sgsi - documento de ayuda para gestionar el formato de inventario de activos de informacion
TRANSCRIPT
1
DOCUMENTO DE AYUDA PARA GESTIONAR EL FORMATO DE INVENTARIO DE ACTIVOS DE
INFORMACION
CONTENIDO
1 INTRODUCCION .............................................................................................. 2
2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION ....... ....................... 2
3 OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE INFO RMACION 3
4 EXPLICACION DE CAMPOS PARA DILIGENCIAIR EL FORMATO DE CLASIFICACION DE ACTIVOS DE INFORMACION ........... .................................. 3
2
1 INTRODUCCION El siguiente documento de ayuda se desarrolla para facilitar el diligenciamiento del formato en Excel llamado “SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0” para la identificación de los activos de información de la entidad. El formato en Excel puede ser adaptado en su forma según la entidad lo requiera a sus necesidades y modelos de documentación propias de cada entidad. Se recomienda que antes de gestionar el formato de identificación de activos sea leído el documento en formato pdf “SeguridaddelaInformación2 0_Anexo7_Clasificacion de Activos.pdf” del modelo de seguridad de la información. Las definiciones y enunciados en esta guía son tomados del documento “SeguridaddelaInformación2 0_Anexo7_Clasificacion de Activos.pdf” del modelo de seguridad de la información de GEL 3.1 y de la norma ISO 27000.
2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION Un activo de información es todo activo que contiene información que posee un valor y es necesario para los servicios de Gobierno en Línea. La clasificación de los activos de información es una actividad que se debe realizar como acción importante para la gestión de riesgos de los activos de información. La propiedad de los activos se debería acordar y documentar así como la clasificación de la información para cada uno de los activos. Con base en la importancia del activo, su valor para el negocio y su clasificación de seguridad se recomienda identificar los niveles de protección. Pueden existir activos que no tengan clasificación de seguridad pero pueden tener valor en términos del tiempo, costo o esfuerzo en reemplazarla si se pierde o se altera. La clasificación de los activos de información se realiza de acuerdo a los procesos de la entidad y con el propietario de cada activo de información y con los líderes de cada proceso. El inventario de activos de información puede ser revisado en cualquier momento y los activos pueden ser incluidos, revisados o retirados según aprobación del líder del proceso y propietario del activo.
3
3 OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE IN FORMACION Identificar en los procesos de la entidad los activos de información que son críticos en cuanto a su clasificación de la información y a sus criterios de confidencialidad, integridad y disponibilidad para que puedan establecerse medios de protección y control.
4 EXPLICACION DE CAMPOS PARA GESTIONAR EL FORMATO D E CLASIFICACION DE ACTIVOS DE INFORMACION
Para la identificación del inventario de activos de información, se utiliza el formato en Excel “SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0”. Cada uno de los activos de información se debe escribir en una fila dentro del formato. Los activos de información no se agrupan ni por filas, ni por columnas. A continuación se presenta una tabla con ejemplos y a después se presenta la descripción de los campos del formato. La Tabla 1 Ejemplos, contiene 3 ejemplos para gestionar el formato y en la descripción del campo se hará referencia a ellos como Ejemplo 1, Ejemplo 2 y Ejemplo 3. El primer ejemplo es de un servidor que contiene la información del Proceso de Nómina, el segundo de una base de datos que contiene la información de Nómina, y el tercer ejemplo un Software de un Sistema Financiero.
4
Tabla 1. Ejemplos
Descripción de los campos. -TIPO DE ACTIVO: se escribe el tipo de activo de acuerdo a la clasificación. Los activos de información se clasifican en las siguientes categorías: -ACTIVOS DE LA INFORMACION -ACTIVOS DE SOFTWARE -ACTIVOS FISICO -SERVICIOS -PERSONAS -INTANGIBLES
EJEMPLO 1 EJEMPLO 2 EJEMPLO 3De un servidor que
contiene la información
del Proceso de Nómina
De una base de datos
que contiene la
información de Nómina
De un Sistema de
Gestión Financiero
Activo Físico Activo de la
Información
Activo de Software
Servidor Base de Datos Aplicación
SERVALCTUN001 HP
G8 Proliant Serie
123456
BDNOMINA.MDF SISFIN - Sistema
Financiero
Área de Sistemas- Sala
de Servidores
SERVALCTUN001 SERVALCTUN002
C:/sqlserver/database/
bdnomina.mdf
C:/SISFIN
Proceso de Gestión
Humana
Proceso de Gestión
Humana
Proceso de Finanzas
Gerente Gestión
Humana - Pedro Pérez
Gerente Gestión
Humana - Pedro Pérez
Gerente Financiero -
Carlos Cardenas
Gerente TI - Carlos
Castro
Administrador de Base
de Datos – Jaime
Arias.
