependencias y Valoración de Activos
El segundo párrafo se centra en el análisis de las dependencias entre los diferentes activos de información para establecer cómo se verían afectados en caso de un fallo en uno de ellos. Se describe el proceso de creación de un árbol de dependencias que muestra la relación entre todos los activos de una organización. Además, se aborda la necesidad de valorar los activos en función de su relevancia para el negocio y el impacto que una incidencia podría causar. Se mencionan dos tipos de valoración: cuantitativa, basada en el valor económico, y cualitativa, que se establece según una escala de 0 a 10 o con valores de bajo, medio y alto. Se enfatiza la importancia de tener un criterio uniforme de valoración basado en la integridad, confidencialidad y disponibilidad de la información. También se sugiere que para realizar la valoración, se utilicen métodos como entrevistas y encuestas, seleccionando un grupo significativo y representativo de personas de la empresa que abarque diferentes áreas y roles.
Mindmap
Keywords
💡Activos de Seguridad de la Información
💡Sistema de Gestión de Seguridad de la Información
💡Inventario de Activos
💡Propietario del Activo
💡Análisis de Dependencias
💡Valoración de Activos
💡Integridad, Confidencialidad y Disponibilidad
💡Método de Madrid
💡Reputación y Imagen Corporativa
💡Encuestas y Entrevistas
Highlights
Las organizaciones deben proteger la información frente a riesgos y amenazas para asegurar su funcionamiento.
El activo de seguridad de la información es esencial para las empresas y su protección es el objetivo de cualquier sistema de gestión de seguridad de la información.
Los activos de seguridad de la información se pueden dividir en diferentes grupos según su naturaleza.
La metodología de Madrid para agrupar activos es utilizada en la administración.
El primer tipo de activos incluye servicios como procesos de negocio tanto externos como internos.
El segundo grupo son los datos e información, que son el núcleo del sistema.
El tercer tipo de activos son aplicaciones de software.
El cuarto grupo está formado por equipos informáticos.
El quinto grupo incluye al personal, tanto interno como subcontratado o de clientes.
Las redes de comunicaciones son el sexto grupo y dan soporte al movimiento de información.
El séptimo grupo son los soportes de información, que permiten el almacenamiento a largo plazo.
El octavo grupo incluye el equipamiento auxiliar que no se ha incluido en otros grupos, como equipos de destrucción de documentación o de climatización.
El último grupo son las instalaciones donde se alojan los sistemas de información, como oficinas, edificios o vehículos.
Además de los activos tangibles, también se deben considerar los intangibles como la imagen y la reputación de la empresa.
Para proteger los activos de información, es necesario conocerlos e identificarlos dentro de la organización.
Se debe elaborar un inventario que identifique y clasifique cada activo, incluyendo descripción, localización y propietario.
El propietario del activo es quien define el grado de seguridad requerido y no necesariamente es el usuario o gestor del activo.
Una vez identificados los activos, se realiza un análisis de las dependencias existentes entre ellos para establecer un árbol de dependencias.
Los activos no tienen la misma importancia para la organización y es necesario realizar una valoración en función de su relevancia y el impacto de una incidencia.
La valoración de los activos puede ser cuantitativa o cualitativa, y se basa en características como integridad, confidencialidad y disponibilidad.
La entrevista y la encuesta son los métodos más utilizados para valorar los activos, seleccionando un grupo significativo y diverso de personas de la empresa.
