Download - INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE …
INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN DE LA EMPRESA XPERIA TECHNOLOGYCREDIT PARA FORTALECER LOS
PROCESOS Y PROCEDIMIENTOS ASOCIADOS A LA TECNOLOGÍA DATA LOSS PREVENTION - DLP
DIEGO ALEJANDRO DÍAZ FONSECA MÓNICA JOHANNA RAMÍREZ RODRÍGUEZ
UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C. 2015
INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN DE LA EMPRESA XPERIA TECHNOLOGY CREDIT PARA FORTALECER LOS
PROCESOS Y PROCEDIMIENTOS ASOCIADOS A LA TECNOLOGÍA DATA LOSS PREVENTION - DLP
DIEGO ALEJANDRO DÍAZ FONSECA MÓNICA JOHANNA RAMÍREZ RODRÍGUEZ
Trabajo de grado para optar al título de Especialista en Seguridad Informática
Director ÁLVARO ESCOBAR ESCOBAR
MSc.
UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERÍA
PROGRAMA DE INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
BOGOTÁ D.C. 2015
Nota de aceptación
______________________
______________________
______________________
_______________________ Firma presidente del jurado
______________________ Firma del jurado
______________________ Firma del jurado
Bogotá, D.C., 17 de Abril de 2015
DEDICATORIA
A Dios por permitir que cada uno creciera profesionalmente brindando la oportunidad de aprender y dando la sabiduría para poder desarrollarla.
A cada una de nuestras familias, por su paciencia y colaboración en cada uno de los procesos para la obtención de este logro.
AGRADECIMIENTOS
Los integrantes expresan sus agradecimientos a: Ing. Álvaro Escobar Escobar, director de proyecto quien fue la guía para el desarrollo de este proyecto, quien aporto su experiencia y conocimientos y forjo en cada uno los integrantes las bases para la planificación y ejecución del mismo.
A cada uno de los docentes y la Universidad Piloto de Colombia, por brindarnos las herramientas y oportunidades para adquirir nuevos conocimientos y aplicarlos en nuestras vidas profesionales.
A Nuestros compañeros de grupo que aportaron su grano de arena en la elaboración de este proyecto.
CONTENIDO
pág.
INTRODUCCIÓN 14
1. FORMULACIÓN 15
1.1 PLANTEAMIENTO DEL PROBLEMA 15
1.2 JUSTIFICACIÓN 15
1.3 OBJETIVOS 17
1.3.1 Objetivo general 17
1.3.2 Objetivos específicos 17
2. MARCO REFERENCIAL 18
2.1 MARCO TEÓRICO 18
2.2 MARCO INSTITUCIONAL 19
2.3 MARCO TECNOLÓGICO 20
2.4 MARCO LEGAL 22
2.5 ESTADO ACTUAL 24
3. DISEÑO METODOLÓGICO 26
3.1 HIPÓTESIS DE INVESTIGACIÓN 26
3.2 VARIABLES 26
3.3 METODOLOGÍA 27
4. INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN 28
4.1 PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE
INFORMACIÓN 28
4.1.1 Objetivo del procedimiento para la clasificación de activos de información. 28
4.1.2 Alcance del procedimiento para la clasificación de activos de información. 28
4.1.3 Definiciones y conceptos claves 28
4.1.4 Mantenimiento y ejecución del proceso 29
4.1.5 Responsabilidades 30
4.1.6 Vigencia 31
4.1.7 Descripción del proceso para la clasificación de activos 31
4.2 GUÍA DE INVENTARIOS 33
4.2.1 Objetivo de la guía de inventarios 33
4.2.2 Inventario de activos de información 33
4.2.3 Procedimiento de inventario 33
4.2.4 Realización de inventario 34
5. CLASIFICACIÓN DE LA INFORMACIÓN 37
5.1 IMPORTANCIA DE LA INFORMACIÓN 37
5.1.1 Propiedad por nivel de sensibilidad 39
5.1.2 Revisión y actualización 44
5.1.3 Publicación 45
5.2 CLASIFICACIÓN DE INFORMACIÓN PARA XPERIA 45
5.2.1 Información pública de Xperia 46
5.2.2 Información interna de Xperia 47
5.2.3 Información confidencial de Xperia 48
5.2.4 Información restringida de Xperia 49
5.2.5 Controles requeridos 50
5.2.6 Gestión de documentos 56
6. CATALOGACIÓN DE LA INFORMACIÓN SEGÚN EL PROCEDIMIENTO
PARA LA CLASIFICACIÓN DE ACTIVOS DE LA INFORMACIÓN 58
6.1 ALCANCE ÁREAS OPERATIVAS DE XPERIATECHNOLOGYCREDIT 58
6.1.1 Fase 1 – Planeación 58
6.1.2 Fase 2 - Inventario de activos de Información 59
6.1.3 Fase 3 - Etiquetado y rotulación de la información 59
6.1.4 Fase 4 – Seguimiento 59
7. PROPUESTA TECNOLÓGICA PARA LA CONTINUIDAD Y SEGURIDAD
DE LOS ACTIVOS DE INFORMACIÓN 60
7.1 ALCANCE DE LA PROPUESTA 60
7.2 DESARROLLO DE LA PROPUESTA 60
7.2.1 Requisitos funcionales 60
7.2.2 Escenarios Propuestos 61
7.3 BENEFICIOS Y RIESGOS EN LA IMPLEMENTACIÓN DE TECNOLOGÍAS
ASOCIADAS A LA PREVENCIÓN DE PÉRDIDA DE DATOS 63
7.3.1 Riesgos 63
7.3.2 Beneficios 63
8. CONCLUSIONES 64
9. RECOMENDACIONES E IMPLICACIONES 65
BIBLIOGRAFÍA 66
ANEXOS 67
LISTA DE FIGURAS
pág.
Figura 1. Variables independientes y dependientes 26
Figura 2. Mantenimiento y ejecución del proceso 30
Figura 3. Entrada, proceso y salida para el procedimiento de inventario 33
Figura 4. Cuadrante mágico de Gartner de correo electrónico seguro 61
LISTA DE CUADROS
pág.
Cuadro 1. Descripción del proceso para la clasificación de activos 32
Cuadro 2. Valores de los activos en XperiaTechnologyCredit 38
Cuadro 3. Clasificación según su confidencialidad 39
Cuadro 4. Clasificación según su disponibilidad 41
Cuadro 5. Clasificación según su integridad 43
Cuadro 6. Clasificación de información pública de Xperia 46
Cuadro 7. Clasificación de información interna de Xperia 47
Cuadro 8. Clasificación de información confidencial de Xperia 48
Cuadro 9. Clasificación de información restringida de Xperia 49
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit 51
Cuadro 11. Íconos representativos 56
Cuadro 12. Control de versiones de documentos 57
Cuadro 13. Fortalezas y precauciones presentadas en el informe “Cuadrante de correo electrónico seguro” 62
LISTA DE ANEXOS
pág.
Anexo 1. Inventario de Activos de Información 68
Anexo 2. Operaciones- Inventario de Activos de Información 71
Anexo 3. Mercadeo- Inventario de Activos de Información 75
Anexo 4. Estratégicos - Inventario de Activos de Información 79
Anexo 5. Empresas- Inventario de Activos de Información 82
Anexo 6. MIDA- Inventario de Activos de Información 85
Anexo 7. Jurídica - Inventario de Activos de Información 87
Anexo 8. Comercial- Inventario de Activos de Información 89
Anexo 9. Planeación - Inventario de Activos de Información 91
Anexo 10. Guía de referencia inventario de activos de información 93
Anexo 11. Acta de Proyecto TI 99
Anexo 12. Acta de Proyecto Operaciones 103
Anexo 13. Acta de Proyecto Mercadeo 107
Anexo 14. Acta de Proyecto Estratégicos 111
Anexo 15. Acta de Proyecto Empresas 115
Anexo 16. Acta de Proyecto Credit 119
Anexo 17. Acta de Proyecto Jurídica 123
Anexo 18. Acta de Proyecto Comercial 127
Anexo 19. Acta de Proyecto Planeación 131
GLOSARIO
ACTIVO DE INFORMACIÓN: todos los bienes tangibles e intangibles que la organización considere importante o de alta validez en su proceso de negocio.
CLASIFICACIÓN DE INFORMACIÓN: asignar una etiqueta a un elemento según sus atributos o propiedades. Agrupación
DATA LOSS PREVENTION – DLP: tecnología que identifica, supervisa y protege los datos en uso, los datos en movimiento y los datos estáticos a través de la detección y prevención del uso no autorizado y la transmisión de información confidencial.
XPERIA: empresa de nivel mundial que ofrece servicios de gestión del riesgo de crédito, prevención de fraude, segmentación de ofertas de marketing y automatización de toma de decisiones.
ISO-IEC 27002: guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información, a través de una serie de objetivos de control y gestión.
POLÍTICA GLOBAL DE SEGURIDAD: documento base de políticas y estándares de la empresa Xperia a nivel mundial.
PROCEDIMIENTO: conjunto de acciones u operaciones que al realizarse de la misma forma, conllevan a un mismo resultado.
PROCESO: conjunto de actividades relacionadas que al interactuar, transforman elementos de entrada en resultados o productos específicos.
RIESGO: posibilidad de que una amenaza (externa) explote una vulnerabilidad (interna) ocasionando impactos negativos en los procesos del negocio.
SGSI: un Sistema de Gestión de Seguridad de la Información es el diseño, implantación y mantenimiento de un conjunto de controles, acciones y procesos para gestionar eficientemente la confidencialidad, integridad y disponibilidad de los activos de información.
STAKEHOLDERS: agrupa a trabajadores, organizaciones sociales, accionistas y proveedores, entre muchos otros actores clave que se ven afectados por las decisiones de una empresa.
14
INTRODUCCIÓN
En el presente documento se evidencian los resultados de la implementación del inventario y clasificación de activos de la información a la empresa colombiana XPERIA TECHNOLOGY CREDIT. Este proyecto centra sus objetivos en la categorización de documentos según sus atributos y en el establecimiento de mejores prácticas de seguridad en la información para alinearse con los parámetros que establece la reciente absorción de esta empresa por parte de la multinacional inglesa XPERIA.
Adicional a la importancia de identificar las categorías de información apropiadas y clasificar los documentos que alguna vez se generaron y se generarán en cada área de trabajo, la hoja de ruta estratégica mundial obliga a Xperia Colombia a establecer un marco técnico para el desarrollo próximo de la Tecnología Data LossPrevention o Prevención de Pérdida de Datos, que como sistema experto tiene la misión de identificar, supervisar y proteger los datos (estáticos o en movimiento) a través del análisis de contexto e inspección de contenido.
Dentro de las proyecciones de los directivos de Xperian, se establece como fundamental la implementación de mecanismos para la administración centralizada de los datos. Es un hecho que deben desarrollarse tecnologías que favorezcan la oportunidad de lectura, modificación y eliminación de información por parte de usuarios. Sin embargo, debe ser igual de posible que estas acciones se desarrollen en un entorno trazable con la aplicación de medidas de seguridad orientadas maximizar la confidencialidad, disponibilidad e integridad de la información.
Bajo el entendimiento de esta problemática, Xperian está interesada en establecer, hacer cumplir y mantener las políticas y normas que rodean la seguridad en la información y los activos relacionados con la información. Estas medidas de protección son extensibles a su personal de trabajo, inversionistas, accionistas, socios comerciales y múltiples stakeholders que confían sus datos e información sensible a la empresa. La oportunidad de realización de este proyecto surgió debido a una característica negativa visible en el capítulo colombiano de Xperian, representada en la ausencia de procedimientos para mantener el inventario y clasificación de activos de la información del negocio, lo que conllevaba a una inadecuada administración de datos sensibles en cada una de sus áreas y al detenimiento en la implementación de proyectos en tecnología que optimizaran el manejo de estos datos, es decir, si los datos no están clasificados, es casi imposible administrarlos a través de soluciones informáticas como Data LossPrevention – DLP.
15
1. FORMULACIÓN
1.1 PLANTEAMIENTO DEL PROBLEMA
Actualmente el DSI (Departamento de Seguridad Informática) no cuenta con un plan de inventario y clasificación de la información que permita agrupar los datos de acuerdo a criterios que permitan asignar un determinado nivel de seguridad que pueda ser medido y evaluado a lo largo del ciclo de vida de la información.
Esta ausencia de procesos y procedimientos para el inventario y clasificación de activos de la información de XperiaTechnologyCredit, genera un impacto negativo al detener la implementación del sistema DLP (Data LossPrevention), por falta de parámetros y métricas que permitan llevar a cabo un análisis que muestre claramente los flujos de datos en la organización.
Al detenerse la implementación de este sistema, se generan dificultades en el funcionamiento del Sistema de Gestión de la Seguridad de la Información SGSI y en los procesos del negocio, así como posible pérdida de confidencialidad, integridad y disponibilidad de la información. A grandes rasgos, los elementos de los que carece el DSI (Departamento de Seguridad Informática) en XperiaTechnologyCredit son criterios de evaluación, clasificación de la información, políticas de pérdida de datos, detención de fugas de datos, mantenimiento de un inventario de activos de información del negocio y control de la información clasificada.
Así las cosas, los riesgos que podrían materializarse por la inexistencia de un plan para el inventario y clasificación de la información podrían generar afectaciones financieras, de imagen y reputación, multas contractuales y pérdida de ventaja competitiva en el mercado objetivo de XperiaTechnologyCredit.
Por los motivos expuestos, en el área de Seguridad de la Información de Xperia se presenta la necesidad de analizar y entender la situación de los datos que se encuentran bajo custodia, en uso o desuso, con el fin de implementar los parámetros de seguridad necesarios para proteger su confidencialidad.
1.2 JUSTIFICACIÓN
Prevenir la fuga de información premeditada o uso indebido de los datos y la información sensible para la empresa requiere de una solución a nivel tecnológico cada más eficiente que soporte sus bases en procesos y procedimientos organizados que permitan una correcta clasificación y protección de los datos sin importar el origen o medios que los contengan.
16
Teniendo en cuenta un análisis estadístico realizado por Xperia a inicios del año 2014, la alta gerencia descubrió que el nivel de adherencia a los estándares de seguridad de la información a nivel mundial estaba al 75%, mostrando así una tendencia a la materialización de riesgos ocasionada por un manejo inadecuado de la información confidencial de la empresa.
Uno de los temas pendientes que corresponden al 25% restante es el inventario y la clasificación de la información, que se encuentra implementada de manera eficaz a nivel global y no presenta una estructura clara en la infraestructura física y lógica de la filial en Colombia.
La importancia de prevenir una inadecuada administración de los datos y protegerse del robo de la información se hace evidente en el área de Tecnología donde se requiere implementar soluciones que permitan proteger la información a través de gestión, parametrización y control eficiente.
Los beneficios de implementar una solución donde se permita la definición de parámetros y métricas enmarcados en la tecnología DLP son: 1. Automatizar funciones como la detección de datos confidenciales donde quiera que estén almacenados y la identificación de propietarios de datos para simplificar la limpieza de datos. 2. Supervisar cómo se utilizan los datos confidenciales y dónde brindará visibilidad de usuarios de alto riesgo y procesos empresariales dañados. 3. Proteger los datos confidenciales mediante la aplicación automática de políticas de pérdida de datos, así como el entrenamiento de los usuarios respecto a la seguridad de los datos y 4. La protección de los datos en peligro y la detención de fugas de datos, administrando políticas de pérdida de datos, resolución de incidentes y elaboración de informes desde una sola consola de administración basada en la Web.
Como consecuencia de la implementación de procesos y procedimientos para mantener el inventario y la clasificación de los activos de información en Xperia se establecieron los criterios de acuerdo a las políticas y estándares globales de seguridad de la información establecidos por Xperian Global a fin de mantenerla enmarcada dentro de los niveles de protección requeridos.
17
1.3 OBJETIVOS
1.3.1 Objetivo general. Realizar el inventario y clasificación de activos de información de XperiaTechnologyCredit, de acuerdo a los criterios establecidos en las políticas y estándares de seguridad globales de Xperia y la norma ISO/IEC 27002:2013 para la clasificación y control de activos.
1.3.2 Objetivos específicos
Definir el procedimiento de inventario y clasificación de activos de información, al identificar la información de cada área de la organización y su incidencia en los procesos claves del negocio.
Catalogar la información recopilada, según la clasificación de recursos de información determinados por Xperia en el documento de políticas y estándares globales.
Proponer un instrumento que favorezca la continuidad y actualización constante del procedimiento de inventario y clasificación de activos de información.
