SGSI - 07 Los activos de Seguridad de la Información

INCIBE
27 Apr 201005:23

Summary

TLDREl guion habla sobre la importancia de proteger la información de las organizaciones frente a riesgos y amenazas. Se describe la clasificación de los activos de seguridad de la información según la metodología de Madrid, incluyendo servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones. Se enfatiza la necesidad de conocer y identificar estos activos, así como realizar un análisis de dependencias y una valoración de su relevancia y impacto para la organización. Se sugiere el uso de entrevistas y encuestas para evaluar la información basada en la integridad, confidencialidad y disponibilidad.

Takeaways

  • 🔒 La información es un activo crucial para las organizaciones y su protección es fundamental para asegurar el correcto funcionamiento del negocio.
  • 🗂 Los activos de seguridad de la información se pueden dividir en grupos según su naturaleza, siguiendo la metodología de Madrid.
  • 🏢 El primer grupo de activos incluye servicios, que son los procesos de negocio tanto externos como internos de la organización.
  • 💾 El segundo grupo se compone de datos e información, que son el núcleo del sistema y suelen ser manipulados dentro de la organización.
  • 📱 El tercer grupo incluye aplicaciones de software, mientras que el cuarto está formado por equipos informáticos.
  • 👥 El quinto grupo es el personal, que puede ser interno, subcontratado o de clientes.
  • 🌐 El sexto grupo son las redes de comunicaciones, que pueden ser propias o subcontratadas, y son esenciales para el movimiento de información.
  • 💽 El séptimo grupo son los soportes de información, que permiten el almacenamiento físico de la información a largo plazo.
  • 🛠️ El octavo grupo incluye el equipamiento auxiliar que apoya a los sistemas de información y no se ha incluido en otros grupos.
  • 🏢 El último grupo son las instalaciones, como oficinas o edificios, donde se alojan los sistemas de información.
  • 🏷️ Además de los activos tangibles, también se deben considerar los intangibles como la imagen y la reputación de la empresa.
  • 📋 Para proteger los activos de información, es necesario conocer y identificarlos dentro de la organización mediante un inventario detallado.
  • 🔍 El inventario de activos debe incluir al menos la descripción, localización y propietario de cada activo.
  • 🔗 Es importante realizar un análisis de las dependencias entre los activos para establecer un árbol de dependencias que muestre la relación entre todos los activos.
  • 📊 Se debe realizar una valoración de los activos en función de su relevancia para el negocio y el impacto de una incidencia sobre ellos.
  • 👤 La valoración puede ser cuantitativa o cualitativa, y es crucial que exista un criterio homogéneo para comparar entre activos.
  • 🗣️ Entrevistas y encuestas son métodos comunes para valorar los activos, seleccionando un grupo significativo y diverso de personas dentro de la empresa.

Q & A

  • ¿Qué es el activo de seguridad de la información y por qué es importante para una organización?

    -El activo de seguridad de la información es la información que es esencial para el correcto funcionamiento de un negocio. Es importante porque su protección asegura la continuidad y la integridad de los procesos empresariales.

  • Según la metodología de Madrid, ¿cómo se agrupan los activos de seguridad de la información?

    -Los activos de seguridad de la información se agrupan en servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones.

  • ¿Qué se considera como el segundo grupo de activos según la metodología de Madrid?

    -El segundo grupo de activos son los datos e información, que son el núcleo del sistema y suelen ser manipulados dentro de la organización.

  • ¿Qué tipo de activos se encuentran en el quinto grupo según el guion?

    -El quinto grupo de activos son el personal, que incluye tanto personal interno como subcontratado, así como clientes.

  • ¿Cuál es la función de las redes de comunicaciones en la organización según el guion?

    -Las redes de comunicaciones dan soporte a la organización para el movimiento de la información y pueden ser propias o subcontratadas a terceros.

  • ¿Qué se debe incluir en el inventario de activos de información para protegerlos adecuadamente?