Transcripts
[Música]
las organizaciones poseen información
que deben proteger frente a riesgos y
amenazas para asegurar el correcto
funcionamiento de su negocio este tipo
de información imprescindible para las
empresas es lo que se ha denominado
activo de seguridad de la información su
protección es el objetivo de todo
sistema de gestión de seguridad de la
información
los activos pueden dividirse en
diferentes grupos según su naturaleza si
seguimos la metodología de madrid' para
agrupar activos la utilizada en la
administración estos son los tipos que
encontramos en el primer tipo están los
servicios es decir los procesos de
negocio de la organización que ofrece la
organización al exterior o que ofrece
con carácter interno como es el caso de
la gestión de nóminas en el segundo
grupo se encuentran los datos e
información que se manipula dentro de la
organización suelen ser el núcleo del
sistema mientras que el resto de activos
suelen darle soporte de almacenamiento
manipulación etcétera el tercer tipo
está formado por aplicaciones de
software en el cuarto grupo están los
equipos informáticos el quinto grupo lo
forma el personal éste es el activo
principal incluye personal interno
subcontratado de los clientes etc
en el sexto lugar están las redes de
comunicaciones que dan soporte a la
organización para el movimiento de la
información pueden ser redes propias o
subcontratadas a terceros
el grupo séptimo lo configuran los
soportes de información los soportes
físicos que permiten el almacenamiento
de la información durante un largo
periodo de tiempo en el octavo grupo
está el equipamiento auxiliar que da
soporte a los sistemas de información y
que son activos que no se han incluido
en ninguno de los otros grupos por
ejemplo los equipos de destrucción de
documentación o los equipos de
climatización y el último lugar se
refiere a las instalaciones donde se
alojan los sistemas de información como
oficinas edificios o vehículos junto a
estos activos hay que tener en cuenta
aquellos intangibles como la imagen y la
reputación de la empresa
[Música]
para proteger los activos de información
es necesario conocerlos e identificar
cuáles son dentro de la organización
para ello elaboraremos un inventario que
nos identifique y clasifique cada activo
del inventario debe incluir al menos su
descripción localización y propietario
el propietario del activo debe ser quien
defina el grado de seguridad que
requiere su activo el propietario no
tiene necesariamente que ser quien va a
gestionar el activo o ser su usuario por
ejemplo una base de datos de clientes
puede pertenecer al director comercial
de una empresa su gestión puede estar
encargada al área de sistemas y sus
usuarios pueden ser los comerciales
una vez identificados todos los activos
hay que realizar un análisis de las
dependencias existentes entre ellos para
establecer estas dependencias se pueden
hacer preguntas del tipo quien depende
de quién o si hay un fallo en el activo
x qué otros activos se van a ver
perjudicados o involucrados
el resultado de dicho análisis será un
árbol de dependencias de activos en el
que se podrá ver la relación existente
entre todos los activos de una
organización desde los de más alto nivel
hasta llegar a los de nivel más bajo
[Música]
no todos los activos tienen la misma
importancia para la organización ni
generan los mismos problemas y son
atacados por ello es necesario realizar
una valoración de los activos en función
de la relevancia que tengan para el
negocio y del impacto que una incidencia
sobre el mismo pueda causar a la entidad
podemos realizar una valoración
cuantitativa en la que se estima el
valor económico del activo o cualitativa
la valoración cualitativa se establece
de acuerdo a una escala por ejemplo del
0 al 10 o con valores del tipo bajo
medio y alto en este tipo de valoración
es muy importante que exista un criterio
homogéneo de valoración que permita
comparar entre activos el criterio que
se suele utilizar está basado en las
características principales de la
información integridad confidencialidad
y disponibilidad por ejemplo si
consideramos una base de datos de
clientes como un activo de la
organización su valoración tiene que
hacerse de acuerdo a estos tres
parámetros principales para eso se debe
responder a preguntas como qué impacto
tendría para el negocio
que alguien tuviese acceso a la base de
datos de clientes y modificas en los
datos de los mismos
aunque existen multitud de formas de
valoración de los activos la entrevista
y la encuesta son los más utilizados en
ambos casos se debe seleccionar un grupo
significativo de personas entre el
personal de la empresa estas personas
deben representar a todas las áreas del
alcance del sistema de gestión de la
seguridad de la información así como
tener roles diferentes
[Música]
5.0 / 5 (0 votes)