Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Actividad #2 Gsi
Actividad #2 Gsi
Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir
diferentes categoras de los mismos:
-
Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen,
gestionan, transmiten y destruyen en la organizacin.
general, todos aquellos que tengan acceso de una manera u otra a los activos
de informacin de la organizacin.
-
Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte
de la organizacin suministra a otra (por ejemplo la gestin administrativa), como
los externos, aquellos que la organizacin suministra a clientes y usuarios (por
ejemplo la comercializacin de productos).
Cada uno de los activos que se identifiquen debe contar con un responsable, que ser
su propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque
no necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede
existir un activo que sea la base de clientes y Simn podra ser el Director Comercial,
sin embargo sern los comerciales de la organizacin los usuarios del mismo y el
responsable de sistemas el encargado del mantenimiento de la base de datos. Pero
Simn es quien decide quin accede y quin no a la informacin, si es necesario
aplicarle alguna medida de seguridad o existe algn riesgo que deba ser tenido en
cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad
exigidas por la Ley, etc.
El inventario deber recoger los activos que realmente tengan un peso especfico y
sean significativos para la organizacin, agrupando aquellos que, por ser similares,
tenga sentido hacerlo. Por ejemplolos computadores que adquirio Simn tienen
parecidas caractersticas tcnicas y en la misma ubicacin fsica, pueden agruparse en
un nico activo, denominado por ejemplo equipo informtico. En el caso si los
computadores y porttiles no salieran nunca y los permanecieran siempre en la misma
ubicacin, tambin se podra asumir que constituyen un nico activo pero si los
porttiles se utilizan fuera de las instalaciones de la organizacin, ya no se podran
agrupar los equipos, ya que las circunstancias en las que se utilizaran los equipos son
distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico
fijo para los PCs y Equipo informtico mvil para los porttiles.
En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto,
puede hacer necesario el desarrollar un rbol de dependencias entre activos. El
concepto es que algunos activos dependen de otros, en uno o ms parmetros de
seguridad. Identificar y documentar estas dependencias constituye un rbol de
dependencias, que dar una idea ms exacta del valor de cada activo.
III. Valoracin de los activos: Una vez identificados los activos, el siguiente paso a
realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin,
cual es su importancia para la misma. Para calcular este valor, se considera cual puede
ser el dao que puede suponer para la organizacin que un activo resulte daado en
cuanto a su disponibilidad, integridad y confidencialidad. Esta valoracin se har de
acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar
econmicamente los activos, se utiliza la escala cuantitativa. En la mayora de los
casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas
cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo
de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden
ser los daos como resultado de:
La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar
involucradas todas las reas de la organizacin, aunque no participen en otras partes
del proyecto y de esta manera obtener una imagen realista de los activos de la
organizacin. Es til definir con anterioridad unos parmetros para que todos los
participantes valoren de acuerdo a unos criterios comunes, y se obtengan valores
coherentes. Un ejemplo de la definicin de estos parmetros podra ser:
- Disponibilidad: Para valorar este criterio debe responderse a la pregunta de cul sera
la importancia o el trastorno que tendra el que el activo no estuviera disponible.
-Integridad: Para valorar este criterio la pregunta a responder ser qu importancia
tendra que el activo fuera alterado sin autorizacin ni control.
-Confidencialidad: En este caso la pregunta a responder para ponderar adecuadamente
este criterio ser cual es la importancia que tendra que al activo se accediera de
manera no autorizada.
Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una
gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.
Deben demostrar que identifican y detectan los riesgos a los que est sometida y que
adoptan medidas adecuadas y proporcionadas.
Necesario: conjunto estructurado, sistemtico, coherente y completo de normas a
Seguir.
Herramienta: SGSI (Sistema de Gestin de la Seguridad de la Informacin). En ingls
ISMS (Information Security Management System). SGSI: proceso sistemtico,
documentado y conocido por toda la organizacin para garantizar que la seguridad de
la informacin es gestionada correctamente.
son los que en definitiva aplicaremos para la gestin del riesgo analizado. Objetivo:
Definir los aspectos prcticos/operativos de la implantacin del SGSI.