Clasificación de Activos de Información en Excel

Clase 12 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Clasificar correctamente los activos de información es una de las tareas más críticas dentro de un sistema de gestión de seguridad de la información. Comprender cómo aplicar los criterios de confidencialidad, integridad y disponibilidad a cada activo permite proteger lo que realmente importa y asignar recursos de forma inteligente. A continuación se explica paso a paso cómo se realiza este proceso y qué criterios debes dominar para construir tu propia matriz de inventario de activos de información.

¿Qué es la matriz de inventario de activos de información y por qué es un proceso continuo?

El resultado final de todo el trabajo de identificación y clasificación se documenta en la matriz de activos de información [0:08]. Este documento centraliza cada activo con su respectiva clasificación y es la base para las decisiones de protección.

El flujo de trabajo para construirla sigue un ciclo que no termina: revisar, definir, actualizar y publicar. Las flechas del proceso indican que siempre debes estar monitoreando, porque los cambios son inevitables. Si todavía no cuentas con un software especializado, un archivo de Excel es suficiente para comenzar [0:43]. Gastar recursos en herramientas costosas cuando el trabajo apenas inicia puede no ser oportuno; la gestión de recursos es tu responsabilidad y debes ser estratégico con ellos.

¿Cómo se clasifican los activos según la confidencialidad?

La tríada de seguridad —confidencialidad, disponibilidad e integridad— reaparece aquí como el marco fundamental [1:10]. Cada activo se clasifica de acuerdo con estos tres criterios de forma independiente.

En cuanto a la confidencialidad, la norma ISO 27001 propone cuatro niveles, aunque te da libertad para agregar más según las necesidades de tu organización [1:37]:

Altamente confidencial: información estratégica del negocio. Por ejemplo, la formulación química de una farmacéutica o el diseño de un nuevo dispositivo en empresas como Apple o Samsung [2:06]. Solo un grupo selecto de funcionarios debe acceder a ella. Si cae en manos equivocadas, el impacto reputacional o económico es grave.
Confidencial: algunos procesos y áreas la necesitan para operar, pero no todas. Una filtración genera impacto negativo en procesos específicos [2:50].
Pública: información que puede encontrarse en redes sociales, sitios web o con una búsqueda en Google. No requiere destinar grandes recursos de protección porque su exposición no genera afectación significativa [3:09].
No clasificada: este nivel es especialmente importante. No significa que la información carezca de valor; simplemente no se ha podido clasificar aún porque el funcionario responsable estaba ausente, en vacaciones o en licencia [3:40]. La norma recomienda tratarla como altamente confidencial hasta que puedas determinar su verdadera categoría. Es mejor pecar de precavido que descuidar un activo valioso.

¿Qué significan los niveles de integridad y disponibilidad en la clasificación?

La integridad se refiere a que las modificaciones sobre la información deben realizarse únicamente por usuarios legítimamente autorizados y debidamente registrados [4:42].

¿Qué impacto tiene una alteración no autorizada?

Alta: una modificación no autorizada genera impacto legal, económico o de imagen. Piensa en una comercializadora donde alguien cambia todos los precios a cero; las demandas y el daño reputacional serían enormes [5:15].
Media: el daño es moderado. Hay afectación en algún proceso, pero la empresa puede recuperarse sin consecuencias críticas [5:56].
Baja: la modificación no genera impacto significativo. Un ejemplo claro es un archivo que un usuario guarda en su escritorio por costumbre, pero que no alimenta ningún sistema real [6:30]. Si un atacante lo modifica creyendo que es el archivo clave, no ocurre nada porque los datos reales provienen de otro sistema.

También aplica la categoría no clasificada, que debe manejarse como alta mientras se logra determinar su nivel real [7:30].

¿Cómo se mide la disponibilidad de un activo?

Alta: la información debe estar accesible en el momento exacto que la compañía la requiere. Si los precios de un producto nuevo no están disponibles el día del lanzamiento, se genera un problema grave de expectativa y ventas [7:50].
Media: un retraso moderado. Si el sistema de nómina no está disponible el día de pago, quizá debas pagar dos o tres días después. Hay molestias, pero no implica el cierre de la compañía [8:37].
Baja: la ausencia temporal de los datos no genera impacto relevante en la cadena de procesos [9:22].

Como en los criterios anteriores, los activos cuya disponibilidad no se ha podido evaluar deben tratarse con clasificación alta [9:35].

Ahora que conoces los criterios para clasificar activos, el siguiente paso es llevar todo esto a la práctica construyendo una matriz en Excel. ¿Ya tienes identificados los activos más críticos de tu organización? Comparte tu experiencia en los comentarios.