    -El inventario debe incluir al menos la descripción, la ubicación y el propietario de cada activo.

  • ¿Quién debe definir el grado de seguridad que requiere un activo y por qué?

    -El propietario del activo debe definir el grado de seguridad que requiere, ya que es la persona responsable de determinar las necesidades de protección específicas del activo.

  • ¿Cómo se establecen las dependencias entre los activos de información?

    -Las dependencias entre los activos se establecen haciendo preguntas sobre quién depende de quién y qué otros activos se ven afectados por un fallo en un activo específico.

  • ¿Qué es un árbol de dependencias de activos y para qué sirve?

    -Un árbol de dependencias de activos es una representación gráfica que muestra la relación entre todos los activos de una organización, desde los de más alto nivel hasta los de nivel más bajo.

  • ¿Cómo se realiza una valoración de los activos de información y cuáles son los criterios principales?

    -Se realiza una valoración de los activos de información tanto de forma cuantitativa como cualitativa, basándose en la relevancia para el negocio y el impacto de una incidencia. Los criterios principales son la integridad, confidencialidad y disponibilidad de la información.

  • ¿Qué métodos son más utilizados para realizar una valoración de los activos de información en una empresa?

    -Los métodos más utilizados para valorar los activos de información son la entrevista y la encuesta, seleccionando un grupo significativo y representativo del personal de la empresa.

Outlines

00:00

💼 Protección de la Información como Activo de Seguridad

El primer párrafo explica la importancia de la información en las organizaciones y cómo es esencial para su funcionamiento correcto. Se introduce el concepto de 'activo de seguridad de la información' y se enfatiza la necesidad de proteger estos activos. Se describe la metodología de agrupación de activos siguiendo la norma de Madrid, que incluye servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información, equipamiento auxiliar y instalaciones. Además, se menciona la importancia de proteger no solo los activos tangibles sino también los intangibles como la imagen y la reputación de la empresa. Se sugiere crear un inventario de activos para su identificación y clasificación, incluyendo detalles como descripción, ubicación y propietario, y se destaca la importancia de definir el nivel de seguridad requerido por cada activo.

05:02

🔍 Análisis de Dependencias y Valoración de Activos

El segundo párrafo se centra en el análisis de las dependencias entre los diferentes activos de información para establecer cómo se verían afectados en caso de un fallo en uno de ellos. Se describe el proceso de creación de un árbol de dependencias que muestra la relación entre todos los activos de una organización. Además, se aborda la necesidad de valorar los activos en función de su relevancia para el negocio y el impacto que una incidencia podría causar. Se mencionan dos tipos de valoración: cuantitativa, basada en el valor económico, y cualitativa, que se establece según una escala de 0 a 10 o con valores de bajo, medio y alto. Se enfatiza la importancia de tener un criterio uniforme de valoración basado en la integridad, confidencialidad y disponibilidad de la información. También se sugiere que para realizar la valoración, se utilicen métodos como entrevistas y encuestas, seleccionando un grupo significativo y representativo de personas de la empresa que abarque diferentes áreas y roles.

Mindmap

Keywords

💡Activos de Seguridad de la Información

Los 'Activos de Seguridad de la Información' son datos y recursos críticos para la operación de una empresa que deben ser protegidos. En el guion, se menciona que estos activos son esenciales para el correcto funcionamiento del negocio y son el objetivo principal de cualquier sistema de gestión de seguridad de la información. Ejemplos de activos incluyen servicios, datos e información, aplicaciones de software, equipos informáticos, personal, redes de comunicaciones, soportes de información y equipamiento auxiliar.

💡Sistema de Gestión de Seguridad de la Información

Este 'Sistema de Gestión de Seguridad de la Información' es un marco que organiza y dirige la protección de los activos de seguridad de la información. En el video, se destaca como el mecanismo para asegurar que la información crítica para las empresas esté protegida frente a riesgos y amenazas, lo que es fundamental para el éxito y la continuidad del negocio.

