miércoles, 27 de mayo de 2015

Clasificación y control de activos de una seguridad



CLASIFICACIÓN Y CONTROL DE ACTIVOS DE UNA SEGURIDAD

ANÁLISIS DE RIESGOS

Análisis de riesgos, en economía, estimación de los riegos implícitos en una actividad.Todas las decisiones que se toman en el mundo de negocios implican cierto grado de incertidumbre o de riesgo.
En una empresa, expuesta a los riegos tradicionales y nuevos, encuentra sentido el que los expertos se ocupan de su análisis sistemático y organizado.
Es válido afirmar, que el Análisis de Riesgos que supone un determinado peligro tiene por objeto, predecir la probabilidad de ocurrencia del accidente y las consecuencias que pueda provocar. Por tanto el análisis de riesgos es útil para tomar decisiones ante un determinado peligro que pueda afectar a una persona, empresa, etc.


RESPONSABILIDAD SOBRE LOS ACTIVOS

Objetivo: žMantener una protección adecuada sobre los activos de la organización. Todos los activos deben ser considerados y tener un propietario asignado. Deberían identificarse los propietarios para todos los activos importantes, y se debería asignarla responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantación de controles debería delegarse. Pero la responsabilidad debería mantenerse en el propietario designado del activos.


INVENTARIO DE ACTIVOS

Todos los archivos deben ser claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes.

Recuperarse de un desastre, incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencia y el valor dentro del negocio. El inventario no debe duplicar otros inventarios sin necesidad , pero debe estar seguro de que el contenido se encuentra alineado. En adición, los propietarios y la clasificación de la información debe ser aceptada y documentada para cada uno de los activos. Basado en la importancia del activo, su valor dentro del negocio y su clasificación de seguridad, se deben identificar niveles de protección conmensurados con la importancia de los activos.


TIPOS DE ACTIVOS
  • Activos de información: archivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada.
  • Activos de software: software de aplicación, software del sistema, herramientas programas de desarrollo.
  • Activos físicos: equipo de cómputo, equipo de comunicaciones, medios magnéticos (discos y cintas) u otro equipo técnico.
  • Servicios: servicios de computo y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).
  • Personas, y sus calificaciones, habilidades y experiencia.
  • Intangibles, como la reputación y la imagen organizacional.
Los inventarios de los activos ayudan a asegurar que se inicie su protección eficaz, pero también se requiere para otros propósitos de la organización, por razones de prevención laboral, pólizas de seguros o gestión financiera. El proceso de constituir el inventario de activos es un aspecto importante de la gestión de riesgos. Una organización tiene que poder identificar sus activos y su valor e importancia relativos.


PROPIEDAD DE LOS ACTIVOS

žToda la información y los activos asociados con el proceso de información deben ser poseídos por una parte designada de la organización.

 GUÍA DE IMPLEMENTACIÓN

Los propietarios de los activos deben ser responsables por:
  • Asegurar que la información y los activos asociados con las instalaciones de procesamiento de información sean apropiadamente clasificadas.
  • Definir y revisar periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables.
žLa propiedad debe ser asignada a:
  • Procesar de negocios.
  • Un conjunto definido de actividades.
  • Una paliación.
  • Un conjunto definido de datos.

žOBJETIVO: Asegurar un nivel de protección adecuado a los activos de información. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección. La información tiene grados variables de sensibilidad y criticidad. Algunos elementos de información pueden requerir un nivel adicional de protección o un uso especial. Debería utilizarse un sistema de clasificación de la información para definir un conjunto de niveles de protección adecuados, y comunicar la necesidad de medidas de utilización especial.


USO ADECUADO DE LOS ACTIVOS DE CONTROL

Las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información deben ser identificadas, documentadas e implementadas. Todos los empleados, contratistas y terceras partes deben seguir las siguientes reglas para el uso aceptable de la información.

  • Regla para correo electrónico y uso de Internet.
  • Guías para el uso de aparatos móviles, especialmente para el uso fuera de permisos de la organización.
























Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)