Comentarios

Noldia Chavez Cavero

student•

De acuerdo a la confidencialidad ° Altamente confidencial (Su divulgación genera gran riesgo para la compañía) ° Confidencial ( Es perjudicial que caiga en manos equivocadas) ° Pública ( Cualquier individuos puede tener acceso) ° No clasificada (tratarla como altamente confidencial) De acuerdo a la integridad ° Alta (su perdida o modificación genera gran impacto en la compañía) ° Media (Si se cambia algún dato el daño es moderado) ° Baja (Su modificación no genera ningún riesgo) ° No clasificada (darle criterio de alta) De acuerdo a la Disponibilidad ° Alta (de no estar en el momento requerido, puede perjudicar la imagen de la compañía) ° Media ( Su no disponibilidad es de impacto moderado ) ° Baja ( Genera un impacto leve)

Kyb3r Cipher

student•

Buenas notas Noldia 😀

Erick Alejandro Carrillo López

student•

gracias ;v

DANIEL TENOCH SANCHEZ GARCIA

student•

Miguel Salgado

student•

Enrique Montes Trejo

student•

Gracias

Elmer Padilla Espinoza

student•

Buenas informacion, gracias.

Angel Beltran

student•

A continuación presento los ítems requeridos en Colombia para realizar el inventariado de activos

Piero Blanco

student•

Que tipo de informacion existe? existen algunos tipos de tipos: . -Altamente confidencial: Es la informacion estrategica del negocio, como planes de venta, nuevo producto a lanzar, etc. Esta si cae en manos equivocadas, puede desencadenar problemas muy grandes, esta informacion no debe ser revelada a otros grupos de la empresa. . -Confidencial: Es informacion que debe mantenerse protegida, en cambio, esta informacion la pueden manejar diferentes grupos de la organizacion. . -Publica: Es informacion que puede ser encontrada en cualquier punto del escenario, no la afecta en casi nada. . -No Clasificada: Esta informacion no es clasificada, por lo tanto, no se conoce el potencial que esta tiene, por lo tanto, es mejor resguardarla antes que suceda algo malo.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen

Piero Blanco

student•

Que tipos de informacion existe, segun la INTEGRIDAD? . Integridad Alta: nformacion que si se modifica, generara un fuerte impacto en cualquier indole, economico, social, etc. Por ejemplo, si por un error, se cambia el precio de un telefono a 1 dolar. . Integridad media:Informacion que si se modifica, no sera tan grave como la Alta, pero de debe proteger de cualquier forma. . Integridad baja: Informacion que se encuentra de manera sencilla, la cual no conlleva un impacto no significativo. . Integridad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen

Piero Blanco

student•

Que tipos de informacion existe, segun la DISPONIBILIDAD? . Disponibilidad Alta: Conlleva un impacto negativo, tales como indole legal o economica, retrasaria funciones o generaria perdidas. . Disponibilidad Media: Conlleva un impacto moderado, generaria molestias pero que no fundiria una empresa. . Disponibilidad Baja: No afecta ningun proceso de la empresa debido a que no genera ningun impacto si esa informacion se encuentra o no. . Disponibilidad no clasificada: Manejada como alta, debido a que no se conoce su potencial.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen

Piero Blanco

student•

Como clasifico la informacion? La informacion la podes clasificar segun la triada de informacion (confidencialidad, integridad y disponibilidad). . Esto tiene como objetivo asegurar que la informacion recibe los niveles de proteccion adecuados, ya que de acuerdo a otras caracteristicas, cada una requiere un manejo especial.

Diego Fernando Ramos Aguirre

student•

Gracias por el resumen

Yudy milena sanchez Medina

student•

Si es una entidad pública, el inventario de activos debe ser publicado; pero en este mismo inventario se indica que información es de acceso público y cual no. Es correcto?

Gabriel Díaz H

student•

Esta certificacion como auditor ISO , tiene un periodo de vigencia?

Aarón González

student•

Cada cierto tiempo se renuevan hasta donde sé :thin

Kyb3r Cipher

student•

Si para verificar que la empresa sigue cumpliendo con los estandares de la norma despues de un tiempo se debe volver a renovar 😀

Jeison Sneider Ruiz Zemanate

student•

**Clasificación de activos: **

Tienen como objetivo asegurar que la información recibe los niveles de protección adecuados, ya que con base en su valor y de acuerdo a otras características particulares requiere un tipo de manejo especial.

De acuerdo a la confidencialidad

° Altamente confidencial (Su divulgación genera gran riesgo para la compañía): Información disponible solo para un proceso de la empresa y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.

° Confidencial ( Es perjudicial que caiga en manos equivocadas): Información disponible para todos los procesos de la empresa y que en caso de ser conocido por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma.

° Pública ( Cualquier individuos puede tener acceso): Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la empresa, sin que esto implique daños a terceros ni a las actividades y procesos de la empresa.