💡Inventario de Activos

El 'Inventario de Activos' es un registro detallado de todos los activos de seguridad de la información dentro de una organización. Se menciona en el guion como un paso esencial para conocer y clasificar cada activo, lo cual es crucial para la protección y gestión efectiva de la información. El inventario debe incluir al menos la descripción, localización y propietario de cada activo.

💡Propietario del Activo

El 'Propietario del Activo' es la persona responsable de definir el nivel de seguridad requerido por un activo específico. Según el guion, aunque el propietario puede no ser necesariamente el usuario o el encargado de gestionar el activo, su papel es fundamental para establecer los estándares de seguridad que deben ser cumplidos.

💡Análisis de Dependencias

El 'Análisis de Dependencias' es el proceso de evaluar cómo los activos de seguridad de la información están interconectados y qué consecuencias podrían tener los fallos en uno de ellos en los demás. En el video, se describe cómo este análisis resulta en un 'árbol de dependencias de activos', que ayuda a visualizar la relación entre todos los activos de una organización.

💡Valoración de Activos

La 'Valoración de Activos' es el proceso de determinar la importancia de un activo para la organización y el impacto que podría causar una incidencia sobre él. Se menciona en el guion que esta valoración puede ser cuantitativa, basándose en el valor económico del activo, o cualitativa, utilizando escalas de 0 a 10 o categorías como bajo, medio y alto. La valoración es crucial para priorizar los recursos de seguridad y proteger adecuadamente los activos más críticos.

💡Integridad, Confidencialidad y Disponibilidad

Estas son las 'Características Principales de la Información' que deben ser consideradas al valorar los activos. En el guion, se sugiere que la valoración de un activo, como una base de datos de clientes, debe basarse en cómo impactaría al negocio si alguien tuviera acceso no autorizado o si los datos fueran modificados. Estas características son fundamentales para mantener la seguridad y la confiabilidad de la información.

💡Método de Madrid

El 'Método de Madrid' es una metodología utilizada para agrupar y clasificar los activos de seguridad de la información. Aunque no se explica en detalle en el guion, se menciona como una referencia para la clasificación de los diferentes tipos de activos que se encuentran en una organización.

💡Reputación y Imagen Corporativa

La 'Reputación y Imagen Corporativa' son intangibles que, aunque no se mencionan explícitamente en el guion, son cruciales para la protección de la información. Un incidente de seguridad de la información puede dañar gravemente la reputación de una empresa, lo que a su vez puede afectar a su imagen y confiabilidad en el mercado.

💡Encuestas y Entrevistas

Las 'Encuestas y Entrevistas' son métodos utilizados para realizar valoraciones cualitativas de los activos de seguridad de la información. En el guion, se sugiere que estos métodos involucran a un grupo significativo y representativo del personal de la empresa, lo que ayuda a obtener una perspectiva holística y diversa sobre la importancia y el impacto de los activos en la organización.

Highlights

Las organizaciones deben proteger la información frente a riesgos y amenazas para asegurar su funcionamiento.

El activo de seguridad de la información es esencial para las empresas y su protección es el objetivo de cualquier sistema de gestión de seguridad de la información.

Los activos de seguridad de la información se pueden dividir en diferentes grupos según su naturaleza.

La metodología de Madrid para agrupar activos es utilizada en la administración.

El primer tipo de activos incluye servicios como procesos de negocio tanto externos como internos.

El segundo grupo son los datos e información, que son el núcleo del sistema.

El tercer tipo de activos son aplicaciones de software.

El cuarto grupo está formado por equipos informáticos.

El quinto grupo incluye al personal, tanto interno como subcontratado o de clientes.

Las redes de comunicaciones son el sexto grupo y dan soporte al movimiento de información.

El séptimo grupo son los soportes de información, que permiten el almacenamiento a largo plazo.