18
2. MARCO REFERENCIAL
2.1 MARCO TEÓRICO
Datos, información, conocimiento y sabiduría, emergen como términos de gran importancia en la actualidad y su acertada administración se relaciona directamente al éxito de las empresas más productivas y competitivas del mundo. Según los autores Salmador,1 Alavi y Leidner2, en la denominada era digital, los datos, la información, el conocimiento y la sabiduría se jerarquizan en una pirámide de menor a mayor, siendo prerrequisitos el uno del otro en términos de conversión, es decir, el primer paso del modelo podría verse como la recolección de datos de tipo transaccional en las operaciones diarias de la organización, luego esos datos integran cierta información que es relevante para ser transformada en conocimiento. Posteriormente es necesario un análisis que conduce al establecimiento de instrumentos para la toma de decisiones y si estas decisiones son acertadas, se podría afirmar, la existencia de la sabiduría trazada por la experiencia. Considerando que esta jerarquización denominada DIKW (por sus siglas en inglés Data, Information, Knowledge, Wisdom) fue proyectada por Russell Ackoff3 en 1989, se establece que la importancia de la administración de la información no es un tema reciente. Los atributos de veracidad, relevancia, oportunidad, confidencialidad, integridad y disponibilidad continúan haciendo parte de las características que las organizaciones visualizan en la optimización de sus procesos y procedimientos. David Hume afirmó ¨Quien tiene la información tiene el poder¨. En nuestro tiempo, este poder se traduce fácilmente en la posibilidad de afectar financiera, reputación al y jurídicamente una empresa. En este escenario, la seguridad en la información se constituye como un conjunto de buenas prácticas, controles, políticas y estrategias que a través de medidas de protección oportunas y métodos efectivos de respuesta ante incidentes pueden contribuir al blindaje de este activo empresarial.
1SALMADOR, María. Raíces epistemológicas del conocimiento organizativo, estudio de sus
dimensiones. En Economía Industrial. 1999. Vol. 1, No. 357, p. 27-57. en línea], consultado el 2
de marzo de 2014 . Disponible en: www.funlam.edu.co/modules/facultad ciencias/ visit. php?fileid=36 2ALAVI, Maryam. y LEIDNER, Dorothy. Knowledge Management Systems: Issues, Challenges, and
Benefits. Vol.1, No. 7, p.1-37. USA: Communications of the Association for Information Systems. 1999. 37 p. 3ACKOFF, Russel. From data to wisdom. USA: Journal of Applied Systems Analysis. 1989. p. 15.
19
Cano4 afirma que los eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad, las fallas de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos en un nuevo escenario de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación. Las amenazas y vulnerabilidades están siempre presentes, esperando ser encontradas y explotadas. Del manejo de la gestión de la seguridad de información depende la capacidad de reacción después de un intento de intrusión al sistema organizacional con el objeto de robo de información. En este escenario juega un papel fundamental la priorización de la estrategia antes que la solución tecnológica. Nkoto5 considera la seguridad como la “piedra angular” de toda actividad, y por ende, la seguridad es un servicio que facilita la creación de otros y genera importantes valores agregados. En ese sentido, la seguridad informática contribuye a asegurar que los recursos de los sistemas de información (material informático o programas) de una entidad, organización o terminal sean utilizados tal y como se decidió y que los datos y la información que se considera importante no sean de fácil acceso por usuarios no permitidos.
2.2 MARCO INSTITUCIONAL
TechnologyCredit fue adquirida por Xperia en Noviembre del año 2012 como parte de la estrategia de mercado para la globalización de servicios de información, análisis y mercadotecnia para organizaciones y consumidores.
Xperia es un líder mundial en la provisión de estos servicios de información teniendo como objetivo brindar ayuda en la gestión de los riesgos y las recompensas en las decisiones comerciales y financieras de sus clientes.
Credit es una Unidad Estratégica de Negocios de TechnologyCredit. sociedad anónima sujeta a control exclusivo de la Superintendencia Financiera, como tal su
4CANO, J. La guerra fría electrónica y la inseguridad de la información. 2008. Publicación en Blog.
en línea], consultado el 2 de marzo de 2014 . Disponible en: http://www.eltiempo.com/ participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197. 5NTOKO, Mandate and activities in cybersecurity – ITU-D». Reunión temática de la CMSI sobre
ciberseguridad.UIT. Ginebra: CMSI, 28 de junio a 1 de julio de 2005.
20
actividad se desarrolla bajo el marco global de TechnologyCredit, cuenta con más de 35 años de experiencia en el mercado de soluciones de información.
Algunas de las características que describen su marco estratégico empresarial son:
Expertos en servicios informáticos para la administración de riesgo, cuentan con información del sector Financiero, Cooperativo y Real del país con más de 25 años de experiencia en el mercado colombiano.
Cobertura nacional con oficinas en las cuatro ciudades más importantes del país - Bogotá, Medellín, Cali y Barranquilla - atendiendo cerca de 2.000 clientes de todos los sectores de la economía nacional.
Central de Información Financiera y Crediticia más completa de Latinoamérica, registrando información crediticia de 12.5 millones de personas y 300 mil empresas.
Presencia internacional en Colombia, Venezuela y Perú.
Por su parte el área de Seguridad de la información de XperiaTechnologyCredit tiene como responsabilidades:
Garantizar la integridad, confidencialidad y disponibilidad de los diferentes sistemas de información de la organización y de sus clientes.
Administrar la infraestructura, tanto física como lógica, del esquema de seguridad informática.
Administrar del servicio encargado del registro de actividades dentro de la red de datos de la organización.
Garantizar el cumplimiento de las políticas y procedimientos vigentes.
Teniendo en cuenta esta proyección estratégica y competencia empresarial, se evidencia la gran importancia que la información representa para sus procesos y procedimientos. En este caso, la información es uno de sus activos fundamentales.
2.3 MARCO TECNOLÓGICO
Considerando que habitamos un mundo cambiante, donde la información dejó de encontrarse exclusivamente en folios y carpetas físicas, el alcance de las medidas de protección y los desarrollos tecnológicos para satisfacer esta necesidad de
21
control y trazabilidad deben ir a la par. Este es el caso de la Tecnología Data LossPrevention.
Según el estudio MagicQuadrantfor Content-Aware Data LossPrevention realizado por la consultora Gartner, en el año 2014 más del 50% de las empresas utilizará alguna característica en sus políticas de seguridad a la hora de realizar una prevención de fuga de información (Data LossPrevention) en sus datos sensibles.
Sin embargo sólo el 30% de estas dispondrá de una solución o estrategia DLP global basada en el contenido6. En esa línea, se puede afirmar que la generación de políticas, parámetros y lineamientos que contribuyan a posibilitar la mitigación o disminución de la probabilidad de ocurrencia de eventualidades de intrusión o pérdida de información pueden ser la diferencia en la detención o curso normal de los procesos del negocio.
El documento de Políticas y Estándares de Seguridad Global de Xperiai7 señala que la información posee dos fuentes principales, la información creada por Xperia y la información guardada por Xperia, considerándose además la diferenciación de los roles Custodios de Información y Usuarios de Información¨. Los Custodios de Información como los individuos responsables de proteger la información en su poder de acceso, alteración o destrucción no autorizada y de mantener la integridad y disponibilidad de la información a través del uso de controles de acceso apropiados según lo defina el Administrador de Información.
Los Usuarios de Información por su parte, son descritos como los individuos a quienes el Administrador de Información les ha dado autorización el acceso, modificación, borrado y/o uso de información en el desempeño de su función laboral.
Las grandes pérdidas de información clave para el negocio de la historia pudieron evitarse o minimizar su impacto si se hubieran aplicado medidas de protección puntuales en forma oportuna.
Aunque en ocasiones, la existencia de políticas y estándares globales de seguridad de la información per se no garantizan el cumplimiento lineal y a cabalidad de los parámetros allí establecidos.
Es común, que por falta de capacitación o de recursos técnicos, financieros, temporales y humanos, se realicen en las organizaciones implementaciones
6CEBRIÁN, R. A. Eleven Paths. 15 de Agosto de 2013. en línea], consultado el 2 de marzo de
2014 . Disponible en: http://blog.elevenpaths.com/2013/08/fuga-de-informacion-en-empresas-lideres.htm 7XPERIA, Credit. Políticas y Estándares de Seguridad Global. Enero 2012. en línea], consultado
el 2 de marzo de 2014 . Disponible en: es.wikipedia.org/wiki/Near_field_communication
22
inmediatas que solo apuntan a la eficacia o al cumplimiento de un indicador cuantitativo.
En el caso particular de Xperia, el Comité Ejecutivo de Gestión de Riesgo para cada región funciona como órgano regulador para todas las Políticas y Normas de Seguridad de Xperia, para proporcionar protección continua a su infraestructura de información.8
Considerando este punto, las categorías que se tendrán en cuenta para la realización del inventario y clasificación de activos de información para el fortalecimiento de los procesos y procedimientos de la tecnología DATA LOSS PREVENTION – DLP se describen a continuación, hacen parte de los lineamientos generales de Xperia Global.
Público de Xperia. Destinado para uso del público en general y pre-diseñado para distribución externa. No se espera que la divulgación de los datos cause un impacto adverso a Xperia.
Interno de Xperia. Información moderadamente confidencial que requiere controles para asegurar confidencialidad, integridad y disponibilidad. Su divulgación, alteración o destrucción podría causar daño a la reputación, valoración y/o dar una desventaja competitiva.
Confidencial de Xperia. Información altamente confidencial que requiere Fuertes controles para asegurar confidencialidad, integridad y disponibilidad. Su divulgación, alteración o destrucción podría causar daño serio a la reputación, valoración y/o dar una desventaja competitiva.
Restringido de Xperia. Información extremadamente confidencial que requiere los más Fuertes controles para asegurar confidencialidad, integridad y disponibilidad. La divulgación, alteración o destrucción de esta información podría causar daño grave a la reputación, valoración y/o desventaja competitiva a Xperia.
2.4 MARCO LEGAL
Las intrusiones o pérdidas de información deben atacarse principalmente mediante la utilización de medidas de seguridad físicas, entendidas éstas como la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información
8 XPERIA. Op. Cit. p. 17
23
confidencial”9. Es decir, son controles y mecanismos de seguridad, dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo que se implementan con el fin de proteger el hardware y los medios de almacenamiento de datos.
Sin embargo, la seguridad física solo hace parte de las medidas de seguridad dado que se limita a proteger equipos e infraestructura informática, quedando vulnerable aún la información, un importantísimo activo para empresas públicas y privadas. En consecuencia, deben preverse técnicas que garanticen la protección tanto de la parte física, como la parte lógica, que se asegura a través de la aplicación de procedimientos que garantizan el acceso adecuado a la información con seguridad presente también en la zona lógica.
Así las cosas, algunas de las acciones que se recomiendan implementar como medidas tendientes a garantizar la seguridad de la información que reposa en equipos y redes son: restricción del acceso a los programas y archivos, asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan, asegurar que se estén utilizando los datos, archivos y programas correctos en y mediante el procedimiento correcto, que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro, que la información recibida sea la misma que ha sido transmitida, que existan sistemas alternativos secundarios de transmisión entre diferentes puntos, y que se disponga de pasos alternativos de emergencia para la transmisión de información, entre otras.
Sin embargo, también hay medidas “no informáticas” para prevenir, controlar y corregir las acciones maliciosas ejecutadas en las empresas. En términos jurídicos, en varios países se ha acuñado, la teoría de los delitos informáticos, entendidos como la atribución de responsabilidad penal a las acciones realizadas utilizando como medio Internet y las redes empresariales.
En algunos casos, se trata de la adecuación de tipos penales (delitos) ya previstos en la normatividad penal correspondiente. Por ejemplo, delitos como la injuria y la calumnia, en casos como cuando aparecen determinadas imputaciones falsas de una persona por Internet o en Internet, o hacerlo reenviando un correo electrónico en el cual se estén realizando este tipo de imputaciones (injuria y calumnia indirectas). Adicionalmente, se prevé como causal de agravación de la pena que se le puede atribuir al delincuente, la circunstancia que estos delitos se ejecuten utilizando Internet.
9 RIVAS, Luís Guillermo. Recursos de información. 1999. en línea], consultado el 2 de marzo
de 2014 . Disponible en: www.eumed.net › Revistas › Tlatemoani
24
Otros delitos comunes, que se han reconocido como de posible o frecuente ocurrencia aprovechando las facilidades tecnológicas son la venta de bases de datos en el mercado negro o la extorsión derivada de una mala administración de datos sensibles.
En Colombia, se ha evidenciado un esfuerzo gubernamental por tipificar los delitos informáticos debido al incremento de incidencias asociadas a redes de telecomunicación y medios tecnológicos.
2.5 ESTADO ACTUAL
Los ejercicios de riesgos y controles propios de las organizaciones, para establecer y analizar los activos de información críticos, ya no constituyen un tema de prioridad solamente para las áreas de tecnologías o seguridad de la información, cada vez más los miembros de las juntas directivas empresariales y los altos funcionarios públicos consideran la gran importancia de hacer de la gestión de la información una ventaja clave y competitiva frente a su entorno de negocio, iniciativas y estrategias.
Estos controles están definidos con base en modelos estructurados especializados como la ISO/IEC 27001:201310 que provee los requerimientos para establecer implementar, mantener y generar continuidad a un sistema de gestión alineado con los objetivos de la organización, sus requerimientos particulares de seguridad, los procesos que permiten su funcionamiento y los diversos actores que aportan elementos de valor al negocio.
En este documento marco, se toma como punto de partida la estimación del riesgo y las oportunidades de mejora para prevenir y reducir los impactos de efectos adversos que puedan causar eventuales incidentes de seguridad de la información.
Adicionalmente, se referencia el mejoramiento continuo a través de la evaluación de efectividad de las acciones preventivas y correctivas que se hayan proyectado según el nivel de aceptación de los riesgos y los criterios de adaptación frente a circunstancias inesperadas.
Para el sistema de gestión de seguridad de la información que propone esta norma, es fundamental identificar a los propietarios y custodios de la información y del consecuente riesgo, así como determinar escalas que midan el nivel de importancia y su criticidad.
10
ISO/IEC 27001:2013 Tecnologías de Información – Técnicas de Seguridad – Requerimientos del
Sistema de Gestión de Seguridad de la Información. Introducción. en línea], consultado el 2 de
marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html
25
Al hablar específicamente del control asociado a la clasificación de la información establecido en la Guía de Prácticas de Controles de Seguridad de la Información ISO/IEC 27002:201311, se encuentra que la información deberá ser clasificada de acuerdo con requerimientos legales, así como a su valor, criticidad y sensibilidad a la divulgación y modificación.
Se recomienda que este proceso se realice en toda la organización, en un ambiente de total entendimiento por parte de los propietarios y custodios de la información con el fin de que la clasificación de activos de información se unifique en los mismos criterios, se logre la consistencia requerida de acuerdo a las necesidades del negocio en cuanto a compartir y restringir el acceso a activos de información, cumpliendo con la triada de seguridad constituida por los atributos confidencialidad, disponibilidad e integridad.
Se hace necesario también establecer convenciones de fácil identificación y efectuar la rotulación según las escalas definidas, niveles de acceso y permisos de creación, modificación y supresión.
Un punto adicional que debe considerarse es la asignación acertada de funciones de administración de la información según el tipo de usuario. Los usuarios que custodien información crítica organizacional deberán entender el alcance que podrán tener sus acciones en caso de eliminación, alteración o fuga de información premeditada o accidental.
En el caso de las empresas latinoamericanas, se vienen implementando políticas de seguridad en orden a proteger sus plataformas tecnológicas. También se adelantan proyectos de seguridad informática que garanticen la integridad, disponibilidad y accesibilidad de la información, así como la certificación de calidad en orden al cumplimiento de estándares nacionales e internacionales.
Si se aborda juiciosamente el tema de gestión de la seguridad de información en una empresa de talla mundial, las recomendaciones de los gurús de la tecnología, los hackers, los libros especializados y hasta el usuario tecnológico intermedio apuntan a la prevención.
11
PORTAL ISO/IEC 27002. Tecnologías de Información – Técnicas de Seguridad – Guía de
Prácticas de Controles de Seguridad de la Información. 2013, p. 15. . en línea], consultado el 2
de marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html
26
Clasificación de la informacion
Criterios de Clasificacion
Rotulación de Activos de
Información
Tecnologia DLP
Procedimiento de Clasificación de
Información
Procedimiento de Inventario de Información
Requerimientos Funcionales Xperia
3. DISEÑO METODOLÓGICO
3.1 HIPÓTESIS DE INVESTIGACIÓN
Hi: El mantenimiento y continuidad del inventario y clasificación de activos de información es un elemento fundamental para lograr la optimización de los procesos y procedimientos asociados a la Tecnología Data LossPrevention – DLP en la empresa XperiaTechnologyCredit.
3.2 VARIABLES
Se definen como variables independientes Clasificación de la información y Tecnología DLP. Las variables dependientes para cada una de ellas se muestran en la figura 1.
Figura 1. Variables independientes y dependientes
Fuente: autores
27
3.3 METODOLOGÍA
Con el fin de cumplir los objetivos propuestos en el proyecto definieron cuatro fases con actividades específicas orientadas a realizar con éxito el inventario y la clasificación de activos de información para la empresa XperiaTechnologyCredit.
Las fases que se consideraron fueron:
Planeación
Inventario de activos de información
Etiquetado y rotulación de información
Seguimiento
En la fase de Planeación se proyectó la realización de entrevistas a los líderes de las diferentes áreas operativas mencionadas dentro del alcance del proyecto. En este espacio se discutiría en términos generales el proceso de inventario, actividades relacionadas y la definición de cronograma de productos entregables.
En la fase 2 se plantea la recolección e inventario de activos de información aprobados por cada área en conjunto con los propietarios y custodios de la información.
Posterior al levantamiento de información e inventario de los activos de información en el área que corresponde, se proyectó el etiquetado y la rotulación de los activos con base en el procedimiento para la clasificación de activos de la información, propuesto por los autores según la información recolectada y los temas conversados en las reuniones preliminares.
Durante el proceso de levantamiento, clasificación y rotulado de los activos de información, se definen reuniones periódicas donde se realiza seguimiento y validación de los datos consignados en el formato de inventarios en conjunto con el propietario o custodio de la información.