° No clasificada (tratarla como altamente confidencial): activos de información que deben ser incluidos en el inventario y que aún no ha sido clasificada. Debe ser tratado como activo ALTAMENTE CONFIDENCIAL.

De acuerdo a la integridad

° Alta (su pérdida o modificación genera gran impacto en la compañía): Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones o generar pérdidas de imagen severas de la empresa.

° Media (Si se cambia algún dato el daño es moderado): Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones o generar pérdidas de imagen moderadas de la empresa.

° Baja (Su modificación no genera ningún riesgo): Información cuya pérdida de exactitud y completitud puede conllevar un impacto no significativo para la empresa o entes externos.

° No clasificada (darle criterio de alta)

De acuerdo a la Disponibilidad

° Alta ( De no estar en el momento requerido, puede perjudicar la imagen de la compañía): La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.

° Media ( Su no disponibilidad es de impacto moderado): La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económico, retrasar sus funciones, o generar pérdidas de imagen moderadas de la empresa. . ° Baja ( Genera un impacto leve): La no disponibilidad de la información puede afectar la operación normal de la empresa o entre externos , pero no conlleva impactos legales, económicos o de pérdida de imagen.

freddy.home

student•

Gracias.

Enrique Montes Trejo

student•

El profesor con esos tipos de ejemplos que nos proporciona aclara todos ya cada uno de los puntos a tratar. Gracias

Ricardo Mendez Barco

student•

No Existe un Documento guía del curso...?

Héctor Eduardo López Carballo

student•

Hola!

En la sección archivos y enlaces de la primera clase puedes encontrar un pdf con las diapositivas que se usan en el curso? Buscas esto o qué es lo que necesitabas?

Saludos!!

Ricardo Mendez Barco

student•

Gracias

Rene Hernandez

student•

¿Deberíamos de agregar o por lo menos conocer el valor monetario a nuestros activos? De ser así, ¿cómo lo calculamos?

Edwin Absalón Martinez Moreno

student•

Inventario de Activos de Información

Debe documentarse en la matriz de inventario y valoración de activos de información.

Clasificación de activos

De acuerdo a la confidencialidad ● Altamente confidencial ○ Información muy estratégica del negocio ● Confidencial ○ Información disponible para los procesos sin afectar las estrategias del negocio ○ No todas las partes pueden conocerlo ● Pública ○ Puede ser entregada sin restricciones a cualquier persona ● No clasificada ○ Activos de información que deben ser incluidos en el inventario y que aún no han sido clasificados. ○ !Deben ser tratados como altamente confidencial.

De acuerdo a la integridad ● Alta ○ Información que si es modificada puede afectar de forma legal, económica o de imagen ○ Solo debe ser modificado por el funcionario indicado ● Media ○ Información cuya pérdida de exactitud y completud puede dañar de forma moderada en algún proceso o económicamente ● Baja ○ Información cuya perdida de exactitud y completitud conlleva un impacto no significativo para la empresa o entes externos

De acuerdo a la disponibilidad ● Alta ○ Información necesaria en todo momento que sea requerido ○ Puede generar perdidas económicas o de imagen ● Media ○ Información que de no tener al momento requerido se retrasan algunas funciones ○ Impacto moderado ● Baja ○ Puede afectar la operación normal o entes externos ○ No genera impacto ● No clasificada ○ Activos de información que deben ser incluidos en el inventario y que aún no han sido clasificados. ○ !Deben ser tratados como altamente confidencial.

Piero Blanco

student•

++APUNTES DE ESTA CLASE Y LAS ANTERIORES EN ESTE LINK DE TRELLO!!++ https://trello.com/invite/b/QQxUUqaF/4c52f814baec8f5165212af2713c8209/notas-de-iso

Conny María Barrios Moreno

student•

¡Vaya! El enlace de invitación para este tablero ya no es válido...
¿Tal vez podrías pedir un enlace actualizado?

Miguel Angel Reyes Moreno

student•

Para recordar: Aunque la información no esté clasificada tenemos que darle ALTA PRIORIDAD.

Francisco Javier Millán Hoyos

student•

Qué soluciones tecnológicas existen para identificar, clasificar y valorar activos en este momento?

Francisco Javier Millán Hoyos

student•

Quien debe valorar los activos de información en cuanto a confidencialidad, disponibilidad e integridad? Sólo el líder del activo? O debe haber un tercero que valore para cuidar la objetividad del proceso?

Johana Marcela Aragón Aragón

student•

El dueño del activo es quien valora sus activos

Francisco Javier Millán Hoyos

student•

Qué equipo debe intervenir en la identificación de activos de información?

Clasificación de Activos de Información en Excel

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información