El octavo grupo incluye el equipamiento auxiliar que no se ha incluido en otros grupos, como equipos de destrucción de documentación o de climatización.

El último grupo son las instalaciones donde se alojan los sistemas de información, como oficinas, edificios o vehículos.

Además de los activos tangibles, también se deben considerar los intangibles como la imagen y la reputación de la empresa.

Para proteger los activos de información, es necesario conocerlos e identificarlos dentro de la organización.

Se debe elaborar un inventario que identifique y clasifique cada activo, incluyendo descripción, localización y propietario.

El propietario del activo es quien define el grado de seguridad requerido y no necesariamente es el usuario o gestor del activo.

Una vez identificados los activos, se realiza un análisis de las dependencias existentes entre ellos para establecer un árbol de dependencias.

Los activos no tienen la misma importancia para la organización y es necesario realizar una valoración en función de su relevancia y el impacto de una incidencia.

La valoración de los activos puede ser cuantitativa o cualitativa, y se basa en características como integridad, confidencialidad y disponibilidad.

La entrevista y la encuesta son los métodos más utilizados para valorar los activos, seleccionando un grupo significativo y diverso de personas de la empresa.

Transcripts

play00:01

[Música]

play00:06

las organizaciones poseen información

play00:09

que deben proteger frente a riesgos y

play00:11

amenazas para asegurar el correcto

play00:13

funcionamiento de su negocio este tipo

play00:15

de información imprescindible para las

play00:17

empresas es lo que se ha denominado

play00:19

activo de seguridad de la información su

play00:22

protección es el objetivo de todo

play00:23

sistema de gestión de seguridad de la

play00:25

información

play00:31

los activos pueden dividirse en

play00:32

diferentes grupos según su naturaleza si

play00:35

seguimos la metodología de madrid' para

play00:37

agrupar activos la utilizada en la

play00:39

administración estos son los tipos que

play00:41

encontramos en el primer tipo están los

play00:44

servicios es decir los procesos de

play00:46

negocio de la organización que ofrece la

play00:48

organización al exterior o que ofrece

play00:50

con carácter interno como es el caso de

play00:52

la gestión de nóminas en el segundo

play00:55

grupo se encuentran los datos e

play00:57

información que se manipula dentro de la

play00:59

organización suelen ser el núcleo del

play01:01

sistema mientras que el resto de activos

play01:03

suelen darle soporte de almacenamiento

play01:05

manipulación etcétera el tercer tipo

play01:09

está formado por aplicaciones de

play01:10

software en el cuarto grupo están los

play01:13

equipos informáticos el quinto grupo lo

play01:16

forma el personal éste es el activo

play01:19

principal incluye personal interno

play01:21

subcontratado de los clientes etc

play01:25

en el sexto lugar están las redes de

play01:27

comunicaciones que dan soporte a la

play01:29

organización para el movimiento de la

play01:31

información pueden ser redes propias o

play01:33

subcontratadas a terceros

play01:35

el grupo séptimo lo configuran los

play01:38

soportes de información los soportes

play01:40

físicos que permiten el almacenamiento

play01:42

de la información durante un largo

play01:43

periodo de tiempo en el octavo grupo

play01:47

está el equipamiento auxiliar que da

play01:49

soporte a los sistemas de información y

play01:51

que son activos que no se han incluido

play01:53

en ninguno de los otros grupos por

play01:55

ejemplo los equipos de destrucción de

play01:57

documentación o los equipos de

play01:59

climatización y el último lugar se

play02:02

refiere a las instalaciones donde se

play02:04

alojan los sistemas de información como

play02:06

oficinas edificios o vehículos junto a

play02:10

estos activos hay que tener en cuenta

play02:12

aquellos intangibles como la imagen y la

play02:15

reputación de la empresa

play02:16

[Música]

