Grupo Organización y Sistemas UPTC

Transcripción

1 Grupo Organización y Sistemas UPTC

2 Terminos y Definiciones Clasificación de Activos de Información

3 Terminos y Definiciones Activo de Información Es todo aquello que posea valor para la organización. Por tanto debe protegerse.

4 Terminos y Definiciones Ejemplo: Activo de Información Información física y digital Software Hardware Servicios de información Sevicios de Comunicaciones Servicios de almacenamiento Personas Imágen

5 Terminos y Definiciones Tipos de Activo de Información: Personas: Por su conocimiento, habilidades, experiencia y criticidad para el proceso, son consideradas activos de información. Personal de la Organización Personal Subcontratado Clientes Usuarios

6 Terminos y Definiciones Tipos de Activo de Información: Servicios: Se consideran tanto los procesos internos, como los externos. Gestión Administrativa Gestión Académica Correo Electrónico Acceso a Internet Acceso a la Red

7 Terminos y Definiciones Tipos de Activo de Información: Información: Datos o Información almacenada o procesada física o electrónicamente. Archivos de datos Información de Una base de datos Contratos Acuerdos Documentación del sistema

8 Terminos y Definiciones Tipos de Activo de Información: Hardware: Activos Físicos que por su criticidad son considerados activos de información. Equipos de Computación Equipos de Comunicación Discos Duros Removibles Unidades de Backup Unidades de Almacenamiento

9 Software: Terminos y Definiciones Tipos de Activo de Información: Herramientas de Ofimática Sistemas Manejadores de Bases de Datos Aplicaciones de Software Específico Software del Sistema Herramientas de Desarrollo

10 Otros: Terminos y Definiciones Tipos de Activo de Información: Imágen Reputación de la Organización

11 Terminos y Definiciones Seguridad de la Información Protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de negocio.

12 Terminos y Definiciones Confidencialidad Característica que indica que el activo sólo sea accedido por el personal, procesos o entidades que se encuentran autorizadas y con las autorizaciones adecuadas.

13 Terminos y Definiciones Integridad Característica que protege la precisión, calidad, veracidad, imparcialidad y completitud del activo.

14 Terminos y Definiciones Disponibilidad Característica que indica que el activo sea oportuno, es decir que pueda ser consultado y usado por la persona, entidad o proceso cuando lo requiera.

15 Terminos y Definiciones Clasificación de Activos de Información

16 Clasificación de Activos Por cada activo se especifica si contiene datos personales y de qué tipo. Dato Público Dato Semiprivado Dato Privado TIPOS DE DATOS PERSONALES Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas. Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

17 Valoración del Activo de Información Impacto que tendría para la UPTC la pérdida de confidencialidad sobre el activo de información. Que sea conocido por personas no autorizadas. Información Hardware Software CONFIDENCIALIDAD Individuo, entidad o proceso no autorizado accede al activo de información. Alguien conoce que existe el elemento o su configuración o accede al activo sin autorización. Individuo, entidad o proceso no autorizado conoce la existencia o parametrización del activo. Servicio Persona Alguien conoce su existencia o configuración o hace uso no autorizado del activo. Se hace uso inadecuado de la información privilegiada a la cual se tiene acceso por cargo o función que desempeña.

18 Valoración del Activo de Información CONFIDENCIALIDAD: CRITERIO DESCRIPCION EXPLICACION A Alto El conocimiento o divulgación no autorizada de la información que gestiona este activo impacta negativamente a la Institución. M Medio El conocimiento o divulgación no autorizada de la información que gestiona este activo impacta negativamente no sólo el proceso evaluado sino otros procesos de la UPTC. B Bajo El conocimiento o divulgación no autorizada de la información que gestiona este activo impacta negativamente de manera leve al proceso. MB Muy Bajo El conocimiento o divulgación no autorizada de la información que gestiona este activo no impacta negativamente al proceso.

19 Impacto que tendría la pérdida de integridad. Si la exactitud y estado completo de la información y métodos de procesamiento fueran alterados. Información Hardware Software Servicio Persona INTEGRIDAD Se pierde la completitud, exactitud o precisión del activo de información. Ejemplo: Errores de procesamiento de los sistemas. El activo no efectúa las actividades de procesamiento o su función correctamente o es alterada su configuración indebidamente. Ejemplo: cuando se daña un elemento o parte del activo o funciona inadecuadamente. Se valora la completitud, exactitud o precisión de la parametrización del activo. Ejemplo: modificación la configuración del software lo que puede llevar a errores en la información a procesar. Se valora la completitud, exactitud o precisión del servicio. Ejemplo: Que el servicio se presta en las condiciones óptimas y acordadas. La persona produce datos errados o incompletos o de acuerdo con su rol toma decisiones equivocadas, por capacidades o aptitudes inadecuadas para desempeñar el rol o función.

20 Valoración del Activo de Información INTEGRIDAD: CRITERIO DESCRIPCION EXPLICACION A Alto La pérdida de exactitud y estado completo del activo impacta negativamente a la Institución. M Medio La pérdida de exactitud y estado completo del activo impacta negativamente no sólo el proceso evaluado sino otros procesos de la UPTC. B Bajo La pérdida de exactitud y estado completo del activo impacta negativamente de manera leve al proceso. MB Muy Bajo La pérdida de exactitud y estado completo del activo no impacta negativamente al proceso.

21 Valoración del Activo de Información Impacto que tendría la pérdida de disponibilidad. Si los usuarios autorizados no tuvieran acceso a los activos de información en el momento que lo requieran. Información Hardware Software Servicio Persona DISPONIBILIDAD El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado. El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado. El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado. El activo no está disponible o no se puede tener acceso a él cuando se requiere y por el personal que está autorizado. La persona no se encuentra disponible para el proceso.

22 Valoración del Activo de Información DISPONIBILIDAD: CRITERIO DESCRIPCION EXPLICACION A Alto La falta o no disponibilidad del activo de información impacta negativamente a la Institución. M Medio La falta o no disponibilidad del activo de información impacta negativamente no sólo el proceso evaluado sino otros procesos de la UPTC. B Bajo La falta o no disponibilidad del activo de información impacta negativamente de manera leve al proceso. MB Muy Bajo La falta o no disponibilidad del activo de información no tiene ningún impacto negativo en el proceso.

23 Valoración del Activo de Información CRITICIDAD Establece la importancia total del activo de información, de acuerdo a la valoración en cada una de las propiedades CID. CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CRITICIDAD Alto Alto Alto ALTA Alto Medio Bajo ALTA Muy Bajo Medio Bajo MEDIA Muy Bajo Medio Medio MEDIA Muy Bajo Bajo Bajo BAJA

24