Al culminar con cada una de las 4 fases se proyectó la entrega de los documentos referenciados en las actas de inicio de proyecto al custodio o propietario de la información.
28
4. INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
4.1 PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN
4.1.1 Objetivo del procedimiento para la clasificación de activos de información. Mantener el inventario y clasificación de activos de información del negocio, de acuerdo a la Política Global de Seguridad de la Información, a través de la definición realizada por cada propietario de los activos de información, para lo cual debe considerarse su importancia, valor y riesgo, a fin de mantenerla enmarcada dentro de los niveles de protección requeridos.
4.1.2 Alcance del procedimiento para la clasificación de activos de información. Activos de información del negocio y en general cualquier tipo de información proveniente de terceras partes (clientes, proveedores, etc.), o generada internamente como resultado de los procesos de XperiaTechnologyCredit. La información se debe proteger indistintamente de sus medios y formas.
4.1.3 Definiciones y conceptos claves
Activo de Información: Recurso de información que tiene valor para la organización y sus clientes.
Clasificación de la Información: La información debe clasificarse en términos de la sensibilidad y la importancia para la organización y sus clientes.
Propietario del activo de Información: Se designa como propietario de la información para cada área de apoyo o unidad de negocio, a cada uno de los Vicepresidentes y Gerentes, o su equivalente en las filiales.
Custodio de la Información: Se establecen como custodios de la información a los empleados o terceros que conserven en su poder cualquier tipo de información proveniente de clientes, o generada internamente como resultado de los procesos de XperiaTechnologyCredit.
Los Custodios de la Información son responsables de salvaguardar la información a su cargo, de acuerdo a su clasificación, para evitar la pérdida o divulgación inadecuada mediante el cumplimiento de los controles establecidos.
29
Información: es un activo esencial para las actividades de la organización y, en consecuencia, necesita una protección adecuada.
Dueño de proceso: identifica a un individuo o cargo designado por la organización, que tienen la responsabilidad administrativa de la ejecución de uno o varios procesos productivos que utilicen o generen información de negocio.
Seguridad de la Información: es la protección de la información contra divulgación no autorizada y/o su incorrecta utilización con el fin de asegurar la continuidad de la gestión, velando por la confidencialidad, integridad y disponibilidad de la misma.
Usuarios Finales: los usuarios finales están definidos como todo empleado o tercero que tiene acceso autorizado a información o a sistemas informáticos que sean propiedad o que sean administrados por XperiaTechnologyCredit.
4.1.4 Mantenimiento y ejecución del proceso. El proceso de inventario y clasificación de la información es de obligatoria ejecución y debe realizase de forma permanente e inmediata en la medida en que nueva información relevante para el negocio sea generada, se presente algún cambio en los procesos vigentes de la organización o exista un cambio en su importancia o riesgo. A continuación se muestra la definición grafica del mantenimiento y ejecución del proceso en la Figura 2.
30
Elaboración del Inventario
Validación del Inventario
Implementación de Controles
Verificación de Controles
Figura 2. Mantenimiento y ejecución del proceso
Fuente: autores
4.1.5 Responsabilidades. A continuación se muestran los responsables y la descripción de sus responsabilidades dentro del Inventario y clasificación de la información:
Custodio de la información: Elaboración y actualización del inventario de activos de información.
Dueño del proceso: Validar el inventario de activos de información.
Propietario del activo de información: Garantizar la ejecución del proceso y en conjunto con el dueño del proceso y custodio del activo de información, asegurar que los inventarios se mantengan actualizados, según se presenten cambios en el proceso o en la información tratada en las operaciones cotidianas. De igual manera, es responsabilidad de los mismos, la implementación o la debida
Custodio de la Información
Dueño del Proceso
Dir. Seguridad de la Información
Propietario del Activo
31
diligencia de los controles necesarios, que ofrezcan el nivel de protección adecuado.
Dirección de Seguridad de la Información: Su responsabilidad está limitada al seguimiento del proceso. Igualmente podrá realizar sugerencias, ofrecer estrategias o alternativas en las implementación de los controles por parte del propietario del activo de información.
Adicionalmente, está obligado a hacer una verificación periódica (anual) de los controles implementados.
4.1.6 Vigencia. El procedimiento para la clasificación de Activos de Información entra en vigencia desde la fecha de aprobación y hasta que el conjunto de actores compuesto por el Custodio de Información, el Propietario de la Información, el Dueño del Procesos y el Director de Seguridad de la Información acuerden generar modificaciones, considerando la dinámica de las relaciones físicas, técnicas, tecnológicas, humanas, financieras y otras eventuales que puedan surgir al interior o exterior de la empresa.
La periodicidad recomendada por los autores, para la revisión del procedimiento es de seis meses teniendo en cuenta el nivel de criticidad e importancia (datos sensibles) que posee la información que administra Xperia.
4.1.7 Descripción del proceso para la clasificación de activos. La descripción del proceso para la clasificación de activos es presentada a continuación en el cuadro 1.
32
Cuadro 1. Descripción del proceso para la clasificación de activos
ID ACTIVIDAD RESPONSA
BLE PASOS
REGISTROS
1
Elaborar y/o actualizar el inventario de
activos de información
Custodio del activo de
información.
Diligenciar el formato “Inventario de Activos de Información”, de
acuerdo a las instrucciones e
indicaciones de la “Guía de Referencia de
Inventario” (ANEXO 10)
Inventario y clasificación de
Activos de Información
2
Validar la información
del inventario de los activos
de información
Dueño de proceso.
El Dueño del proceso, valida la información
de los activos de información registrada
en el formato “Inventario de Activos
de Información”
Inventario y clasificación de
Activos de Información
validado.
3 Publicación del inventario
Dueño de proceso
Carga en el repositorio definido (Intranet Clasificación de Información) el formato “Inventario de Activos de Información”
Inventario y clasificación de Activos de Información en el repositorio definido
4 Implementación de controles necesarios
Propietario del Activo
Implementa los controles necesarios que cumplan con el objetivo de salvaguardar la información según sus niveles de importancia
Documentación del control
5
Verificar los controles de seguridad requeridos
Dirección de Seguridad de la Información
Verifica los controles de seguridad definidos e implementados
Evidencia de la efectividad del control
Fuente: autores
33
4.2 GUÍA DE INVENTARIOS
4.2.1 Objetivo de la guía de inventarios. Establecer los criterios, procedimientos y recomendaciones que deben ser tenidos en cuenta por los custodios de información de XperiaTechnologyCredit para realizar y mantener el inventario y la clasificación de los activos de información que posee la organización.
4.2.2 Inventario de activos de información. La definición de un inventario permite reconocer cuáles son los activos de información más importantes de los procesos de la organización y permite clasificar como mínimo los activos de información que se encuentran consignados en este inventario.
4.2.3 Procedimiento de inventario. El procedimiento a ejecutar debe incluir las actividades expuestas en la Figura 3.
Figura 3. Entrada, proceso y salida para el procedimiento de inventario
Fuente: autores
34
4.2.4 Realización de inventario. En el procedimiento de realización de inventario, la actividad consiste establecer la importancia y nivel de sensibilidad de los activos de información permitiendo reconocer su valor para el negocio.
Para realizar el inventario se deben tener en cuenta los siguientes parámetros:
Cada custodio de la información será responsable por la elaboración y actualización del inventario de activos de información.
El dueño del proceso se encargará de validar el inventario de activos de información y solicitar las correcciones a las que haya lugar. Una vez validado el inventario, se encargará de la publicación del inventario en el repositorio dispuesto para este fin.
El proceso de inventario y clasificación de la información es de obligatoria ejecución y debe realizase de forma permanente e inmediata en la medida en que nueva información relevante para el negocio sea generada, se presente algún cambio en los procesos vigentes de la organización o exista un cambio en su importancia o riesgo.
4.2.4.1 Tipo de activo. Se define el tipo al cual pertenece el activo. Para este campo se utilizan los siguientes valores:
Activos de información: bases de datos y archivos almacenados en los computadores, documentación del sistema, manuales de usuario, material de capacitación, procedimientos de operación o de apoyo, planes de contingencia, procedimientos de recuperación, información almacenada, archivos o documentos en papel o en otros medios.
Activos de software: aplicaciones, sistemas, herramientas de desarrollo y utilitarios.
Activos físicos: equipo de cómputo (CPU, monitores, portátiles, módems), equipos de comunicaciones (routers, conmutadores, fax, contestadores automáticos), medios magnéticos (cintas y discos), equipo técnico (UPS, aire acondicionado), gabinetes y lugares de almacenamiento de documentos y medios de comunicación, medios ópticos (CD, DVD).
Intangibles: activos intangibles como la reputación y la imagen de la organización.
Personas: las personas, incluyendo sus cualidades, habilidades y experiencia.
35
Servicios: Los servicios de computación y comunicaciones, servicios generales, tales como calefacción, iluminación, electricidad y refrigeración
4.2.4.2 Propietario del activo. Se refiere al responsable de los activos y sus obligaciones son:
Toma de decisiones sobre los usos permisibles de información, considerando las reglas de negocio pertinentes.
Clasificación y etiquetado de cualquier información que haya creado o de la que sea responsable.
Reclasificar la información cuando su valor o el riesgo inherente ha cambiado.
Facilitar el acceso a la información con base en la necesidad de saber;
Adherirse a los términos contractuales con el proveedor de datos o del tratamiento en los casos en que Xperia mantenga o gestione la información.
Asistir y garantizar la existencia de un plan de contingencia adecuado;
Garantizar la exactitud de los datos mediante la implementación de controles suficientes para proporcionar un alto nivel de integridad de los datos (es decir, la validación de datos).
Aplicar los controles pertinentes para la información de acuerdo con las políticas, normas y principios establecidos por la Oficina de Seguridad Global.
4.2.4.3 Custodios de la información. Son las personas en quien el Propietario de Información ha delegado la responsabilidad, y que está en posesión física o lógica de la información. Son los responsables de proteger la información en su poder de acceso, alteración o destrucción no autorizada y de mantener la integridad y disponibilidad de la información a través del uso de controles de acceso apropiados según lo defina el Propietario de Información.
4.2.4.4 Usuarios de la información. Son personas a quienes el Propietario de la Información les ha dado autorización para acceder, modificar, borrar y/o utilizar información en el desempeño de su función laboral.
Los usuarios de información deben:
36
Usar la información únicamente para los propósitos aprobados específicamente por el Propietario de la Información.
Cumplir con todas las medidas de seguridad definidas por el Propietario de la Información y/o definidas por la Oficina Global de Seguridad.
Abstenerse de divulgar la información Confidencial o Restringida en su poder sin primero obtener permiso del Propietario de la Información.
37
5. CLASIFICACIÓN DE LA INFORMACIÓN
5.1 IMPORTANCIA DE LA INFORMACIÓN
En este campo se encuentra definido el valor que tiene el activo de información para la organización o específicamente para el proceso teniendo en cuenta las características valoradas:
Tabla 1. Equivalencias del análisis de riesgos
GRADO DEL RIESGO
Si valoración del Riesgo > 48 (5) Muy Alto
Si valoración del Riesgo > (27 al 47) (4) Alto
Si valoración del Riesgo > (13 al 26) (3) Medio
Si valoración del Riesgo > (5 al 12) (2) Bajo
Si valoración del Riesgo > (1 al 4) (1) Muy Bajo
F = Frecuencia : Numero de ocurrencia
Remota : una vez al año 1
Ocasional : algunas veces por mes 2
Frecuente : Algunas veces por semana 3
Continua : algunas veces por día 4
V = Valor del activo ($)o importancia
Bajo entre 40 y 4.000.000 1
Medio entre 4.000.000 y 20.000.000 2
Alto entre 20.000.0001 y 40.000.000 3
Muy alto superior a 40.000.001 4
I = Impacto, define el tipo de daño si ocurre un incidente
Leve (No incapacitable) 1
Media (Eventual no permanente) 2
Grave (Permanente por largo tiempo) 3
Catastrófica (Destrucción total) 4
Tabla de Equivalencias Valoración del Riesgo
Detalle Activo Frecuencia Valor Impacto VR
Fuente: autores
38
Cuadro 2. Valores de los activos en XperiaTechnologyCredit
CRITERIO
DESCRIPCIÓN
EXPLICACIÓN
5 Muy Alto
El activo es esencial para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es muy crítico y detiene el proceso, comprometiendo la calidad, la seguridad, la realización de negocios y la imagen de la empresa, por lo que debe ser corregida tan pronto como sea posible.
4 Alto
El activo se requiere para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es crítica y puede interrumpir el proceso, poner en peligro la realización de negocios e imagen de marca. El activo y el proceso pueden no estar disponibles. El proceso continúa sin que por un corto tiempo y / o de baja calidad, por lo que debe ser corregida tan pronto como sea posible.
3 Medio
El activo es importante para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo puede ser crítico, pero el proceso continúa hasta que el mismo se vea comprometido, por tiempo indefinido, sin comprometer la calidad y la seguridad. Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa, pero debe ser corregido.
2 Bajo
El activo tiene poca importancia en el proceso. El compromiso de la confidencialidad, integridad y / o la disponibilidad del activo no es crítica, pero el proceso continúa hasta que el mismo se vea comprometido, sin comprometer la calidad y la seguridad.
39
Cuadro 2. Valores de los activos en XperiaTechnologyCredit (Continuación)
CRITERIO DESCRIPCIÓN
EXPLICACIÓN
2 Bajo
Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa y la imagen de la empresa.
1 Muy Bajo
El activo tiene una importancia muy baja en el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo no es crítico para el proceso, ni para el activo en cuestión. Este compromiso no interrumpe en cualquier momento, el proceso ya que el proceso se opera sin el activo. No hay necesidad de protección y cuidados especiales.
Fuente: autores
5.1.1 Propiedad por nivel de sensibilidad. La importancia de la información debe ser clasificada en los siguientes niveles para cada una de las propiedades de la información (Integridad, confiabilidad y disponibilidad)
C (Confidencialidad): protección para que el activo de información sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario se presenta uno de los siguientes valores:
Cuadro 3. Clasificación según su confidencialidad
CRITERIO
DESCRIPCIÓN EXPLICACIÓN
5 Muy Alto
Si la confidencialidad está en peligro, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia
40
CRITERIO
DESCRIPCIÓN EXPLICACIÓN
Cuadro 3. Clasificación según su confidencialidad. Continuación
5 Muy Alto
Las consecuencias pueden ser accesibles en virtud del derecho internacional, nacional, estatal, regional y local.
4 Alto
Si la confidencialidad está en peligro, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia
Todo esto se debe en parte manejable. Las consecuencias pueden ser accesibles a los niveles nacional, estatal, regional y local.
3 Medio
Si la confidencialidad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera - Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto está sujeto al propietario. Las consecuencias pueden ser accesibles en los niveles estatales, regionales y locales.
2 Bajo
Si la confidencialidad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es fácilmente manejable. Las consecuencias pueden ser accesibles en la empresa nacional.
41
1 Muy Bajo
Si la confidencialidad está en peligro, no hay consecuencias para la empresa y en cualquier proceso de negocio.
Fuente: autores
D (Disponibilidad): garantizar que los usuarios autorizados tengan acceso a los activos de información cada vez que los requieren.
Cuadro 4. Clasificación según su disponibilidad
CRITERIO
DESCRIPCIÓN EXPLICACIÓN
5 Muy Alto
Si la disponibilidad se ve comprometida, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.
4 Alto
Si la disponibilidad se ve comprometida, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es parcialmente manejable. Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.
Cuadro 3. Clasificación según su confidencialidad. Continuación
42
Cuadro 4. Clasificación según su disponibilidad. Continuación
CRITERIO
DESCRIPCIÓN EXPLICACIÓN
3 Medio
Si la disponibilidad se ve comprometida, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto está sujeto al propietario. Las consecuencias de la falta de disponibilidad repercuten a nivel estatal, regional y local.
2 Bajo
Si la disponibilidad se ve comprometida, en pocos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es fácilmente manejable. Las consecuencias de la inactividad impactando enfoque interno.
1 Muy Bajo
Si la disponibilidad se ve comprometida, no hay consecuencias para la empresa y en cualquier proceso de negocio.
Fuente: autores
I (Integridad): protección de la exactitud y estado completo de la información y sus métodos de procesamiento
43
Cuadro 5. Clasificación según su integridad
CRITERIO
DESCRIPCIÓN EXPLICACIÓN
5 Muy Alto
Si la integridad se ve comprometida, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Las consecuencias de la pérdida de la integridad repercuten a nivel internacional, nacional, estatal, regional y local. La credibilidad del proceso en que opere el activo, se ve muy afectada.
4 Alto
Si la integridad está en peligro, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es parcialmente manejable. Las consecuencias de la pérdida de la integridad repercuten a nivel nacional, estatal, regional y local. La credibilidad del proceso en que opere el activo, se ve afectada.
3 Medio
Si la integridad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto está sujeto al propietario. Las consecuencias de la pérdida de la integridad repercuten a nivel estatal, regional y local. La credibilidad del proceso en que opere el activo, puede verse afectada.
44
Cuadro 5. Clasificación según su integridad. Continuación
2 Bajo
Si la integridad está en peligro, pueden ocurrir en algunos casos: Pérdida financiera Pérdida de la imagen Multas contractuales / SLA Pérdida de ventaja competitiva sobre la competencia. Todo esto es fácilmente manejable. Las consecuencias de la pérdida de la integridad repercuten a nivel interno de la empresa. La credibilidad del proceso en que opere el activo puede verse afectado en algunos casos.