play02:20

para proteger los activos de información

play02:23

es necesario conocerlos e identificar

play02:25

cuáles son dentro de la organización

play02:28

para ello elaboraremos un inventario que

play02:30

nos identifique y clasifique cada activo

play02:33

del inventario debe incluir al menos su

play02:35

descripción localización y propietario

play02:38

el propietario del activo debe ser quien

play02:41

defina el grado de seguridad que

play02:43

requiere su activo el propietario no

play02:45

tiene necesariamente que ser quien va a

play02:47

gestionar el activo o ser su usuario por

play02:50

ejemplo una base de datos de clientes

play02:52

puede pertenecer al director comercial

play02:54

de una empresa su gestión puede estar

play02:56

encargada al área de sistemas y sus

play02:58

usuarios pueden ser los comerciales

play03:05

una vez identificados todos los activos

play03:08

hay que realizar un análisis de las

play03:10

dependencias existentes entre ellos para

play03:12

establecer estas dependencias se pueden

play03:15

hacer preguntas del tipo quien depende

play03:17

de quién o si hay un fallo en el activo

play03:20

x qué otros activos se van a ver

play03:22

perjudicados o involucrados

play03:24

el resultado de dicho análisis será un

play03:27

árbol de dependencias de activos en el

play03:29

que se podrá ver la relación existente

play03:31

entre todos los activos de una

play03:32

organización desde los de más alto nivel

play03:34

hasta llegar a los de nivel más bajo

play03:37

[Música]

play03:41

no todos los activos tienen la misma

play03:44

importancia para la organización ni

play03:46

generan los mismos problemas y son

play03:47

atacados por ello es necesario realizar

play03:50

una valoración de los activos en función

play03:52

de la relevancia que tengan para el

play03:54

negocio y del impacto que una incidencia

play03:56

sobre el mismo pueda causar a la entidad

play04:00

podemos realizar una valoración

play04:01

cuantitativa en la que se estima el

play04:03

valor económico del activo o cualitativa

play04:06

la valoración cualitativa se establece

play04:09

de acuerdo a una escala por ejemplo del

play04:11

0 al 10 o con valores del tipo bajo

play04:14

medio y alto en este tipo de valoración

play04:17

es muy importante que exista un criterio

play04:20

homogéneo de valoración que permita

play04:22

comparar entre activos el criterio que

play04:24

se suele utilizar está basado en las

play04:26

características principales de la

play04:28

información integridad confidencialidad

play04:31

y disponibilidad por ejemplo si

play04:34

consideramos una base de datos de

play04:36

clientes como un activo de la

play04:37

organización su valoración tiene que

play04:39

hacerse de acuerdo a estos tres

play04:41

parámetros principales para eso se debe

play04:43

responder a preguntas como qué impacto

play04:45

tendría para el negocio

play04:47

que alguien tuviese acceso a la base de

play04:49

datos de clientes y modificas en los

play04:51

datos de los mismos

play04:57

aunque existen multitud de formas de

play04:59

valoración de los activos la entrevista

play05:01

y la encuesta son los más utilizados en

play05:04

ambos casos se debe seleccionar un grupo

play05:06

significativo de personas entre el

play05:08

personal de la empresa estas personas

play05:10

deben representar a todas las áreas del

play05:13

alcance del sistema de gestión de la

play05:15

seguridad de la información así como

play05:17

tener roles diferentes

play05:21

[Música]

浏览更多相关视频

Integridad, Confidencialidad y Disponibilidad de la Información

"Campaña de sensibilización Seguridad de la Información "

SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

RIESGOS INFORMÁTICOS

PAN Paso 1 Evaluación nutricia

Ciberseguridad - Primer capítulo

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
相关标签
Seguridad de la InformaciónActivos de SeguridadGestión de RiesgoInventario de ActivosDependencias de ActivosValoración de ActivosIntegridad de DatosConfidencialidadDisponibilidadEntrevista de ValoraciónEncuesta de Seguridad
您是否需要英文摘要?