Administrador de
Infraestructura -
Fernando Perez
Sistema de Nómina Sistema de Nómina SISFIN - Sistema
Financiero
PUBLICABLE PUBLICA NO CLASIFICADA
Afectar la imagen de la entidad
TOP SECRET Dañar los intereses nacionales de manera grave
SECRETA Dañar los intereses nacionales de manera seria.
CONFIDENCIAL Dañar los intereses nacionales de manera significativa.
X X
RESTRINGIDA Dañar los intereses nacionales de manera adversa.
X
Dañar los intereses del Estado Poner en peligro la seguridad de los ciudadanos.
Perjudicar el mantenimiento de la ley y el orden Impedir la conducta efectiva del Gobierno Afectar adversamente la privacidad de sus ciudadanos.
Área de Gestión
Humana
Área de Gestión
Humana
Área Financiera
ALTO ALTO MEDIO
MUY ALTO MUY ALTO MUY ALTO
MEDIO MEDIO MUY ALTO
ALTO ALTO ALTO
EJEMPLOSSituación
AREAS ASOCIADAS
CRITICIDAD CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
TOTAL
PROCESO
PROPIETARIO DEL ACTIVO
CUSTODIO
SISTEMA DE INFORMACION RELACIONADO
CLASIFICACION DE LA INFORMACION
NO PUBLICABLE
INFORMACION PERSONAL SEMIPRIVADA
SENSITIVA
EN CONFIANZA
TIPO DE ACTIVO
INFORMACIONNOMBRE DE ACTIVO
UBICACIÓN FISICO
ELECTRONICO
5
Ejemplo1: Activo Físico. Ejemplo2: Activo de la Información. Ejemplo3: Activo de Software. En la Tabla 2 Tipo de Activo, se detalla el tipo de activo y la información que contiene el activo de información, o la clase de activo que es el activo de información.
Tabla 2. Tipo de Activo TIPO DE ACTIVO INFORMACION
ACTIVO DE LA INFORMACION
Información Digital: Bases de datos, Copias de Backups de Información. Activos Tangibles: Correo, Fax, Llaves, Libros, información escrita, información impresa, guías, procedimientos, políticas, OLA´s, SLA´s, Manuales de usuario, procedimientos operativos o de soporte, planes de formación, planes de continuidad del negocio y/o contingencia, Configuración del soporte de recuperación, Información archivada Activos Intangibles: Patentes, Conocimiento, Relaciones, claves de seguridad, patentes, conocimientos técnicos.
ACTIVOS DE SOFTWARE
-De Aplicaciones: Desarrolladas por la entidad o licenciadas, de planificación de recursos empresariales (ERP), de gestión de la información (MIS), de inteligencia de negocios, de relacionamiento con el cliente (CRM) o con el proveedor (SCM). -De Sistemas Operativos: Para los servidores, computadores, equipos de red, equipos de mano, celulares, tabletas. -De Herramientas y programas de desarrollo: Utilidades y herramientas para la administración de bases de datos, software ofimática, middleware, comercio electrónico, aplicaciones de utilidad para la administración y control de TI
ACTIVOS FISICO Infraestructura de TI: Edificios, centros de datos, salas de equipos de comunicación y servidores, gabinetes para cableado, oficinas, archivadores, cajas de seguridad, dispositivos de identificación y autentificación, control acceso (tarjetas, otros), dispositivos de seguridad, circuito cerrado de televisión. Hardware de TI: Equipos de cómputo de mesa y portátiles, equipos de red, equipos de comunicaciones, servidores, mainframes, switches, routers, líneas de red, impresoras, fotocopiadoras, faxes, equipos multifunción, medios removibles, discos duros, memorias USB, DVD´s y CD, cintas de backup. Control del entorno de TI: Equipos de detección y control de incendios, sistemas de alimentación ininterrumpida (UPS), generadores de energía, equipos de administración de redes, sistema de aire acondicionados, supresores de potencia, control de humedad, alarmas de aire, alarmas de agua.