1 Muy Bajo Si la integridad está en peligro, no hay consecuencias para la empresa y para cualquier proceso de negocio.
Fuente: autores
5.1.2 Revisión y actualización. La actividad de revisión se refiere a la verificación que se puede llevar a cabo para determinar si un activo de información continúa o no siendo parte del inventario, o si ha cambiado la asignación de importancia de los activos de información.
El inventario de activos puede ser revisado en cualquier momento que el dueño de proceso así lo decida o cuando lo solicite el propietario del activo.
La actualización del inventario será cargada en el repositorio definido (Intranet --> Clasificación de la información).
Las razones por las cuales puede gestarse una revisión/actualización son:
Actualización del proceso.
Inclusión de nuevos registros, material de referencia o procedimientos.
Inclusión de un nuevo activo.
Desaparición de un área, proceso o cargo en la organización que tenía asignado el rol de propietario, dueño de proceso o custodio.
Cambios o migraciones de sistemas de información en donde se almacenan o reposan activos de información ya inventariados.
45
5.1.3 Publicación. El inventario de activos de información es un documento de uso interno y de acceso de solo lectura para todos los usuarios internos autorizados. Sólo debe tener acceso de modificación a este documento la persona que haya sido designada expresamente por el propietario del activo de información.
Este documento debe ser socializado a los interesados y debe ser mantenido en el Sistema de Gestión de la Seguridad de la Información con su respectivo control de versiones. Este mismo documento hace parte del inventario y clasificación de activos de información de la organización, por lo tanto los requerimientos derivados de su clasificación deben tenerse en cuenta.
Debe llevarse a cabo una presentación formal del documento de inventario y clasificación de activos de información como mínimo a las personas que aparezcan como propietarios, dueños de proceso o custodios de algún activo.
5.2 CLASIFICACIÓN DE INFORMACIÓN PARA XPERIA
La clasificación de activos de información tiene como objetivo asegurar que la información recibe los niveles de protección adecuados. La información con base en su importancia y de acuerdo a los requisitos de confidencialidad tiene diferentes grados de protección o manejo especial que se definen en el documento de clasificación de activos de información.
En este documento se define el esquema de clasificación para estipular los niveles de protección para cada activo de información y señalar las consideraciones especiales de manejo, restricciones, distribución, almacenamiento y destrucción de la información.
Los dueños de proceso que definieron el activo de información en el inventario deben revisar y confirmar el nivel de clasificación asignado al activo, y confirmar si el activo está clasificado adecuadamente.
Las categorías de clasificación de la información de Xperia se definen de manera general en su documento de Políticas Globales. Como se ha mencionado en este documento estas categorías son Pública, Interna, Confidencial y Restringida. Con base en estas definiciones generales se realizó la clasificación de información a las áreas de Xperia, con el apoyo e información suministrada por los dueños de cada proceso, los propietarios de información, los custodios de información y el gerente de seguridad de información.
46
5.2.1 Información pública de Xperia. La clasificación de información pública de Xperia se presenta a continuación en el cuadro 6.
Cuadro 6. Clasificación de información pública de Xperia
DEFINICIÓN
Para uso del público en general y para distribución externa. Su divulgación no causa un efecto adverso para Xperia.
AUTENTICACIÓN Acceso anónimo permitido.
RASTROS DE AUDITORÍA Ningún requisito
ETIQUETADO No se requieren etiquetas de seguridad de información.
DIVULGACIÓN / COMPARTICIÓN
Ninguna restricción
ENVÍO Y MANEJO Ninguna restricción
DESTRUCCIÓN Y DISPOSICIÓN
Retener de acuerdo con el programa de retención de archivos de Xperia y en cumplimiento con la política de retención de archivos.
Fuente: autores
47
5.2.2 Información interna de Xperia
Cuadro 7. Clasificación de información interna de Xperia
DEFINICIÓN Información moderadamente delicada que requiere controles. Su divulgación, alteración o destrucción, podría causar daño a Xperia y/o desventaja competitiva.
AUTENTICACIÓN Autenticación de factor único
RASTROS DE AUDITORIA
La auditoría y el registro deben monitorear los eventos de seguridad.
MEDIO ELECTRÓNICO
Etiqueta el contenedor exterior y/o el comienzo del medio.
DOCUMENTOS La etiqueta o símbolo apropiado deben aparecer.
DIVULGA
INTERNA Ninguna restricción
TERCEROS
Se requiere aprobación del propietario y acuerdo de no divulgación.
Envío y Manejo por Correo electrónico:
Interna
Enviar en texto común vía sistema de e-mail interno de Xperia.
Terceros Se recomienda codificación.
Destrucción y Disposición
Retener de acuerdo con el programa de retención de archivos de Xperia y en cumplimiento con la política de retención de archivos.
Fuente: autores
48
5.2.3 Información confidencial de Xperia
Cuadro 8. Clasificación de información confidencial de Xperia
DEFINICIÓN
Información altamente delicada que requiere fuertes controles. Su divulgación, alteración o destrucción, causa daño serio a Xperian y/o desventaja competitiva.
AUTENTICACIÓN Autenticación de factor único múltiple
RASTROS DE AUDITORIA La auditoría y el registro deben monitorear los eventos de seguridad periódicamente.
MEDIO ELECTRÓNICO Etiqueta el contenedor exterior y/o el comienzo del medio.
DOCUMENTOS La etiqueta o símbolo apropiado deben aparecer.
DIVULGACIÓN / COMPARTICIÓN
INTERNA Se requiere aprobación del propietario de la información.
TERCEROS
Se requiere aprobación del propietario de la información y acuerdo de no divulgación.
ENVÍO Y MANEJO POR CORREO ELECTRÓNICO
INTERNA Se recomienda codificación.
TERCEROS Se requiere codificación.
DESTRUCCIÓN Y DISPOSICIÓN
Retener de acuerdo con el programa de retención de archivos de Xperian y en cumplimiento con la política de retención de archivos.
Fuente: autores
49
5.2.4 Información restringida de Xperia
Cuadro 9. Clasificación de información restringida de Xperia
DEFINICIÓN
Información extremadamente delicada que requiere los controles más fuertes. Su divulgación, alteración o destrucción, causa daño grave a Xperia y/o desventaja competitiva.
AUTENTICACIÓN Autenticación de dos factores.
RASTROS DE AUDITORIA
La auditoría y el registro deben monitorear los eventos de seguridad diariamente.
ETIQUETADO
MEDIO ELECTRÓNICO
Etiqueta el contenedor exterior y/o el comienzo del medio.
DOCUMENTOS La etiqueta o símbolo apropiado deben aparecer.
INTERNA Se requiere aprobación del propietario de la información.
TERCEROS
Se requiere aprobación del propietario de la información y acuerdo de no divulgación.
ENVÍO Y MANEJO POR CORREO ELECTRÓNICO
INTERNA Se requiere codificación.
TERCEROS Se requiere codificación.
DESTRUCCIÓN Y DISPOSICIÓN
Retener de acuerdo con el programa de retención de archivos de Xperia y en cumplimiento con la política de retención de archivos.
Fuente: autores
50
5.2.5 Controles requeridos. De acuerdo a la clasificación de información definida por las categorías pública, interna, confidencial y restringida, se establecieron controles para los siguientes aspectos y eventualidades críticas: control de acceso, autenticación, rastros de auditoría, etiquetado medios físicos, etiquetado medios magnéticos, divulgación interna, divulgación externa, vía voz, correo electrónico interno, correo electrónico externo, correo interno (copia impresa), correo externo/Courier, transmisión electrónica interna, transmisión electrónica externa, transporte dentro del país, transporte o trasmisión de información por fronteras internacionales, copiado, impresión o envío por fax, almacenamiento, copia en papel y electrónico.
Los controles requeridos se encuentran relacionados en el cuadro 10 presentado en la página siguiente.
51
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit
CLASIFICACIÓN DE LA INFORMACIÓN
Pública Interna Confidencial Restringida
Símbolo
Definición
Propuesto para el uso del público en general y pre-
diseñado para distribución externa.
No se espera que la
divulgación de los datos cause un efecto adverso a
Xperia.
Información moderadamente delicada que requiere
controles para asegurar confidencialidad, integridad y
disponibilidad.
Su divulgación, alteración o destrucción podría causar daño a la reputación o valoración de
Xperia y/o causarle una desventaja competitiva.
Información altamente delicada que requiere fuertes
controles para asegurar confidencialidad, integridad y
disponibilidad.
Su divulgación, alteración o destrucción podría causar daño
serio a la reputación o valoración de Xperia y/o causarle una desventaja
competitiva.
Información extremadamente delicada que requiere
loscontroles más fuertes para asegurar confidencialidad, integridad y disponibilidad.
Su divulgación, alteración o
destrucción podría causar daño grave a la reputación o
valoración de Xperia y/o causarle una desventaja competitiva.
Ejemplos
Anuncios, anuncios de oportunidades de trabajo, comunicados de prensa o
folletos de productos.
Presupuestos departamentales, organigramas, directorios telefónicos, manuales de
políticas o programaciones de proyectos.
Contratos de clientes, información personal de consumidores, datos de
tarjetahabientes cubiertos por Estándar de Seguridad de Datos para a Industria de
Tarjeta de Pago, contraseñas, reportes de vulnerabilidad,
documentación del sistema o código de aplicaciones.
Claves de codificación, informes de investigaciones internas,
adquisiciones no anunciadas o productos o servicios no
anunciados.
Control de acceso
Ninguna restricción para el acceso de lectura.
El acceso de actualización y eliminación debe ser
autorizado por el propietario de Información o un custodio
de Información.
Autorizado por el propietario de la información o el custodio, con el criterio de necesidad de saber.
52
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit (Continuación)
CLASIFICACIÓN DE LA INFORMACIÓN
Pública Interna Confidencial Restringida
Autenticación Acceso anónimo permitido. Autenticación de factor único.
Autenticación de factor único múltiple. Se puede requerir
autenticación de dos factores si existen riesgos significativos.
Autenticación de dos factores.
Rastros de auditoría Ningún requisito.
Se deben registrar y monitorear los eventos seguridad.
Se deben registrar y monitorear los eventos seguridad
periódicamente.
Se deben registrar y monitorear los eventos seguridad
diariamente.
Etiquetado medios físicos
No se requiere etiqueta de Seguridad de información.
La etiqueta o símbolo apropiado debe aparecer en cada página.
Etiquetado medios magnéticos
Etiquete el contenedor exterior, comienzo del medio y/o nombre del archivo.
Divulgación interna Ninguna restricción.
Se requiere aprobación de Administrador de Información o Custodio de Información.
Divulgación externa (Incluye información
enviada para copiado, impresión, formateado, u otros
trámites)
Ninguna restricción.
Se requiere aprobación del propietario del activo de
información y acuerdo de no divulgación.
Se requiere autorización del propietario del activo de información o Custodio de Información y acuerdo de no divulgación.
Vía voz Ninguna restricción. Seguir la orientación anterior y verificar que las partes tienen necesidad de conocer.
Seguir la orientación anterior y evitar discutir en público más allá de lo necesario.
Seguir la orientación anterior y evitar leer o discutir en público o
por teléfono (incluyendo mensajes de voz).
Correo electrónico interno
Ninguna restricción. Enviar en texto común vía
sistema de email interno de Xperia.
Se recomienda codificación. Para datos de tarjetahabiente
cubierta por PCI DSS; Se requiere codificación.
Se requiere codificación.
53
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit (Continuación)
CLASIFICACIÓN DE LA INFORMACIÓN
Pública Interna Confidencial Restringida
Correo electrónico externo
Ninguna restricción. Se recomienda codificación. Se requiere codificación.
Correo interno (Copia impresa)
Ninguna restricción. Dirigir al empleado o receptor
designado de Xperia vía sistema interno de correo.
Sellar en empaque marcado como confidencial y dirigir al
receptor designado vía sistema interno de correo.
No enviar usando sistema de correo interno. Enviar a mano o enviar usando los controles de Correo Externo mencionados
adelante.
Correo externo/Courier
Ninguna restricción. Copia impresa/Medios: Selle en
empaque opaco.
Selle en empaque opaco; no indique la clasificación o la naturaleza de la información contenida en él. Diríjalo a la persona o punto de recepción específico; incluya dirección para devolución; enviar por mensajería de confianza o correo registrado y use mecanismo de
seguimiento. Medios: Codificar a menos que esté exento por aprobación por
escrito de la alta administración.
Transmisión electrónica interna
Ninguna restricción.
Recomendado que se transfiera la información por canal codificado o que se va a
codificar antes de la transmisión.
La información debe ser transferida por un canal
codificado o codificada antes de la transmisión.
Transmisión electrónica externa
Ninguna restricción.
Se recomienda que la información sea transferida por un canal codificado o codificada
antes de la transmisión.
La información debe ser transferida por un canal codificado o codificada antes de la transmisión.
Transporte/Llevar dentro del país.
Ninguna restricción. Llevar en recipiente cerrado y
nunca dejarlo sin atención.
Llevar en recipiente cerrado y nunca dejarlo sin atención.
Medios: Codificar a menos que esté exento por aprobación por escrito de la alta administración.
La información debe ser llevada en recipiente cerrado y nunca
dejarla sin atención. Medios: Codificar a menos que esté exento por aprobación por escrito de la alta administración.
Transporte o Trasmisión de
Información por Fronteras
Internacionales.
Ninguna restricción. Asegurar el cumplimiento de leyes y regulaciones locales de exportación.
54
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit (Continuación)
CLASIFICACIÓN DE LA INFORMACIÓN
Pública Interna Confidencial Restringida
Copiado, Impresión o envío
por fax. Ninguna restricción.
Permitido según se necesite para conducir los negocios de Xperia.
Copias: Permiso del propietario del activo de
información o Custodio de Información.
Impresión: Se recomiendan características de impresión
seguras. Para ayudar a controlar su difusión, todas las copias de información restringida también deben
incluir las palabras “No copiar Sin Permiso Explícito del propietario del activo de
información”. Fax: Se recomienda
transmisión con contraseña
Copias: Permiso del propietario del activo de información o Custodio
de Información. Impresión: Se recomiendan características de impresión
seguras. Para ayudar a controlar su difusión, todas las copias de información restringida también deben incluir las palabras “No
copiar Sin Permiso Explícito del propietario del activo de
información”. Fax: Codificar transmisión y
verificar recepción
Almacenamiento Ninguna restricción. Ninguna restricción.
Copia Impresa: Almacene en instalación con llave cuando no esté en uso. Electrónica: Codifique. Nota: No se requiere codificación para la información electrónica en servidores seguros en instalaciones seguras con controles de acceso apropiados pero se deben codificar las cintas de respaldo u otros medios que vayan a salir de las instalaciones.
Destrucción y disposición
Retener de acuerdo con el Programa de retención de Archivos de Xperia y en cumplimiento con la Política de Retención de Archivos. Deshacerse de él después del vencimiento de los periodos de retención a menos de que se haya colocado un “Mantener” por razones legales o de otro tipo.
55
Cuadro 10. Clasificación de la información en XperiaTechnologyCredit (Continuación)
CLASIFICACIÓN DE LA INFORMACIÓN
Pública Interna Confidencial Restringida
Copia en papel Ninguna
restricción.
Métodos internos de eliminación
Se debe disponer de él con seguridad, por ejemplo, en caja cerrada para disposición o triturado.
Electrónico Ninguna restricción. Destrucción física o proceso de borrado magnético. Referirse a la Norma para Borrado de
Medios para más información.
Fuente: autores
56
5.2.6 Gestión de documentos
5.2.6.1 Íconos representativos. Para la identificación de los documentos se sugiere el siguiente modelo:
Cuadro 11. Íconos representativos
INTERNA: Información moderadamente delicada que requiere controles.
Su divulgación, alteración o destrucción, podría causar daño a Xperia
y/o desventaja competitiva.
CONFIDENCIAL: Información altamente delicada que requiere fuertes
controles. Su divulgación, alteración o destrucción, causa daño serio a
Xperia y/o desventaja competitiva.
RESTRINGIDA: Información extremadamente delicada que requiere los
controles más fuertes. Su divulgación, alteración o destrucción, causa
daño grave a Xperia y/o desventaja competitiva.
Fuente: autores
5.2.6.2 Control de Versiones. Se sugiere la utilización del control del versiones cuando se presente cualquier cambio o modificación de forma o fondo en los documentos.
El cambio de la versión se verá reflejado en:
El nombre del archivo
La tabla de versiones
El nombre del documento en el encabezado de la página
Siempre que haya un cambio dentro del documento se debe modificar la tabla de versiones que se encuentra al inicio diligenciando los siguientes campos para mantener la historia de las modificaciones:
Número de la versión
57
Fecha de la modificación
Nombre de quien elabora el cambio
Nombre de quien aprueba el cambio
Breve descripción del cambio
Para el manejo de control de versiones los documentos se sugiere el siguiente modelo:
Cuadro 12. Control de versiones de documentos
Versión Fecha Descripción Preparado por Aprobado por
1 dd/mm/yyyy (…) (Nombres y Apellido)
(Nombres y Apellido)
Fuente: autores
58
6. CATALOGACIÓN DE LA INFORMACIÓN SEGÚN EL PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE LA INFORMACIÓN
6.1 ALCANCE ÁREAS OPERATIVAS DE XPERIATECHNOLOGYCREDIT En el presente proyecto y dentro del alcance propuesto se tendrán en cuenta las siguientes áreas operativas en XperiaTechnologyCredit:
Vicepresidencia de Tecnología
Vicepresidencia Jurídica
Vicepresidencia Credit
Gerencia Estratégica
Dirección de Planeación
Dirección de Operaciones
Dirección de Mercadeo
Dirección Comercial
Segmento Empresas
En el desarrollo del proyecto se contemplaron las siguientes fases para la catalogación de la información recopilada con base en el procedimiento para la clasificación de activos de la información.
