Directivas de seguridad
Páginas: 19 (4580 palabras)
Publicado: 21 de mayo de 2011
Anexo B (informativo) Identificación y valoración de activos y evaluación de impacto
B.1 Ejemplos de identificación de activos
Para realizar una valoración de activos, una organización necesita primero identificar sus activos (en un nivel de detalle apropiado). Se pueden distinguir dos tipos de activos: • Los activos primarios: • • • Procesos y actividades del negocio Información
Los activosde soporte (de los cuales dependen los elementos primarios del alcance) de todo tipo: • • • • • • Hardware Software Redes Personal Sitio Estructura de la organización
B.1.1 Identificación de los activos primarios Para describir el alcance con más precisión, esta actividad consiste en identificar los activos primarios (procesos y actividades del negocio, información). Esta identificación esllevada a cabo por un grupo de trabajo mixto representativo del proceso (gerentes, especialistas de los sistemas de información y usuarios). Los activos primarios son usualmente los procesos y la información esenciales de la actividad en el alcance. Pueden considerarse también otros activos primarios tales como los procesos de la organización, lo cual será más apropiado para elaborar una política deseguridad de la información o un plan de continuidad del negocio. Dependiendo del propósito, algunos estudios no requerirán de un análisis exhaustivo de todos los elementos que componen el alcance. En tales casos, la frontera del estudio puede ser limitada a los elementos clave del alcance. Los activos primarios son de dos tipos: 1- Procesos del negocio (o sub-procesos) y actividades, por ejemplo:• • Procesos cuya pérdida o degradación hacen que sea imposible llevar a cabo la misión de la organización Procesos que contienen procesos secretos o procesos que involucran tecnología propietaria
• •
Procesos que, si se modifican, pueden afectar en gran medida el logro de la misión de la organización. Procesos que son necesarios para que la organización cumpla con requerimientoscontractuales, legales o reglamentarios.
2 - Información: Generalmente, la información primaria comprende principalmente: • • • • Información vital para el ejercicio de la misión de la organización o el negocio Información personal, tal como específicamente puede definirse en el sentido de las legislaciones nacionales respecto a la privacidad Información estratégica necesaria para lograr los objetivosdeterminados por las orientaciones estratégicas Información de costo alto cuya recolección, almacenamiento, procesamiento y transmisión requieren mucho tiempo y/o implican un alto costo de adquisición
Los procesos y la información que no están identificados como sensibles después de esta actividad no tendrán ninguna clasificación definida en el resto del estudio. Esto significa que incluso sitales procesos o información son comprometidos, la organización aún cumplirá la misión con éxito. Sin embargo, a menudo heredarán controles implementados para proteger la información y los procesos identificados como sensibles. B.1.2 Lista y descripción de los activos de apoyo La meta consiste en que los activos sean identificados y descritos. Estos activos tienen vulnerabilidades que pueden serexplotadas por las amenazas destinadas a dañar los activos primarios del alcance definido (información y los procesos). Ellos son de varios tipos: Hardware. El tipo de hardware se compone de todos los elementos físicos de apoyo a los procesos: Equipo de procesamiento de datos (activo): Equipo de procesamiento automático de información, incluidos los elementos requeridos para la operaciónindependiente. Equipo transportable: Equipo de cómputo portátil. Ejemplos: computadora portátil, Asistente Personal Digital (PDA, por su sigla en inglés). Equipo fijo: Los equipos informáticos utilizados en las instalaciones de la organización. Ejemplos: servidores, micro-computadoras utilizadas como estación de trabajo. Periféricos para procesamiento: Equipo conectado a una computadora mediante un puerto...
B.1 Ejemplos de identificación de activos
Para realizar una valoración de activos, una organización necesita primero identificar sus activos (en un nivel de detalle apropiado). Se pueden distinguir dos tipos de activos: • Los activos primarios: • • • Procesos y actividades del negocio Información
Los activosde soporte (de los cuales dependen los elementos primarios del alcance) de todo tipo: • • • • • • Hardware Software Redes Personal Sitio Estructura de la organización
B.1.1 Identificación de los activos primarios Para describir el alcance con más precisión, esta actividad consiste en identificar los activos primarios (procesos y actividades del negocio, información). Esta identificación esllevada a cabo por un grupo de trabajo mixto representativo del proceso (gerentes, especialistas de los sistemas de información y usuarios). Los activos primarios son usualmente los procesos y la información esenciales de la actividad en el alcance. Pueden considerarse también otros activos primarios tales como los procesos de la organización, lo cual será más apropiado para elaborar una política deseguridad de la información o un plan de continuidad del negocio. Dependiendo del propósito, algunos estudios no requerirán de un análisis exhaustivo de todos los elementos que componen el alcance. En tales casos, la frontera del estudio puede ser limitada a los elementos clave del alcance. Los activos primarios son de dos tipos: 1- Procesos del negocio (o sub-procesos) y actividades, por ejemplo:• • Procesos cuya pérdida o degradación hacen que sea imposible llevar a cabo la misión de la organización Procesos que contienen procesos secretos o procesos que involucran tecnología propietaria
• •
Procesos que, si se modifican, pueden afectar en gran medida el logro de la misión de la organización. Procesos que son necesarios para que la organización cumpla con requerimientoscontractuales, legales o reglamentarios.
2 - Información: Generalmente, la información primaria comprende principalmente: • • • • Información vital para el ejercicio de la misión de la organización o el negocio Información personal, tal como específicamente puede definirse en el sentido de las legislaciones nacionales respecto a la privacidad Información estratégica necesaria para lograr los objetivosdeterminados por las orientaciones estratégicas Información de costo alto cuya recolección, almacenamiento, procesamiento y transmisión requieren mucho tiempo y/o implican un alto costo de adquisición
Los procesos y la información que no están identificados como sensibles después de esta actividad no tendrán ninguna clasificación definida en el resto del estudio. Esto significa que incluso sitales procesos o información son comprometidos, la organización aún cumplirá la misión con éxito. Sin embargo, a menudo heredarán controles implementados para proteger la información y los procesos identificados como sensibles. B.1.2 Lista y descripción de los activos de apoyo La meta consiste en que los activos sean identificados y descritos. Estos activos tienen vulnerabilidades que pueden serexplotadas por las amenazas destinadas a dañar los activos primarios del alcance definido (información y los procesos). Ellos son de varios tipos: Hardware. El tipo de hardware se compone de todos los elementos físicos de apoyo a los procesos: Equipo de procesamiento de datos (activo): Equipo de procesamiento automático de información, incluidos los elementos requeridos para la operaciónindependiente. Equipo transportable: Equipo de cómputo portátil. Ejemplos: computadora portátil, Asistente Personal Digital (PDA, por su sigla en inglés). Equipo fijo: Los equipos informáticos utilizados en las instalaciones de la organización. Ejemplos: servidores, micro-computadoras utilizadas como estación de trabajo. Periféricos para procesamiento: Equipo conectado a una computadora mediante un puerto...
Leer documento completo
Regístrate para leer el documento completo.