6
-INFORMACION: describir la información el cual contiene el activo de información, o la clase de activo que es el activo de información. Se toma como referencia la Tabla 2 en el contenido de la columna INFORMACION del Tipo de Activo. Ejemplo1: Servidor. Ejemplo2: Base de Datos. Ejemplo3: Aplicación -NOMBRE DE ACTIVO : se escribe una identificación que caracteriza de forma única al activo. Se escribe el nombre de la base de datos, la identificación del equipo, el nombre del equipo, el nombre del manual impreso o cualquier otra descripción estructurada para su clara identificación Ejemplo1: SERVALCTUN001 HP G8 Proliant Serie 123456 Ejemplo2: BDNOMINA.MDF Ejemplo 3: SISFIN - Sistema Financiero -UBICACIÓN / FISICO : El nombre de la ubicación física en donde está el activo de información. Si es un activo de información con información en medio electrónico se escribe el activo de información que contiene la información electrónica. Ejemplo1: Área de Sistemas- Sala de Servidores. Ejemplo2: SERALCTUN001 Ejemplo3: SERVALCTUN002
SERVICIOS Servicios de autenticación de usuario, cortafuegos, servidores proxy, servicios de red, servicios inalámbricos, anti-spam, anti-virus, anti-spyware, detección y prevención de intrusos, FTP, correo electrónico y mensajería instantánea, servicios web, contratos de soporte y mantenimiento de software.
PERSONAS Empleados: Personal de gestión, directivos, arquitectos de software, desarrolladores, administradores de redes, administradores de seguridad, operadores. Externos: Trabajadores temporales, consultores externos, contratistas, proveedores y socios
INTANGIBLES Reputación Imagen Corporativa
7
-UBICACIÓN / ELECTRONICA : Ubicación en el activo de información en donde reside la información electrónica. Ejemplo1: Vacío Ejemplo2: C:/sqlserver/database/bdnomina.mdf Ejemplo3: C:/SISFIN/ -PROCESO: Proceso de la entidad relacionado al activo de la información. Ejemplo1: Proceso de Gestión Humana Ejemplo2: Proceso de Gestión Humana. Ejemplo3: Proceso de Finanzas -PROPIETARIO: Es la persona responsable de la información del activo y quien define el nivel y acciones para la confidencialidad, integridad y disponibilidad. Escribir el nombre y cargo del propietario. Ejemplo1: Gerente Gestión Humana - Pedro Pérez. Ejemplo2: Gerente Gestión Humana - Pedro Pérez. Ejemplo3: Gerente Financiero - Carlos Cardenas -CUSTODIO: Es la persona/área que se encarga de administrar la seguridad en cuanto a las actividades de control para la confidencialidad, integridad y disponibilidad de la información contenida en el activo de información. Escribir el Cargo y nombre del custodio. Ejemplo1: Gerente TI - Carlos Castro. Ejemplo2: Administrador de Base de Datos – Jaime Arias. Ejemplo3: Administrador de Infraestructura - Fernando Pérez -SISTEMA DE INFORMACION RELACIONADO : Sistema con el cual está relacionado el activo de información en cuanto a su información Ejemplo1: Sistema de Nómina. Ejemplo2: Sistema de Nómina. Ejemplo3: SISFIN - Sistema Financiero -CLASIFICACION DE LA INFORMACION : Se marca con una X la casilla de acuerdo a la clasificación que el propietario del activo de información elija con base en la información que contiene el activo de información. Se elige la clasificación más crítica. Las siguientes son las clasificaciones de seguridad: -Top Secret: El compromiso de la información podría dañar los intereses de la entidad de manera grave.
8
-Secreta: El compromiso de la información podría dañar los intereses de la entidad manera seria. -Confidencial: El compromiso de la información podría dañar los intereses de la entidad de manera significativa. -Restringida: El compromiso de la información podría dañar los intereses de la entidad de manera adversa. -Sensitiva: El compromiso de la información podría dañar los intereses de la entidad o poner en peligro la seguridad de los ciudadanos. -En confianza: El compromiso de la información podría perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del Gobierno o afectar adversamente la privacidad de sus ciudadanos. -Pública no clasificada: El compromiso de la información afecta la imagen de la entidad. Ejemplo1: Confidencial. Ejemplo2: Confidencial Ejemplo3: Restringida -AREAS ASOCIADAS : Se escriben las áreas asociadas al activo de información que tengan influencia sobre la información. Ejemplo1: Área de Gestión Humana. Ejemplo2: Área de Gestión Humana. Ejemplo3: Área Financiera -CONFIDENCIALIDAD : Impacto negativo que se tendría si el activo de información es accesible a personas NO autorizadas. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Medio -INTEGRIDAD: Impacto negativo que se tendría si el activo de información es alterado y su información y sus métodos de procesamiento DEJAN de ser completos y exactos. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad.
9
Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Muy Alto. Ejemplo2: Muy Alto. Ejemplo3: Muy Alto -DISPONIBILIDAD : Impacto negativo que tendría si el activo de información con la información y los servicios DEJAN de estar disponible cuando se le requiera. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Medio. Ejemplo2: Medio. Ejemplo3: Muy Alto -TOTAL : Promedio de las calificaciones de criticidad para los criterios de confidencialidad, integridad y disponibilidad. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Alto