6.1.1 Fase 1 – Planeación. Tiene como objetivo realizar una serie de entrevistas convocadas con los líderes de las diferentes áreas operativas mencionadas dentro del alcance del proyecto.
Cada una de estas entrevistas arrojara como resultado un documento (acta de reunión o carta de inicio de proyecto) que se incluyen en el proyecto como anexos a los inventarios en cada una de las áreas operativas en XperiaTechnologyCredit.
El acta de entrevista en su contenido presenta:
Encabezado: Asistentes, fecha y hora de la reunión.
Agenda: Discusión del proceso de inventarios, actividades relacionadas, documentos y entregables, conclusiones finales.
El acta se encuentra firmada por cada uno de los asistentes como aprobación de los puntos discutidos en la reunión para el levantamiento de información de inventario de activos de información en cada una de las áreas operativas.
Estas actas se presentan como anexos al proyecto bajo el estándar “Acta de Proyecto Área Operativa”
59
6.1.2 Fase 2 - Inventario de activos de Información. En la fase 2 se procede con el cumplimiento del cronograma concertado en la fase 1 de planeación, se ejecuta la recolección e inventario de activos de información aprobados por el área en conjunto con los propietarios y custodios de la información. La recolección de estos datos se consigna en el formato de Inventario de activos de información asignado a cada una de las áreas operativas. Estos inventarios se presentan como anexos al proyecto bajo el estándar “Área- Inventario de Activos de Información” 6.1.3 Fase 3 - Etiquetado y rotulación de la información. Posterior al levantamiento de información e inventario de los activos de información en el área que corresponde, se procede con el etiquetado y la rotulación de los activos basados en el procedimiento para la clasificación de activos de la información. El etiquetado y rotulación de la información se consigna en el formato de inventarios de activos de información asociado al inventario realizado en la Fase 2. 6.1.4 Fase 4 – Seguimiento. A lo largo del proceso de levantamiento, clasificación y rotulado de los activos de información, se definen reuniones periódicas donde se realiza seguimiento y validación de los datos consignados en el formato de inventarios en conjunto con el propietario o custodio de la información. Al culminar con cada una de las 4 fases se realizara la entrega de los documentos referenciados en las actas de inicio de proyecto al custodio o propietario de la información.
Procedimiento para el inventario y clasificación de activos de información
Guía de referencia Inventario de Activos de Información
Política de Seguridad Global
60
7. PROPUESTA TECNOLÓGICA PARA LA CONTINUIDAD Y SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN
7.1 ALCANCE DE LA PROPUESTA
A lo largo del proyecto se desarrolló el procedimiento para la clasificación de activos de información y la ejecución del levantamiento de datos con base en los parámetros establecidos en dicho documento.
Este planteamiento sugiere la implementación de una infraestructura tecnológica que permita dar continuidad al levantamiento de datos dentro del procedimiento para la clasificación de activos de la información, permitiendo así garantizar el cumplimiento de las políticas de seguridad globales y la ejecución de los procedimientos requeridos para esto.
Dentro del alcance de la propuesta se define la tecnología necesaria que cumple a cabalidad con los requisitos funcionales para la prevención en la fuga de datos internos, confidenciales y restringidos de XperiaTechnologyCredit con base en el cuadrante mágico de Gartner para DLP.
7.2 DESARROLLO DE LA PROPUESTA
7.2.1 Requisitos funcionales. En conjunto con el área de la Dirección de Servicio de TI se definieron los siguientes requisitos funcionales para la continuidad en la protección del inventario de activos de la información en XperiaTechnologyCredit.
Detectar riesgos de fuga de información de datos internos, confidenciales y restringidos para las áreas operativas.
Módulo de monitoreo que permita configurar y relacionar parámetros establecidos previamente.
Proteger los datos sin importar su almacenamiento o definición en la escala para la definición de datos,
Gestionar el uso y manipulación de los activos de información, generar métricas y reportes para la alta gerencia.
61
7.2.2 Escenarios Propuestos
7.2.2.1 Planteamiento. Con el fin de garantizar le mejor herramienta tecnológica en el mercado en la actualidad, se realizó un análisis de los requisitos funcionales de XperiaTechnologyCredit con base en el cuadrante mágico de Gartner para el uso de Correo Seguro y la prevención de pérdida de datos salientes. (Figura 4)
Figura 4. Cuadrante mágico de Gartner de correo electrónico seguro
Fuente: Gartner12
12
GARTNER. Cuadrante Mágico de correo electrónico seguro. en línea], consultado el 3 de abril
de 2015 . Disponible en: http://www.gartner.com/technology/reprints.do?id=1-1WK2ZOL&ct= 1407 02&st=sb
62
7.2.2.2 Definiciones y criterios del cuadrante mágico de Gartner. Dando continuidad a la propuesta basada en las definiciones y criterios del cuadrante mágico de Gartner, en la Tabla 14 presentada en la siguiente página se muestran las fortalezas y precauciones presentadas en el informe “Cuadrante de Correo electrónico seguro” de las empresas líderes en el mercado
Cuadro 13. Fortalezas y precauciones presentadas en el informe “Cuadrante de correo electrónico seguro
PROVEEDOR FORTALEZAS PRECAUCIONES Costos Licencia
CISCO
OutbreakFilters ofrece protección contra ataques selectiva, que incluye la hora del clic URL del proxy una solución archivo sandboxing basado en la nube llamado Avance de protección contra malware (AMP) y el filtrado.
Filtrado de spam Cisco es altamente dependiente de la reputación, que es menos eficaz para bajo volumen de raquetas de nieve spam.
Novedades en los Componentes:
Monitoreo en tiempo
Real
Monitoreo de transacciones
Monitoreo de aplicación
Costo Mensual.
$ 1,138.20
Costo Anual. US 13.658.40
URLs embebidas pueden ser filtrados de acuerdo con las categorías de URL (es decir, los juegos de azar, juegos, alcohol) para alinearse con las políticas de uso aceptables, así como la reputación de URL.
Oferta de correo electrónico alojado de Cisco tiene sólo cuatro centros de datos en los EE.UU. y Europa hasta ahora.
Capacidades de DLP-contenido consciente con numerosos predefinidos políticas, los diccionarios y los identificadores
PROOFPOINT
El spam y el malware precisión ha sido siempre una fuerza Proofpoint consistente, y la compañía es uno de los pocos que informa públicamente su eficacia anti-spam
Proofpoint sigue teniendo una cuota de mercado y la mente menor fuera de Norteamérica.
Novedades en los Componentes:
EncryptionInsight
Data Insight
Network Discover
Costo Anual.
US 14.100.
La interfaz de gestión basada en la Web sigue siendo uno de los mejores en el mercado, con numerosas innovaciones y características únicas. En particular, como los cuadros de mando totalmente personalizables para cada administrador.
Proofpoint, debido a su enfoque en los clientes corporativos a gran empresariales más exigentes y los altos precios, es un mal ajuste de las organizaciones más pequeñas que no requieren controles avanzados, aunque Proofpoint Básico proporciona una experiencia más simple.
Características de DLP son muy fuertes, e incluyen numerosas políticas prediseñados, diccionarios, identificadores numéricos y encriptación basada en políticas integradas. El desarrollo de políticas es orientado a objetos y similar en todos los spam y DLP. La cuarentena DLP es muy sofisticada para una solución de canal, e incluye la política de violaciones resaltados así como la posibilidad de añadir comentarios a los incidentes.
A pesar de las mejoras en la presentación de informes, Proofpoint aún carece de una capacidad completa de informes ad hoc
Fuente: autores
63
7.3 BENEFICIOS Y RIESGOS EN LA IMPLEMENTACIÓN DE TECNOLOGÍAS ASOCIADAS A LA PREVENCIÓN DE PÉRDIDA DE DATOS
7.3.1 Riesgos. Dentro de los riegos asociados en la no implementación de tecnologías para la prevención de fuga de datos se destacan los siguientes;
Fuga de información interna, restringida y confidencial para XperiaTechnologyCredit
Acceso no autorizado a datos restringidos y confidenciales al interior de las áreas operativas.
Robo de datos considerados sensibles para la compañía.
Divulgación de información interna en las áreas operativas.
7.3.2 Beneficios. Algunos de los beneficios con más relevancia en la implementación de tecnologías asociadas a la prevención de fuga de datos son:
Continuidad al procedimiento para la clasificación de activos de información en XperiaTechnologyCredit.
Control en el flujo y ciclo de vida de la información
Control y cumplimento de normas y regulaciones legales para la protección de datos.
Correlación en documentos e información de negocio para la optimización de procesos al interior de las áreas operativas.
64
8. CONCLUSIONES
Toda organización debe contar con políticas claras, bien definidas sobre cómo debe categorizarse y administrarse los activos de información. Esta administración acertada permite establecer controles y medidas organizativas que produzcan un aseguramiento eficiente de los datos, así como también, administrar y evaluar los riesgos a los que el negocio esté expuesto, garantizando la continuidad del proceso de negocio.
La hipótesis de investigación ¨El mantenimiento y continuidad del inventario y clasificación de activos de información es un elemento fundamental para lograr la optimización de los procesos y procedimientos asociados a la Tecnología Data LossPrevention – DLP en la empresa XperiaTechnologyCredit¨ es verdadera. En este momento las 9 áreas operativas de la empresa cumplen con los parámetros generales de clasificación de información expuestos en las políticas globales de Xperia.
Podría considerarse, que el secreto para mantener la seguridad informática está en contar con soluciones informáticas o herramientas óptimas de seguridad en la información. Sin embargo, aunque esto es necesario, la realidad demuestra que con solo las herramientas no son suficientes, ya que se omiten aspectos imprescindibles para la seguridad de un negocio. Es por ello que es posible minimizar en gran medida los riesgos de seguridad gracias a la combinación de tres elementos claves: la tecnología, la participación de los responsables de la información y la valoración apropiada de la información.
La definición del factor humano como el eslabón más débil de la cadena en el proceso de gestión del riesgo asociado a la administración de activos de información, se puede redefinir empleando mecanismos de capacitación, concientización y el uso adecuado de los recursos físicos y lógicos apoyado de procesos y procedimientos claros en la organización. Las preocupaciones colecticas e individuales pueden ofrecer un enfoque que con el uso de las herramientas y las técnicas apropiadas pueden facilitar la gestión en la Seguridad de la información.
65
9. RECOMENDACIONES E IMPLICACIONES
Se recomienda la implementación de procesos e infraestructura tecnológica que permita dar continuidad y gestión al procedimiento para la clasificación de activos de información en XperiaTechnologyCredit, la no implementación de esta tecnología podría conllevar a los riesgos mencionados en el desarrollo de la propuesta inicial.
Con base en los requerimientos funcionales propuestos por XperiaTechnology Credit se recomienda llevar a cabo la implementación de las tecnologías propuestas (Cisco - Proofpoint) tomando como referencia sus fortalezas y precauciones mencionadas en el cuadrante mágico de Gartner.
En el análisis de la infraestructura tecnología en Xperia se detectaron productos y procesos implementados con el proveedor Cisco que simplificarían la implementación de la Tecnología DLP o Correo Seguro con un costo – beneficio más alto.
66
BIBLIOGRAFÍA
ALAVI, Maryam. y LEIDNER, Dorothy. Knowledge Management Systems: Issues, Challenges, and Benefits. Vol.1, No. 7, p.1-37. USA: Communications of the Association for Information Systems. 1999. 37 p.
A. Ntoko. Mandate and activities in cybersecurity – ITU-D. Reunión temática de la CMSI sobre ciberseguridad. Ginebra: UIT 28 de junio a 1 de julio de 2005
ACKOFF, Russel. From data to wisdom. USA: Journal of Applied Systems Analysis. 1989. p. 15. CANO, J. La guerra fría electrónica y la inseguridad de la información. 2008.
Publicación en Blog. en línea], consultado el 2 de marzo de 2014 . Disponible en: http://www.eltiempo.com/ participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197.
CEBRIÁN, R. A. Eleven Paths. 15 de Agosto de 2013. en línea], consultado el 2
de marzo de 2014 . Disponible en: http://blog.elevenpaths.com/2013/08/fuga-de-informacion-en-empresas-lideres.htm
GARTNER. Cuadrante Mágico de correo electrónico seguro. en línea],
consultado el 3 de abril de 2015 . Disponible en: http://www.gartner. com/technology/reprints.do?id=1-1WK2ZOL&ct= 1407 02&st=sb PORTAL ISO/IEC 27002. Tecnologías de Información – Técnicas de Seguridad –
Guía de Prácticas de Controles de Seguridad de la Información. 2013, p. 15. . en
línea], consultado el 2 de marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html
RIVAS, Luís Guillermo. Recursos de información. 1999. en línea], consultado
el 2 de marzo de 2014 . Disponible en: www.eumed.net › Revistas › Tlatemoani SALMADOR, María. Raíces epistemológicas del conocimiento organizativo, estudio de sus dimensiones. En Economía Industrial. 1999. Vol. 1, No. 357, p. 27-
57. en línea], consultado el 2 de marzo de 2014 . Disponible en: www.funlam.edu.co/modules/facultad ciencias/ visit. php?fileid=36
XPERIA, Credit. Políticas y Estándares de Seguridad Global. Enero 2012. en
línea], consultado el 2 de marzo de 2014 . Disponible en: es.wikipedia.org/wiki/ Near_field_communication.
69
Anexo 1. Inventario de Activos de Información (Continuación)
Documentación del Sistema Diagramas Topologias de Red de Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 3-Medio 4-Alto
Documentación del Sistema Inventarios de servidores Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto
Documentación del Sistema Diagramas de Ubicación Fisica - Rack Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
Documentación del Sistema Inventario de Licencias Director de Infraestructura Tecnologica Interno 5-Muy alto 4-Alto 3-Medio 4-Alto
Documentación del Sistema Documentación Storage Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto
Documentación del Sistema Documentación Backup Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto
Procedimientos de Operación o de Apoyo Procesos de la Gerencia de Infraestructura Tecnológica Gerente de infraestructura tecnologica Interno 3-Medio 3-Medio 3-Medio 3-Medio
Manuales de UsuarioDocumentación Suministrada por Proveedores Con
Especificaciones Exclusivas para DatacreditoDirector de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 3-Medio 4-Alto
Manuales de Usuario Instructivo Creación de Usuarios del Sistema Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto
Manuales de UsuarioManuales de Usuario y de admiistración de aplicaciones del
sistema, con especificaciones exclusivas para DataCréditoDirector de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Procedimientos de Operación o de Apoyo Documentos - Políticas - GIT Gerente de infraestructura tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto
Procedimientos de Operación o de ApoyoFormatos - de apoyo a procesos de Infraestructura
TecnológicaDirector de Infraestructura Tecnologica Interno 3-Medio 4-Alto 4-Alto 4-Alto
Procedimientos de Operación o de ApoyoEstadísticas e indicadores de la Dirección Infraestructura
Tecnologica - DatacreditoDirector de Infraestructura Tecnologica Interno 3-Medio 3-Medio 2-Baja 3-Medio
Procedimientos de Recuperación Documentos - Gestión de Crisis Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
Archivos Almacenados en ComputadoresDocumentos - Computador Director de Infraestructura
Tecnologica - DatacreditoDirector de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en ComputadoresDocumentos - Computador - Administradores de Plataforma
Tecnologica - Datacredito (3)Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en ComputadoresDocumentos - Computador - Administrador de Infraestructura
de Portal - Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en ComputadoresDocumentos - Computador - Administrador de Bases de
Datos - Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en ComputadoresDocumentos - Computador - Analista de Proyectos -
DataCredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en ComputadoresArchivos de buzón de correo PST Outlook de los integrantes
de la Dirección de Infraestructura Tecnológica.Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Material de Capacitación Presentaciones - Capacitación Herramientas Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
Archivos o Documentos en PapelDocumentos - Director de Infraestructura Tecnologica -
DatacreditoDirector de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
Software Utilitario Software instalado en servidores Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Documentación del Sistema Documentos License Key Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Documentación del Sistema Documentos Soporte Renovación y Mantenimiento. Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores Producción Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores Demo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores DRP Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores Desarrollo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores Pruebas Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Servidores Apoyo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Appliance Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo de Cómputo: CPU Storage Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Medios de
Comunicación
Gabinete de la Dirección de Infraestructura Tecnologica
- Se almacenan documentos en papel.
- Medios Magnéticos.
