En tipo de activo como persona, viendolo de un lado estretegico a mi parecer es importante considerar el comportamiento humano, siendo el tipo como información.
Debido a que el individuo puede conocer información externa u interna de la organización la cual puede ser/no ser sensible.
Por ejemplo:
..Tipo de activo | Descripcion de Activo
....Informacion... | Credenciales de acceso,Acceso a Hardware
Ahora bien, suponiendo que conocemos bien a nuestro personal, pensariamos que no hay problema alguno.
Pero que pasaría si a nuestro personal, se les realiza un ataque en ingenieria social, por ejemplo tenemos un administrador, al que le confiamos todas las credenciales y un dia alguien hace robo de identidad de los dueños, y le pide las credenciales, si no se lleva un protocolo adecuado, es posible que se las otorguen, y de esta forma nos veriamos amenazados y vulnerados, pero por nuestro propio personal.
O de otra forma. nuestro mismo administrador le gusta Pokemon, y le llega un correo electronico con el Titulo de Descuentos Pokemon 90% junto a un enlace, es posible que sea tentado a dar click al enlance y nuevamente sea comprometida nuestra informacion mediante hijacking del ordenador del administrador, para es eso, es importante tomar en cuenta el comportamiento del ser humano, y tomar control a dichas causas.
Esta es mi respuesta, espero te ayude!
Saludos!
