clasificacion riesgo

Porque la seguridad se practica !

SEGURIDAD INFORMÁTICA

CLASIFICACIÓN DE LA INFORMACIÓN PARA LA GESTIÓN DE RIESGOS

INTEGRANTES:

• Prado Marca, Fernando• Sulca Ramos, Homar• Vargas Oliva, Elmer Charle

PROFESOR : Ing. Oscar Mujica Ruiz

GRUPO : Nº 6



INTRODUCCIÓN

El uso de la tecnología, que en la actualidad es casi

ya natural, propicia a crear nuevas formas de

intercambiar y almacenar la información, y por

ende a nuevas formas de Clasificar la Información.



DEFINICIÓN

La Clasificación de la Información es el criterio base

que guía la aplicación de controles de seguridad

de esa información, teniendo que aplicar mayores

controles cuanto mayor sea la necesidad de

seguridad.



OBJETIVO GENERAL Y ESPECÍFICO

El objetivo de la Clasificación de la Información es

asegurar un nivel de protección adecuado a los activos

de información.

Sensible: Es aquella información que apoya las operaciones clave del negocio

Crítica: Es aquella información que es indispensable, con el objetivo de mantener y garantizar:

Integridad Disponibilidad

Confidencialidad

INFORMACIÓN



¿POR QUÉ CLASIFICAR LA INFORMACIÓN?

♦ Identificar Qué información es sensible y vital para la organización

♦ Identificar Quiénes son los propietarios de la información y los responsables de la asignación de los permisos de acceso a la misma.

♦ Definir niveles apropiados de protección de la información y segregación de acceso a la misma.

♦ Controlar qué usuarios tienen acceso a la información.

BENEFICIOS:



¿POR QUÉ CLASIFICAR LA INFORMACIÓN?

RIESGOS DE NO CONTAR CON LA INFORMACIÓN CLASIFICADA:

♦ Asignación de niveles y/o permisos de acceso a la información errada.

♦ Pérdida de Información por acciones de usuarios malintencionadas.

♦ Modificación de la información sin previa autorización.

♦ Uso de la información por parte de usuarios con fines personales.



¿CÓMO CLASIFICAR LA INFORMACIÓN?

PÚBLICA

Podrá ser utilizada por todos los empleados directos, temporales, contratistas y/o

terceros.

RESTRINGIDA

Solo podrá ser accedida por grupos específicos de usuarios que requieren del

conocimiento de esta información para estricto cumplimiento de sus funciones

CONFIDENCIAL

Es información crítica y solamente podrá ser conocida al interior de la Entidad ya

que el conocimiento externo de la misma podrá ocasionar efectos negativos sobre

la Entidad.

ALTAMENTE

CONFIDENCIAL

Es información de alta importancia para la empresa que solo puede ser accedida

por quienes ejerzan las funciones de: Director General, Subdirector General,

Secretario de Sistemas Operacionales, , Secretario General y Secretario de

Seguridad Aérea, Directores de Área, Jefes de Grupo y Jefes de Oficina. El mal uso

de la misma puede ir en detrimento de los intereses de la organización.

NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN



ELEMENTOS DE LA INFORMACIÓN

CLASIFICACIÓN DE LA INFORMACIÓN

Datos e Información: son los datos e informaciones en si mismoSistemas e Infraestructura: son los componentes donde se mantienen o guardan los datos e informacionesPersonal: son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles

http://protejete.files.wordpress.com/2009/07/pres_7_elementos_informacion.jpg



MARCO LEGAL

NTP-ISO 17799:2007

La presente norma en su guía de buenas practicas aconseja clasificar los activos de información basándose en la importancia que tenga como activo, su valor dentro del negocio y su clasificación de seguridad. Así como nos recomienda determinar la propiedad de los activos de la información para delegar responsabilidades y de este modo garantizar las protección de la misma.



CASO 1

SYMANTEC OFRECE SOLUCIÓN UNIFICADA PARA GESTIONAR LOS

RIESGOS DE LA INFORMACIÓN

Incorpora la tecnología de IMlogic, para asegurar y clasificar correos

electrónicos, mensajería instantánea y tráfico Web.

Conjunto de productos integrados para la Gestión del Riesgo de la Información.

Permite clasificar, auditar o localizar la información entrante o saliente en la

organización, utilizando para ello un proceso validado que garantiza la máxima

protección de los datos.



CASO 2DESTACA CASO DUPONT POR ROBO DE INFORMACIÓN INDUSTRIALGary Min, también conocido como Youggang Min, es un químico experto que trabajaba para DuPont durante 10 años. Ahora se enfrenta a una década en prisión, además de ser multado con cerca de 250,000 dólares. después de que se le encontrara culpable por el robo de secretos comerciales el pasado mes de Noviembre del 2007.Min, de 43 años fue acusado de haber robado aproximadamente 400 millones de dólares en información de la empresa DuPont, intentando con ella filtrarla a otras empresas. Después de un corto dialogo, con dicha empresa, Min, reportó una descarga aproximada de 22,000 documentos de la biblioteca de DuPont, además de haber accesado en alrededor de 16,700 documentos.



CONCLUSIONES• No toda la información existente en la organización es igual de

importante.

• Es de vital importancia la clasificación de la información para

una mejor Gestión de la Seguridad de la Información.

• El personal de la organización es el activo de información más

difícil de manejar.



RECOMENDACIONES• Es importante que los principios de la Política de Seguridad

sean parte de la cultura organizacional.

• La información debe ser clasificada de acuerdo con el valor

que ésta le aporta a la organización en los distintos estados de

su ciclo de vida.

• Es importante dentro de la organización identificar a los

propietarios de la información para delegar responsabilidades.



GRACIAS!!!

clasificacion riesgo

Technology