Director de Infraestructura Tecnologica Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Registrar nombre completo del cargo en la siguiente columna Administrador de Plataforma Tecnologica - Datacredito (3) Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Registrar nombre completo del cargo en la siguiente columna Administrador de Infraestructura de Portal - Datacredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Registrar nombre completo del cargo en la siguiente columna Administrador de Bases de Datos - Datacredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Registrar nombre completo del cargo en la siguiente columna Analista de Proyectos - DataCredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Medios Opticos: CD CD - Utilidades Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
Medios Opticos: DVD DVD - Medios de Instalación Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto
70
Anexo 1. Inventario de Activos de Información (Continuación)
Fuente: autores
Manuales de Usuario Manuales de Usuario de herramientas Rational Gerente de infraestructura tecnologica Interno 3-Medio 2-Baja 2-Baja 2-Baja
Documentación del SistemaManuales de instalación a la medida de DataCrédito de
herramientas RationalGerente de infraestructura tecnologica Interno 3-Medio 2-Baja 3-Medio 3-Medio
Material de CapacitaciónPresentaciones de capacitación sobre los procesos y
funcionalidades implementadas en las herramientas RationalGerente de infraestructura tecnologica Interno 3-Medio 2-Baja 3-Medio 3-Medio
Documentación del Sistema Plan Integral Backup ClearCase Gerente de infraestructura tecnologica Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Procedimientos de Operación o de Apoyo Documento Criterios Calidad Proceso PQA Gerente de infraestructura tecnologica Interno 2-Baja 2-Baja 2-Baja 2-Baja
Procedimientos de Operación o de ApoyoDocumentos Actividades Administrativas del Administrador
de Procesos de TcenologíaGerente de infraestructura tecnologica Confidencial 2-Baja 2-Baja 2-Baja 2-Baja
Procedimientos de Operación o de Apoyo Registro de revisiones PQA y estadísticas. Gerente de infraestructura tecnologica Interno 3-Medio 2-Baja 2-Baja 3-Medio
Manuales de UsuarioInstructivos de operación de todos los procesos del Área de
procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Procedimientos de Operación o de ApoyoProcesos del Área de Procesamiento y documentación de
los mismos, publicados en AlfrescoDirector de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Procedimientos de Operación o de Apoyo Plan de procesamiento Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 3-Medio
Procedimientos de Operación o de Apoyo Estadísticas e indicadores de la Dirección de Procesamiento Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 3-Medio
Documentación del Sistema
Documentación Políticas de Respaldo y Restauración.
Contiene los archivos con los inventarios de backups y las
políticas de ejecución de backups de contingencia.
Director de Procesamiento Interno 4-Alto 4-Alto 4-Alto 4-Alto
Documentación del SistemaDocumentación Entrega de Información - Secure Transport,
publicado en AlfrescoDirector de Procesamiento Interno 3-Medio 3-Medio 3-Medio 3-Medio
Procedimientos de Operación o de Apoyo
Formatos utilizados en la dirección como órdenes de
proceso, registro de control de procesamiento, solicitud de
backups y restauración.
Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 2-Baja
Procedimientos de Operación o de Apoyo Políticas de Procesamiento. Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 2-Baja
Información Almacenada
Información almacenada en los servidores de producción:
batch y procesos especiales DRP utilizada para la ejecución
de los procesos
Director de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 3-Medio 4-Alto
Información AlmacenadaInformación almacenada en el servidor de producción línea
DRPDirector de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Información AlmacenadaInformación almacenada en el servidor de producción línea
ColombiaDirector de Procesamiento - Custodio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Información Almacenada
Información almacenada en los servidores de producción:
batch y procesos especiales Colombia utilizada para la
ejecución de los procesos
Director de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Archivos Almacenados en Computadores
Documentación de instructivos, procesos, políticas, formatos,
inventario de backups. Almacenados en PC del Director del
Área
Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Archivos Almacenados en Computadores Documentos en PC dl Supervisor de Procesamiento. Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Archivos Almacenados en ComputadoresInventario de backups en PC de Producción a cargo de
operador de procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Archivos Almacenados en Computadores PST Outlook. Almacenados en PC del Director del Área Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Archivos Almacenados en ComputadoresPST Outlook. Almacenados en PC dl Supervisor de
Procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Archivos Almacenados en ComputadoresPST Outlook. Almacenados en PC de Producción a cargo de
operador de procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja
Medios Opticos: DVD115 DVD con recogidas de datos históricos de facturación,
DB2 Datauditor, DBF (Byington)Director de Procesamiento Confidencial 2-Baja 4-Alto 3-Medio 4-Alto
Medios Opticos: CD145 CD con recogidas de datos históricos de facturación,
Datauditor Director de Procesamiento Confidencial 2-Baja 4-Alto 4-Alto 4-Alto
Medios Magnéticos: Cintas
250 Cartridges LT03 y 30 LTO4 con recogidas de datos
históricos mensuales, retención infinita en centro de cómputo
y 20 en LTO4 en custodia externa que van rotando para
custodia en C.C.
Director de Procesamiento Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Medios Magnéticos: Cintas Cartridges LTO3 y LTO4 vacíos en stock Director de Procesamiento Interno 4-Alto 2-Baja 4-Alto 2-Baja
Registrar nombre completo del cargo en la siguiente columna Operador de Procesamiento - 7 personas Director de Procesamiento Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Registrar nombre completo del cargo en la siguiente columna Supervisor de Procesamiento Director de Procesamiento Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
72
Anexo 2. Operaciones- Inventario de Activos de Información (Continuación)
Activos de Información Archivos Almacenados en Computadores 7.Cancelación Incremento Anual DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores 8.Anulación Vinculación DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores 9.Cancelación por Liquidación DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores PST Correo- Almacenado Computador Agente Servicio al Cliente. DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST Correo- Almacenados Computador Director - Servicio al
Cliente.DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Documentación del Sistema Documentos Informativos con las politicas de acuerdo al Proceso. DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: CPU Computador -Dirección Servicio al Suscriptor DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Otros medios Equipos de Telecomunicaciones (BlacK Berry 3) DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Medios Magnéticos: Discos Discos - Backup Facturación DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo - Dirección de Servicio al Suscriptor - DataCredito Cargo- Vp de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo- Coordinador de Servicio al Sucriptor Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo-Analistas de Servicio al Suscriptor (4) Cargo-Coordinador de Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo- Analista de Facturación Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo -Analista de Cobranza Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo - Analista Senior de Servico al suscriptor (2) Cargo-Coordinador de Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Cargo -Agentes de servicio al Sucriptor (3) Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST almacenados en los Equipos de cada Usuario
correspondientes a los años 2010,2011,2012Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de Apoyo Macro crear archivo de prender y apagar campos Vicepresidencia de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de Apoyo Macro para conversión de archivo plano a Excel Vicepresidencia de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Procedimientos de Operación o de Apoyo Macro de Errores Facilidat Vicepresidencia de Operaciones-Propietarios ConfidenciaL 2-Baja 3-Medio 2-Baja 2-Baja
Activos de Información Procedimientos de Operación o de ApoyoMacros de Conversión archivos de modificación de endeudamiento
trimestralVicepresidencia de Operaciones-Propietarios ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Procedimientos de Operación o de Apoyo Macro "Planilla Consolidados" Vicepresidencia de Operaciones-Propia ConfidenciaL 1-Muy bajo 1-Muy bajo 2-Baja 2-Baja
Activos de Información Procedimientos de Operación o de Apoyo Alistamiento diario (Planillas) Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de Apoyo Archivo para validación de códigos Vicepresidencia de Operaciones-Propia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Procedimientos de Operación o de Apoyo Archivo de prender y apagar campos diario Vicepresidencia de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de ApoyoArchivos de entrada y salida de los procesos de calidad (Todos los
segmentos)Vicepresidencia de Operaciones-Custodios ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Manuales de Usuario Manuales varios de entrega de información Vicepresidencia de Operaciones ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Bases de Datos contactos de clientes Vicepresidencia de Operaciones-Propias ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en Computadores Relación de usuarios ST y RAI Vicepresidencia de Operaciones ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos o Documentos en Papel Formatos varios para solicitud de claves Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos o Documentos en Papel formatos entrega de correspondencia Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en Computadores comparativos mensuales de cierre Vicepresidencia de Operaciones-Propio Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de Apoyo Formato Validar Certificaciones de Estructura General Vicepresidencia de Operaciones-Propios ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos o Documentos en Papel Documentos Físicos enviados por entidades Vicepresidencia de Operaciones-Custodia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Procedimientos de Operación o de ApoyoFORMATO FINAL - MAESTRO DE CARTERA - PRUEBAS
FACILIDAT A PLANOVicepresidencia de Operaciones-Propios Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en Computadores Resultados Nueva Estructura Vicepresidencia de Operaciones ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Manuales de Usuario Estructuras manuales cifin / procesos de conversión Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Información Almacenada Archivos HSBC Vicepresidencia de Operaciones-Custodia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Procedimientos de Operación o de ApoyoBase de Datos Acces para generación de informes y administración
de Información de calidadVicepresidencia de Operaciones-Propio Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Procedimientos de Operación o de Apoyo Archivos de Validación Extracupos VISA y MASTERCARD Vicepresidencia de Operaciones-custodia ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Software Software Utilitario Validador de archivos para certificaciones Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Personas Registrar nombre completo del cargo en la siguiente columna Director de Calidad e Implementaciones Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de Calidad de la información Director de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columnaEjecutivos de soporte y Servicio Regional ( Cali, Barranquilla,
Medellin, Bogotá) en total son 5
Director de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analista de calidad SéniorDirector de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analista de calidad Director de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analistas de implementaciones 3Director de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de implementaciones 1Director de Calidad de Información e
implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores archivos con claves de produccion encriptadas 136VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioRestringido 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores archivos con claves produccion FTP encriptadas 18VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioRestringido 2-Baja 2-Baja 2-Baja 2-Baja
73
Anexo 2. Operaciones- Inventario de Activos de Información (Continuación)
Activos de Información Archivos Almacenados en Computadores Archivos con Planillas de proyectos 38VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores archivos de informes de seguimiento y controlVP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Archivos Bases de identificaicones en ambiente de pruebasVP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Formatos Actas de incio de Proyectos 101VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Formatos configuracion VPN de cliente 77VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores formatos de certificacion de proyectos clientes 373VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Formatos de contratacion de canales con clientes 18VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Formatos de Evaluacion de DesempeñoVP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en ComputadoresFormatos de Parametrizaciones DCIFRA-DECISOR-EVIDENTE-
WAP
VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Manuales de Usuario manuales de implementacion de proyectos y productos 34VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Manuales de UsuarioManuales desarrollo Web Service y Datahost diferentes versiones
174
VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Material de Capacitación Presentaciones de servicios y productos 43VP OPERACIONES - DIR. CALIDAD E
IMPLEMENTACIONES ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en ComputadoresCall center - guarda información de registro de los usuarios que se
comunican por la linea inbound
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Manuales de UsuarioCall center - acceso a la intranet de operaciones - documentacion
completa de procesos
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Call center - presentaciones descripcion de productos y serviciosVicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Información AlmacenadaCall center - informacion de clientes - historico de llamadas -
grabaciones
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Información AlmacenadaCall center - bases de datos con informacion de clientes utilizada en
campañas out bound
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Procedimientos de Operación o de ApoyoCall center - Correo electronico - SCIU es el responsable de la
cuenta - pero la administración esta a cargo de Atento
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos o Documentos en PapelCAS - soportes de consultas realizadas por terceros - planillas
relacion de documentos
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores
PST correo Computador – Dirección Servicio al Ciudadano CAS -
Archivos con documentacion escaneada por soportes de derechos
de petición y TUTELAS - correo elecronico
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Medios Opticos: CDDiscos CD contenido grabacion de llamadas / guardados en
escritorio
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Software Software UtilitarioCAS - Sistema biometrico - informacion almacenada Direccion de
infraestructura tecnologica
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Medios Opticos: DVD Dispositivos Biometricos Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Respuestas a solicitudes de información por entidades estatalesVicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Respuestas a solicitudes de clientes Vicepresidencia de Operaciones Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Procedimientos de Operación o de Apoyo Informes de Servicio Vicepresidencia de Operaciones Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Archivos pagos por consignación vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Archivo Pólizas antifraude vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Matrices de Servicio Vicepresidencia de Operaciones Confidencial 4-Alto 3-Medio 3-Medio 3-Medio
Activos de Información Archivos o Documentos en Papel Procesos Servicio al Cliente Midatacredito Vicepresidencia de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Cancelaciones pagos recurrentes vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos o Documentos en Papel Comunicaciones clientes escritas vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Guiones Clientes vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Reversión de pagos vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Casos de fraude vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Gestión de Bienvenida vicepresidencia de Operaciones - custodios Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – Dirección Servicio al Ciudadano Vicepresidencia Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Software Software Utilitario Aplicativo Novedat Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos o Documentos en Papel Formatos soportes de solicitudesVicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 1-Muy bajo 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – Dirección Servicio al Ciudadano -
[email protected] y funcionarios del Back CAS
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
74
Anexo 2. Operaciones- Inventario de Activos de Información (Continuación)
Fuente: autores
Activos Físicos Equipo de Cómputo: CPUEquipos asignados para uso exclusivo de cada usuario autorizado
en el area
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete para los insumos requeridos para la operaciónVicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Medios Opticos: CD Información Entregada por proveedores Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinete para almacenamiento de documentos fisicos tramitados
por el area
Vicepresidencia de Operaciones - Dirección de
Servicio al Ciudadano Interno 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Software Software Utilitario Bizagi - Comunicaciones escritas Vicepresidencia de Operaciones - custodio Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Software Software Base Flujo de Trabajo programado a través de SharepointVicepresidencia Operaciones / Dirección
Servicios PersonalizadosRestringido 5-Muy alto 5-Muy alto 3-Medio 4-Alto
Activos de Software Software de Seguridad PGP Dirección Servicios Personalizados Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 4-Alto
Activos de Software Software Base Secure Transport Dirección Servicios Personalizados (Custodio) Restringido 4-Alto 4-Alto 2-Baja 4-Alto
Activos de Información Archivos Almacenados en Computadores Información enviada por los suscriptores para procesar Dirección Servicios Personalizados (Custodio) Restringido 5-Muy alto 5-Muy alto 2-Baja 4-Alto
Activos de Software Software UtilitarioMacro, plantillas y bases de datos existentes para generar
procesos (in house) PAMDirección Servicios Personalizados Confidencial 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto
Activos de Información Información Almacenada Información procesada y enviada a los clientes Dirección Servicios Personalizados Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto
Activos Físicos Medios Opticos: CDPreparación de CD'S para la entrega de información a los
suscriptoresDirección Servicios Personalizados (Custodio) Confidencial 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto
Activos de Información Archivos o Documentos en PapelTodos los requerimientos que nos llegan por parte de los clientes
para nuevos scores o ajuste de los mismosDirección Servicios Personalizados (Custodio) Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto
Activos de Información Otros medios
Documentos realizados para subir a la Intranet para conocimiento
general de la gente que tiene acceso a la parte de Scores en Linea
de intranet de la empresa
Dirección Servicios Personalizados Confidencial 5-Muy alto 5-Muy alto 3-Medio 2-Baja
Activos de Software Software Utilitario Software (in house) hecho tanto PE y PAM para pruebas de clientes Dirección Servicios Personalizados Restringido 3-Medio 3-Medio 2-Baja 2-Baja
Activos de Información Archivos Almacenados en ComputadoresRequerimientos, scripts de pruebas, archivos de resultados,
soportes, investigaciones y extraccionesDirección Servicios Personalizados Interno 3-Medio 4-Alto 2-Baja 2-Baja
Activos de Información Archivos Almacenados en ComputadoresEquipo de Dirección de Servicios Personalizados (información de
Clientes)Dirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores PST correos de la Dirección de Servicios Personalizados Dirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja
Activos de Información Archivos Almacenados en ComputadoresPST correos de coordinadores y analistas de la Dirección de
Servicios PersonalizadosDirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja
Personas Registrar nombre completo del cargo en la siguiente columna Directora de Servicios Personalizados Vicepresidencia de Operaciones Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Coordinadora de Procesos Estandar Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analistas (2) de Procesos Estandar Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de PAM Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analistas (2) PAM Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
76
Anexo 3. Mercadeo- Inventario de Activos de Información (Continuación)
Activos de Información Manuales de Usuario Manuales productos Batch Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Material de CapacitaciónPresentaciones genericas para capacitaciones de productos
batchGerente Inteligencia de Negocios Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Información Almacenada PST del correo Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Bases de Camara de Comercio y supersociedadesGerente Inteligencia de Negocios -
CustodioConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresArchivos de presupuesto y planeación entregados a la
Vicepresidencia de Mercadeo.
Gerente Inteligencia de Negocios -
CustodioConfidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosArchivo de presentaciones impresas que hacen referencia a
Estudios y productos.Gerente Inteligencia de Negocios Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento batch y almacenamiento de
información a cargo del Análisita Batch.Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto
Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento y almacenamiento de información a
cargo del Gerente de Inteligencia de negocios.Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento y almacenamiento de información a
cargo de Director de Inteligencia de negocios.Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento y almacenamiento de información a
cargo de Análista de Inteligencia de negocios.Gerente Inteligencia de Negocios Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento y almacenamiento de información a
cargo de Análista de Inteligencia de negocios.Gerente de Inteligencia de Negocios Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Gerente Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Analista Batch Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Director Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Analista Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Analista Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Software Software del CORE Copias programas/rutinas desarrolladas o en desarrollo Gerente de innovación Confidencial 3-Medio 3-Medio 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en ComputadoresCopia de archivos del core utilizados para análisis desarrollos
o investigacionesGerente de innovación Confidencial 3-Medio 3-Medio 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en ComputadoresInformacion en general de gestion como gerencia de
tecnología hasta 2007Gerente de innovación Interno 2-Baja 3-Medio 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en ComputadoresControl de cumplimeinto de SGDs, propuesta,evaluacion,
informacion involucrada en el cumplimeinto de objetivosGerente de innovación Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del gerente de innovacion Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio
Activos de Información Otros medios Blackberry - Gerente de innovacion Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la gerencia de innovacion Gerente de innovación Confidencial 3-Medio 4-Alto 2-Baja 2-Baja
Activos Físicos Equipo de Cómputo: CPU Computador de la gerencia de innovación Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en ComputadoresBackup gerencia de innovación realizada por sistemas
internos automáticamenteGerente de innovación Confidencial 4-Alto 3-Medio 3-Medio 2-Baja
Activos de Información Archivos Almacenados en ComputadoresDocumentos de soporte de la metodología del área de
desarrollo de NegocioGerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentos de especificación de soluciones por cliente Gerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentos de especificación de soluciones por cliente Director de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentación de soporte de los proyectos Gerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentación de soporte de los proyectos Director de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Material de CapacitaciónMetodología de Desarrollo de Negocio (presentación en
Power Point)Gerente de Desarrollo de Negocio Interno 3-Medio 3-Medio 4-Alto 3-Medio
Activos de Información Material de CapacitaciónEsquemas de soluciones para Adquisición, Mantenimiento y
Cobranzas (presentación en Power Point)Gerente de Desarrollo de Negocio Interno 3-Medio 3-Medio 4-Alto 3-Medio
Activos Físicos Equipo de Cómputo: CPU Computador DELL Director de Desarrollo de Negocio (2) Director de Desarrollo de Negocio (2) Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos Físicos Equipo de Cómputo: CPUComputador Renta Sistemas Gerente de Desarrollo de
NegocioGerente de Desarrollo de Negocio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Escritorio y Gabinete Gerente de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Escritorio y Gabinete Director de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Director de Desarrollo de Negocio (2) Gerente de Desarrollo de Negocio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna Gerente de Desarrollo de Negocio Vicepresidente de Mercadeo Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Otros medios Blackberry - Gerentes Mercadeo Scores Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Gerente de Desarrollo
de NegocioVicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
77
Anexo 3. Mercadeo- Inventario de Activos de Información (Continuación)
Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Director de Desarrollo
de NegocioGerente de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Inventario de campañas Dirección de comunicaciones Público 3-Medio 2-Baja 2-Baja 2-Baja
Activos de Información Manuales de Usuario Manual de marca DataCrédito Dirección de comunicaciones Interno 4-Alto 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Documentación cambio de marca Experian Dirección de comunicaciones Interno 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Archivos Almacenados en Computadores Briefs de campaña Dirección de comunicaciones Público 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Archivos Almacenados en Computadores Investigaciones servicio, marca y producto Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Logotipos de producto Gerentes de producto Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Información Almacenada Informes consolidados de capacitación virtual Dirección de comunicaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Software Software Utilitario Plataforma cisco weebex Dirección de comunicaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Información Almacenada Informacion consolidada inteligencia competitiva Dirección de comunicaciones Interno 4-Alto 3-Medio 2-Baja 3-Medio
Activos de Información Archivos Almacenados en Computadores Base de datos email marketing Dirección de comunicaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Información Almacenada Actualizacion de contenidos pagina web DataCrédito Dirección de comunicaciones Interno 3-Medio 2-Baja 3-Medio 3-Medio
Activos de Información Otros medios Material promocional marcas Dirección de comunicaciones Interno 3-Medio 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Inventarios de eventos Dirección de comunicaciones Interno 3-Medio 2-Baja 2-Baja 2-Baja
Personas Registrar nombre completo del cargo en la siguiente columna Analista de comunicaciones Dirección de comunicaciones Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Otros medios Blackberry Dirección de comunicaciones Confidencial 3-Medio 2-Baja 3-Medio 2-Baja
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete Dirección de comunicaciones Confidencial 2-Baja 2-Baja 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPU Computador Dirección de comunicaciones Confidencial 3-Medio 4-Alto 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete Dirección de comunicaciones Confidencial 2-Baja 2-Baja 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPU Computador Dirección de comunicaciones Confidencial 3-Medio 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Estructura de personal y compensación Dirección Scores Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Indicadores Seguimiento mensual Productos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Manuales de Usuario Manuales de Productos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Presentaciones de Productos Director Mercadeo Scores Público 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Requerimientos para Operaciones Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Planes de Inversión Proyectos de Dllo de Nuevos Pdtos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresDocumentación Dllo Pdtos para Aceptación e
Implementación (recibida a Decision Analytics)Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos Físicos Medios Opticos: DVDDVD con Documentación Final de Dllo Pdtos (recibida a
Decision Analytics)Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Formatos para Operación de Nuevos productos Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en ComputadoresCronogramas y seguimiento a Proyectos de Dllo de Nuevos
PdtosDirector Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Actas seguimiento Proyectos de Dllo de Nuevos Pdtos Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Material de Capacitación Presentaciones Pdtos con análisis información clientes Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Tablas de Validación Genéricas de Seguimiento Director Mercadeo Scores (Custodio) Público 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Tablas de Validación Clientes Director Mercadeo Scores (Custodio) Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Bases para calificación Scores de clientes Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Archivos con análisis y estudios clientes Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Director Mercadeo Scores Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Director Mercadeo
ScoresVicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
78
Anexo 3. Mercadeo- Inventario de Activos de Información (Continuación)
Fuente: autores
Activos de Información Archivos Almacenados en ComputadoresEstructura de personal y compensación Gerente Producto
Decisor+Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Indicadores Seguimiento mensual Productos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Manuales de Usuario Manuales de Productos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Presentaciones de Productos Gerente Producto Mercadeo Decisor+ Público 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Requerimientos para Operaciones Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Requerimientos para IT Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Planes de Inversión Proyectos de Dllo de Nuevos Pdtos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresDocumentación Dllo Pdtos para Aceptación e
ImplementaciónGerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Formatos para Operación de Nuevos productos Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en ComputadoresCronogramas y seguimiento a Proyectos de Dllo de Nuevos
PdtosGerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Actas seguimiento Proyectos de Dllo de Nuevos Pdtos Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Politicas de Clientes para desarrollo de estrategias Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en ComputadoresArchivos de pruebas y formatos de ceritificación paso a
producción Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Gerente de Producto
Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Otros medios Blackberry - Gerente Producto Mercadeo Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente Producto Mercadeo Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columnaGerente Producto Mercadeo Decisor+
Director Mercadeo Prodcuto Decisor+Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Requisicion analista producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Soporte y presentaciones seguimiento mensual Producto Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Manuales de Usuario Manuales de Productos Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Presentaciones de Productos Gerente Producto Evidente Público 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Manuales de Usuario Manual de WS Gerente Producto Evidente (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Procedimientos de Operación o de Apoyo Instructivos internos de funcionamiento del producto Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Requerimientos para Tecnologia Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresDocumentación de Scripts de pruebas realizadas para
certificacionGerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Formatos Parametrizacion Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Actas seguimiento revision de producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Material de Capacitación Tips de uso de evidente Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresTablas de Validación Genéricas de Evidente Financiero y
TelcosGerente Producto Evidente (Custodio) Público 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Informes de seguimiento a clientes Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Base de Fraude Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Gerente de producto Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Analista de producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del Gerente de Producto Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del Analista de Producto Gerente Producto Evidente Confidencial 4-Alto 3-Medio 3-Medio 3-Medio
Activos de Información Otros medios Blackberry - Gerente Producto Evidente Gerente Producto Evidente Confidencial 4-Alto 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosInformacion de analisis e investigaciones almacenados en
Cajas de carton en la oficina (no hay gabinetes disponibles)Gerente Producto Evidente Interno 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Archivos Almacenados en Computadores Informacion de planeacion de la gerencia Gerente Producto Evidente Confidencial 5-Muy alto 1-Muy bajo 4-Alto 4-Alto
80
Anexo 4. Estratégicos - Inventario de Activos de Información (Continuación)
Activos de Información Material de Capacitación Presentacion con info confidencial clientes Gerente Regional Antioquia Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Manuales de Usuario Manuales de productos Gerente Regional Antioquia Custodio Público 4-Alto 2-Baja 3-Medio 3-Medio
Activos de Información Archivos o Documentos en Papel Correspondencia enviada y recibida de clientes Gerente Regional Antioquia Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Software Software de Consulta No Facturables Clave de consultas para demostracion a clientes Gerente Regional Antioquia Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos Físicos Equipo de Cómputo: CPU Equipo personal y de la Regional Gerente Regional Antioquia Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Key Account Manager (2) Gerente Regional Antioquia Interno 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar Administrativa Gerente Regional Antioquia Interno 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar CAS Gerente Regional Antioquia Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST Correo Computador Gerente Regional Antioquia Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores PST Correo Computador Key Account Manager (2) Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores PST Correo Computador Auxiliar Administrativa Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Gerente Regional Antioquia Gerente Regional Antioquia Interno 2-Baja 4-Alto 4-Alto 3-Medio
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberrys Key Account Managers (2) Gerente Regional Antioquia Interno 2-Baja 4-Alto 4-Alto 3-Medio
Activos de Información Archivos o Documentos en Papel Documentos - respuestas a clientes Gerente Regional Antioquia Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Archivos Almacenados en ComputadoresFormato propuesta de vinculacion clientes, formatos de
vinculacion de clientes, hojas de ruta, Director Regional Costa y Oriente- Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores
Solicitudes procesos clientes, copia archivo de salida de
productos, bases de datos de los procesos solicitados por
clientes, informacion confidencial desarrollo Filtros de
Politicas de clientes,
Director Regional Costa y Oriente- Custodio Confidencial 5-Muy alto 5-Muy alto 3-Medio 5-Muy alto
Activos de Información Material de CapacitaciónPresentaciones de capacitación sobre producto especificos
para clientesDirector Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Manuales de UsuarioManuales de productos, Supervisor WAP, Decisor, entre
otros.Director Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos o Documentos en PapelFolderes con copia de las hojas de vida de los funcionarios,
temas administrativos de la Regional. Director Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: Portátiles Equipo de computador asignado a la Regional Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado al KAM Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado al cargo. Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado a la Auxiliar Administrativa Director Regional Costa y Oriente Interno
Activos Físicos Equipos de Comunicaciones: ConmutadoresEquipo de Blackberry asignado a la Directora Regional y a la
KAM NorteDirector Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Director Regional Costa y Oriente Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Kam Norte Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar Administrativo Regional Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo de los Computadores –
Integrantes Regional Costa y OrienteDirector Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Documentos copias de contratos clientes Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Directora Regional Eje Cafetero Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Otros mediosCorreo Web correspondiente a Oficina Virtual de la Dirección
Regional Eje CafeteroDirectora Regional Eje Cafetero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Presentación de productos Directora Regional Eje Cafetero - Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: Portátiles Portatil e Impresora asignado al cargo Directora Regional Eje Cafetero - Custodio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Directora Regional Eje Cafetero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Directora Regional Eje Cafetero Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Presentación de productos Directora Regional Oriente - Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Otros mediosCorreo Web correspondiente a oficina virtual Directora
Regional OrienteDirectora Regional Oriente - Custodio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Directora Regional Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Directora Regional Oriente Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna key Account Manager Directora Regional Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
81
Anexo 4. Estratégicos - Inventario de Activos de Información (Continuación)
Fuente: autores
Activos de Información Material de Capacitación Presentacion a clientes de los productos Gerente Regional Occidente Interno 3-Medio 2-Baja 3-Medio 4-Alto
Activos Físicos Equipo de Cómputo: CPU Equipo de Computo CPU asignado a la Gerencia Regional Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- Asignado a la Gerencia Regional Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Presupuesto vs. Cumplimiento de metas Vp de Segmento estrategico Interno 3-Medio 3-Medio 2-Baja 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Gerente Regional Occidente Vp de Segmento estrategico Confidencial 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – Gerente Regional Occidente Gerente Regional Occidente Confidencial 3-Medio 4-Alto 3-Medio 4-Alto
Activos Físicos Equipo de Cómputo: PortátilesComputador portatil para uso de todos los funcionarios de la
RegionalGerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 2-Baja
Activos de Información Archivos Almacenados en Computadores Presentacion propuestas especificas a clientes Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete de la Gerencia Regional Occidente Gerente Regional Occidente Confidencial 2-Baja 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Gerente Regional Occidente Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Material de Capacitación Presentación de productos Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPU computador - KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Manuales de los productos Gerente Regional Occidente Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST CORREO COMPUTADOR-KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Gerente Regional Occidente Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Material de Capacitación Presentación de productos Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPU computador - KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Material de Capacitación Manuales de los productos Gerente Regional Occidente Interno 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST CORREO COMPUTADOR-KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
83
Anexo 5. Empresas- Inventario de Activos de Información (Continuación)
Activos de Información Archivos Almacenados en Computadores Consolidado de Acuerdos Comerciales GERENTE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Consolidado de CancelacionesGERENTE DE DESARROLLO DE CLIENTES
Interno de Experian 2-Baja 2-Baja 2-Baja 4-Alto
Activos de Información Archivos Almacenados en Computadores Contratos con proveedoresVICEPRESIDENCIA JURIDICA
GERENTE DE VENTAS (Custodio)Interno de Experian 4-Alto 2-Baja 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Control de envío y firma de contratos de clientes GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Control de excepciones por mes GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Control de gastos del Segmento VICEPRESIDENCIA DE PLANEACIÓN Interno de Experian 4-Alto 4-Alto 4-Alto 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna COORDINADOR REGIONAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna DIRECTOR DESARROLLO CLIENTES VICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentación soporte Vinculaciones GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documento Mejoras Bizagi DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documento Mejoras Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documento Mejoras SAP DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentos Procesos del Segmento DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentos soporte de cambios de planes tarifarios GERENTE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna EJECUTIVO DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Estructura de archivos de prospección y otras de Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Formatos de autorización de Novedat VICEPRESIDENCIA SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 3-Medio
Activos de Información Archivos Almacenados en Computadores Formatos modelo de VinculacionesGERENTE DE VENTAS
COORDINADOR REGIONAL - (Custodio)Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – GERENTE DE VENTAS GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – COORDINADOR REGIONAL GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – DIRECTOR DESARROLLO
COMERCIALDIRECTOR DE DESARROLLO COMERCIAL Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – GERENTE DE DESARROLLO
COMERCIALGERENTE DE DESARROLLO COMERCIAL Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – VICEPRESIDENTE SEGMENTO
EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Personas Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – GERENTE DE VENTAS VICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
Personas Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – GERENTE DESARROLLO
CLIENTESVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresGestión de casas de cobranzas
VICEPRESIDENCIA ADMINISTRATIVA Y
FINANCIERA Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Material de Capacitación Guiones de Venta GERENTE DE VENTAS Interno de Experian 4-Alto 2-Baja 2-Baja 3-Medio
Activos de Información Archivos Almacenados en ComputadoresHojas de vida de ejecutivos y candidatos
GERENTE DE VENTAS Interno de Experian 3-Medio 4-Alto 3-Medio 2-Baja
Activos de Información Archivos Almacenados en ComputadoresImágenes de Campañas
VICEPRESIDENCIA DE MERCADEO
GERENTE DESARROLLO DE CLIENTES
(Custodio)
Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en ComputadoresInformación Comités de Gerentes
VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Información de lineamientos comerciales, campañas y políticas GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Archivos Almacenados en ComputadoresInformación de Notas Crédito
VICEPRESIDENCIA ADMINISTRATIVA Y
FINANCIERA - SAP Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Información de presupuesto del Segmento VICEPRESIDENCIA DE PLANEACIÓN Interno de Experian 4-Alto 4-Alto 4-Alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Información de SGD VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Información histórica de Legalizaciones de Contratos GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Información histórica de productividad en ventas GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Informes de Verificación de Clientes (IVE) GERENTE DE VENTAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Material de Capacitación Instructivo Ayuda VentasGERENTE DE VENTAS
Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Inventario de Activos de Información DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Material de Capacitación Manual de uso Data Loader DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 3-Medio 3-Medio
84
Anexo 5. Empresas- Inventario de Activos de Información (Continuación)
Fuente: autores
Activos de Información Material de Capacitación Manual de usuario Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Modelo de Operación Canal masivo DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Modelo financiero de nuevos proyectos GERENTE DE VENTAS Interno de Experian 4-Alto 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Modelos de oferta comercial GERENTE DE VENTAS Confidencial de Experian 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Ofertas Comerciales para el clienteGERENTE DE VENTAS - Bizagi
COORDINADOR REGIONAL - (Custodio)Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Planeación Estratégica VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 5-Muy alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Política de administración de clientes GERENTE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Política de Cambios de Estado VICEPRESIDENCIA DE OPERACIONES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Política de cancelaciones VICEPRESIDENCIA DE OPERACIONES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Política de Entrega de InformaciónVICEPRESIDENCIA DE OPERACIONES
Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Política de ventas GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Material de Capacitación Presentación Comités de Operaciones DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Presupuesto de VentasGERENTE DE VENTAS
Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – ANALISTA COMERCIAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – ANALISTA SENIOR SEGMENTO
EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – COORDINADOR REGIONAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – DIRECTOR DESARROLLO
COMERCIALDIRECTOR DE DESARROLLO COMERCIAL Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – EJECUTIVO DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – GERENTE DE DESARROLLO
COMERCIALGERENTE DE DESARROLLO COMERCIAL Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PST correo Computador – GERENTE DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – VICEPRESIDENTE SEGMENTO
EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Reporte de InformaciónVICEPRESIDENTE SEGMENTO EMPRESAS
Confidencial de Experian 4-Alto 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Tableros de control - Prospección y ventasGERENTE DE VENTAS
Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Tableros de control Cambios de EstadoGERENTE DESARROLLO DE CLIENTES
Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Tableros de control de Desarrollo de Clientes GERENTE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Archivos Almacenados en Computadores Tableros de Control del SegmentoVICEPRESIDENTE SEGMENTO EMPRESAS
Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna VICEPRESIDENTE SEGMENTO EMPRESAS VICEPRESIDENTE DATACREDITO Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto
86
Anexo 6. MIDA- Inventario de Activos de Información (Continuación)
Activos de Información Información AlmacenadaDocumenta los casos de investifgación y soporte que se le
evían al porveedor de desarrollo.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Información AlmacenadaContrato con proveedor al cual se le hicieron observaciones y
comentarios relacionados con tecnología.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Procedimientos de Operación o de ApoyoPrueba las fórmulas de los simuladores de Capacidad de
Endeudamiento.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Procedimientos de Operación o de ApoyoFormato de describe los cambios de configuración que se
solicitan a Infraestructura.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información AlmacenadaDescripción funcional propuesta del nuvo flujo de ingreso a
MiDC.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Documentación del SistemaDescripción de la funcionalidad de Renovación Automática en
la página de MiDC y el Módulo Administrativo.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Documentación del SistemaScript que inserta notificaciones a un identificación en el
ambiente de desarrollo para pruebas.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información AlmacenadaDescripción del proyecto de implementación de nuevo firewall
VSX para MiDC.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Documentación del Sistema Números de tarjetas de prueba de Pagos OnLine. Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Procedimientos de Operación o de Apoyo Formato de orden de proceso para Procesamiento. Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información AlmacenadaResultado de las pruebas post catalogación de una puesta
en producción asociada a un CQ determinado.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información Almacenada
Resultado de las pruebas funcionales de MiDC después de
una ventana de mantenimiento ejecutada en una fecha
determinada.
Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información Almacenada
Script de pruebas de sistema ejecutadas por el desarrollador,
asociadas a un CQ determinado y que se deben adjuntar
como parte de la documentación.
Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información Almacenada
Script de pruebas funcionales ejecutadas por el usuario,
asociadas a un CQ determinado y que se deben adjuntar
como parte de la documentación.
Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información Almacenada
Formato de reporte y seguimiento de incidentes que se
presenta en el Comité Operativo con cierre a un afecha
determinada.
Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Procedimientos de Operación o de Apoyo Reportes Mensuales de Negocio Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 2-Baja
Activos de Información Procedimientos de Operación o de Apoyo Reportes Diarios de Negocio Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 2-Baja
Activos de Información Procedimientos de Operación o de Apoyo Estudios de Mercadeo Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de Apoyo Modelo Segmentación de Clientes Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto
Activos de Información Información Almacenada Back-up Bases de campañas Gerente midatacredito Confidencial 4-Alto 4-Alto 2-Baja 2-Baja
Activos de Información Información Almacenada Presupuesto 2012-2016 Gerente midatacredito Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Procedimientos de Operación o de ApoyoDiseño de Producto: herramientas, contenido, análisis,
diseño gráfico.Gerente midatacredito Confidencial 4-Alto 4-Alto 3-Medio 3-Medio
Activos de Información Información AlmacenadaInformación de Proveedores: acuerdos de confidencialidad,
cotizaciones, ordenes de compra.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Conversaciones de Chat midatacredito Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Correos recibidos de clientes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Encuestas de servicio Gerente midatacredito Confidencial 4-Alto 2-Baja 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Archivos pagos por consignación Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Archivo Pólizas antifraude Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Cancelaciones pagos recurrentes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos o Documentos en Papel Comunicaciones escritas clientes Midatacredito Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Guiones Clientes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Reversión de pagos Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Casos de fraude Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Gestión de Bienvenida Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
88
Anexo 7. Jurídica - Inventario de Activos de Información (Continuación)
Activos de Información Archivos Almacenados en Computadores Computador CPU – VP Personas Juridicas VP Personas Juridicas Confidencial 4-Alto 3-Medio 5-Muy alto 5-Muy alto
Activos Físicos Equipo de Cómputo: Portátiles Componentes Infraestructura Tecnológica (2) Analista Proyectos Internos Expert Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos Físicos Medios Opticos: CD CD - Utilidades Analista Proyectos Internos Expert Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 5-Muy alto
Activos Físicos Medios Opticos: DVD DVD - Instalación Sistema Operativo Analista Proyectos Internos Expert Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 5-Muy alto
Activos Físicos Medios Magnéticos: Discos Discos - Backup Analista Proyectos Internos Expert Confidencial 5-Muy alto 5-Muy alto 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos A-Z Contabilidad Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Contratos de Clientes y Proveedores Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Carpetas de Informes Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Vicepresidente de Personas Juridicas VP Datacredito Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Gerente Administrativa y de Operaciones - Byington VicePresidente de Personas Juridicas Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Gerente de Ventas - Byington VicePresidente de Personas Juridicas Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Analistas de sistemas - Byington VicePresidente de Personas Juridicas Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Contadora - Byington Gerente Administrativa y de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Asistente Administrativa - Byington Gerente Administrativa y de Operaciones Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columnaPerfil Cargo - Coordinadoras (Investigacion y Analisis, Camara, Control de
Calidad) - ByingtonGerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Analistas (Investigacion, Digitación) - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Referencistas - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Asistentes (Calidad y Envios, Radicacion) - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Traductora - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Directorio - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Mensajero - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Coordinadora Nal. de Servicio al Cliente - Byington Gerente Comercial Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Ejecutivos de Cuenta SIE - Byington Gerente Comercial Interno 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Ejecutivos de Cuenta PEC - Byington Gerente Comercial Interno 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Información Mercadeo Datacredito 2008-2011 VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Informes de seguimiento de desempeño semanal y mensual VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Planeación VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Presupuestos VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Información de RRHH VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Información de Byington VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores PJ: Información de negociaciones con Camaras VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Seguimiento mensuales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Comunicaciones VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Información relacionada a Experian VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores PJ: Investigaciones de Mercado VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores PJ: Junta Directiva Personas Jurídicas VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores PJ: Junta Filiales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Presentaciones mensuales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Información de productos VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en Computadores PJ: Propuestas a clientes VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Información de segmentos VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores PJ: Seguimientos a actividades de la unidad VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Documentos internos VP Persona Juridica VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Vicepresidente Personas Jurídicas Vicepresidente Personas Jurídicas Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente Administrativa y Operaciones Gerente Administrativa y Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente de Ventas - Byington Gerente de Ventas - Byington Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
90
Anexo 8. Comercial- Inventario de Activos de Información (Continuación)
Fuente: autores
Activos Físicos Equipo de Cómputo: Portátiles Blackberry - Director Comercial Sector Financiero Director comercial Sector financiero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores Listas de contactos de clientes Director comercial Sector financiero Confidencial 4-Alto 5-Muy alto 2-Baja 4-Alto
Activos de Información Archivos Almacenados en Computadores Copias de contratos y cartas de tarifas Director comercial Sector financiero Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna Director comercial Sector financiero VP Comercial Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la Dirección Comercial del Sector Financiero Director comercial Sector financiero Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la Gerencia Comercial del Sector Financiero Gerente comercial Sector financiero Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos de Información Archivos Almacenados en Computadores Archivo PST Buzón de Correo Telcos Gerente Comercial Telcos Confidencial 4-Alto 4-Alto 3-Medio 4-Alto
Activos de Información Material de CapacitaciónPresentaciones Comerciales y Capacitaciones especídicas
para los clientesGerente Comercial Telcos Confidencial 2-Baja 2-Baja 3-Medio 4-Alto
Activos de Información Otros medios Propuestas Comerciales Gerente Comercial Telcos Confidencial 4-Alto 5-Muy alto 4-Alto 4-Alto
Activos de Información Otros medios Informes de Resultados a la VP Comercial Gerente Comercial Telcos Confidencial 3-Medio 3-Medio 3-Medio 3-Medio
Activos Físicos Equipo de Cómputo: CPU Computador Gerente Comercial Telcos Confidencial 4-Alto 3-Medio 4-Alto 4-Alto
Activos Físicos Equipo de Cómputo: Portátiles Blackberry Gerente Comercial Telcos Confidencial 2-Baja 3-Medio 2-Baja 2-Baja
Personas Registrar nombre completo del cargo en la siguiente columna Gerente Comercial Telcos VP Comercial Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna Directora Comercial Gerente Comercial Telcos Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto
Personas Registrar nombre completo del cargo en la siguiente columna Key Account Manager Gerente Comercial Telcos Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto
Activos de Información Archivos Almacenados en Computadores Documentos de planeacion Gerente Regional Sector Finaciero Interno 3-Medio 3-Medio 2-Baja 3-Medio
Activos de Información Manuales de Usuario Manuales de Producto DataCréditoGerente Regional Sector Finaciero -
CustodioInterno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Material de Capacitación Presentaciones publicas de productos DataCréditoGerente Regional Sector Finaciero -
CustodioPúblico 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en Computadores Propuestas comerciales Gerente Regional Sector Finaciero Interno 2-Baja 3-Medio 2-Baja 2-Baja
Activos de Información Archivos Almacenados en Computadores Informacion transaccional de clientes Gerente Regional Sector Finaciero Interno 1-Muy bajo 2-Baja 1-Muy bajo 1-Muy bajo
Activos de Información Archivos Almacenados en Computadores PST correo computador Gerente Regional Sector Finaciero Confidencial 4-Alto 3-Medio 3-Medio 3-Medio
Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Gerente Regional Sector Finaciero Confidencial 2-Baja 3-Medio 3-Medio 3-Medio
Personas Registrar nombre completo del cargo en la siguiente columna Gerente Regional Sector Finaciero Vicepresidencia Comercial Confidencial 3-Medio 3-Medio 1-Muy bajo 2-Baja
92
Anexo 9. Planeación - Inventario de Activos de Información (Continuación)
Fuente: autores
Activos de Información Información Almacenada GAP Report + ExperianVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada CS GBL - ExperianVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Presentaciones e informes a ExperianVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Cierres de Ingresos Mi DataCréditoVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Proyección Ingreso Diferido Mi DataCréditoVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Planeación Estratégica (FY14 - 16)Vicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Amortizaciones Segmento EmpresasVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto
Activos de Información Información Almacenada Precierres de DataCréditoVicepresidente de Planeación
DataCreditoConfidencial 3-Medio 5-Muy alto 4-Alto 5-Muy alto
Activos de Información Información Almacenada Control de Notas CréditoVicepresidente de Planeación
DataCreditoInterno 3-Medio 3-Medio 4-Alto 5-Muy alto
Activos de Información Información Almacenada Contratos con proveedoresVicepresidente de Planeación
DataCreditoInterno 4-Alto 4-Alto 5-Muy alto 4-Alto
Activos de Información Información Almacenada Cierres de Rotacion de carteraVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 3-Medio 5-Muy alto 4-Alto
Activos de Información Información Almacenada Presupuesto de gastos de DataCréditoVicepresidente de Planeación
DataCreditoInterno 4-Alto 4-Alto 5-Muy alto 5-Muy alto
Activos de Información Archivos Almacenados en ComputadoresPST correo computador - Analista de Gastos
Datacredito
Vicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en ComputadoresPST correo computador - Analista de Planeacion Estrategica
Datacredito
Vicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores
PST correo computador - Coodinador Sales Force Datacredito
120612.pst, ASotomayor_2007.pst, ASotomayor.pst,
ASotomayor_hasta_09Sep2006.pst, Correo07072010.pst
Vicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Activos de Información Archivos Almacenados en Computadores
PST correo Computador - Vicepresidente de Planeación
DataCredito
Años: 2010, 2011, 2012
Vicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columnaVicepresidente de Planeación
DataCreditoVicepresidente DataCredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Analista de Planeacion Estrategica DatacreditoVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Analista de Gastos DatacreditoVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
Personas Registrar nombre completo del cargo en la siguiente columna Coodinador Sales Force DatacreditoVicepresidente de Planeación
DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto
93
Anexo 10. Guía de referencia inventario de activos de información
GUÍA DE REFERENCIA DE INVENTARIO DE ACTIVOS
Activos:
Lo que tiene valor para la organización. Tipos de activos, entre ellos:
Activos de información: bases de datos y archivos almacenados en los computadores, documentación del sistema, manuales de usuario, material de capacitación, procedimientos de operación o de apoyo, planes de contingencia, procedimientos de recuperación, información almacenada, archivos o documentos en papel o en otros medios.
Activos de software: aplicaciones, sistemas, herramientas de desarrollo y utilitarios.
Activos físicos: equipo de cómputo (CPU, monitores, portátiles, módems), equipos de comunicaciones (routers, conmutadores, fax, contestadores automáticos), medios magnéticos (cintas y discos), equipo técnico (UPS, aire acondicionado), gabinetes y lugares de almacenamiento de documentos y medios de comunicación, medios ópticos (CD, DVD).
Intangibles: activos intangibles como la reputación y la imagen de la organización.
Personas: las personas, incluyendo sus cualidades, habilidades y experiencia.
Servicios: Los servicios de computación y comunicaciones, servicios generales, tales como calefacción, iluminación, electricidad y refrigeración. Nivel de importancia del activo en el proceso
Muy Alto: El activo es esencial para el proceso. El compromiso de confidencialidad y / o la integridad y/o la disponibilidad de los activos es muy crítico y detiene el proceso, comprometiendo la calidad, la seguridad, la realización de negocios y la imagen de la empresa, por lo que debe ser corregida tan pronto como sea posible.
Alto: El activo se requiere para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es crítica y puede interrumpir el proceso, poner en peligro la realización de negocios e imagen de marca. El activo y el proceso pueden no estar disponibles. El proceso continúa sin que por
94
un corto tiempo y/o de baja calidad, por lo que debe ser corregida tan pronto como sea posible.
Media: El activo es importante para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo puede ser crítico, pero el proceso continúa hasta que el mismo se vea comprometido, por tiempo indefinido, sin comprometer la calidad y la seguridad. o Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa, pero debe ser corregido.
Baja: El activo tiene poca importancia en el proceso. El compromiso de la confidencialidad, integridad y / o la disponibilidad del activo no es crítica, pero el proceso continúa hasta que el mismo se vea comprometido, sin comprometer la calidad y la seguridad. o Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa y la imagen de la empresa.
Muy bajo: El activo tiene una importancia muy baja en el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo no es crítico para el proceso, ni para el activo en cuestión. Este compromiso no interrumpe en cualquier momento, el proceso ya que el proceso se opera sin el activo. No hay necesidad de protección y cuidados especiales. Nivel de sensibilidad de la propiedad de la información.
1. Confidencialidad: Muy alto: Si la confidencialidad está en peligro, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia. Las consecuencias pueden ser accesibles en virtud del derecho internacional, nacional, estatal, regional y local. Alto: Si la confidencialidad está en peligro, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
95
Pérdida de ventaja competitiva sobre la competencia Todo esto se debe en parte manejable. Las consecuencias pueden ser accesibles a los niveles nacional, estatal, regional y local. Medio: Si la confidencialidad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia. Todo esto está sujeto al propietario. Las consecuencias pueden ser accesibles en los niveles estatales, regionales y locales.
Bajo: Si la confidencialidad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es fácilmente manejable.
Las consecuencias pueden ser accesibles en la empresa nacional.
Muy baja: Si la confidencialidad está en peligro, no hay consecuencias para la empresa y en cualquier proceso de negocio.
2. Disponibilidad
Muy alto: Si la disponibilidad se ve comprometida, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.
96
Alto: Si la disponibilidad se ve comprometida, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es parcialmente manejable.
Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.
Medio: Si la disponibilidad se ve comprometida, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto está sujeto al propietario.
Las consecuencias de la falta de disponibilidad repercuten a nivel estatal, regional y local.
Bajo: Si la disponibilidad se ve comprometida, en pocos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es fácilmente manejable. Las consecuencias de la inactividad impactando enfoque interno.
Muy baja: Si la disponibilidad se ve comprometida, no hay consecuencias para la empresa y en cualquier proceso de negocio.
3. Integridad:
Muy alto: Si la integridad se ve comprometida, se producirá:
Pérdida financiera significativa
Pérdida de imagen y reputación
Multas contractuales / SLA
97
Pérdida de ventaja competitiva sobre la competencia.
Las consecuencias de la pérdida de la integridad repercuten a nivel internacional, nacional, estatal, regional y local.
La credibilidad del proceso en que opere el activo, se ve muy afectada.
Alto: Si la integridad está en peligro, puede ocurrir:
Pérdida financiera
Pérdida de imagen y reputación
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto es parcialmente manejable.
Las consecuencias de la pérdida de la integridad repercuten a nivel nacional, estatal, regional y local.
La credibilidad del proceso en que opere el activo, se ve afectada.
Medio: Si la integridad está en peligro, en algunos casos puede ocurrir:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Todo esto está sujeto al propietario.
Las consecuencias de la pérdida de la integridad repercuten a nivel estatal, regional y local.
La credibilidad del proceso en que opere el activo, puede verse afectada.
Bajo: Si la integridad está en peligro, pueden ocurrir en algunos casos:
Pérdida financiera
Pérdida de la imagen
Multas contractuales / SLA
Pérdida de ventaja competitiva sobre la competencia.
Las consecuencias de la pérdida de la integridad repercuten a nivel interno de la empresa.
98
La credibilidad del proceso en que opere el activo puede verse afectado en algunos casos.
Muy baja: Si la integridad está en peligro, no hay consecuencias para la empresa y para cualquier proceso de negocio.