Bienvenidos a INCIB Chile
En este Blog N°7 comentaremos las metodologías para valorar las dimensiones de los activos de información y como estos nos ayudan a analizar atributos por cada activo para mitigar su riesgo.
Para ponderar la jerarquía de los activos de información, valorarlos a través de diferentes dimensiones y según la criticidad de la información que contienen, existen tres criterios básicos en las metodologías de evaluación: la Confidencialidad, la Integridad y la Disponibilidad, este triangulo o triada “CID”, son los atributos de la información los cuales se deben analizar por cada activo y aplicar el control correspondiente para mitigar el riesgo.
Otras metodologías como el caso de MAGERIT, ocupa cinco atributos:
1.- La confidencialidad de una determinada información es clave para la continuidad del negocio. Además, asegura que la información es accesible solo desde las personas autorizadas.
“Es la propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados”, definición ISO 27000.
Por ejemplo, (a) una lista de clientes o tarifas publicada en internet es pérdida de competitividad respecto a otras empresas del sector, y por tanto un riesgo para la organización en términos comerciales y financieros; (b) los datos personales de los empleados deben ser accesibles sólo a personal autorizado del área de RRHH.
Varios tipos de control de acceso pueden garantizar la confidencialidad de la información, se pueden aplicar controles de acceso a diferentes niveles de un sistema de gestión de la seguridad de la información; en el nivel físico, por ejemplo, se tienen las cerraduras de puertas, cajas fuertes, etc.; mientras que, en el nivel lógico, se tienen los controles de acceso a la información.
… la Confidencialidad, la Integridad y la Disponibilidad, este triangulo o triada “CID”, son los atributos de la información los cuales se deben analizar por cada activo y aplicar el control correspondiente para mitigar el riesgo.
2.- La integridad da valor a la importancia de que la información contenida en el activo permanezca fiel y completa, y no sea eliminada parcial o completamente por terceros. Existen activos de información que un mínimo daño los hace inútiles.
Por ejemplo, los datos de contabilidad deben cumplir con la realidad de forma completa y exacta (esta última se traduce por la ausencia de alteraciones en la información); si a un software se le elimina un archivo, posiblemente deje de funcionar completamente.
La integridad de los datos es esencial en los sistemas operativos, las aplicaciones, el o los softwares, ya que de esta forma se evita la corrupción deliberada o involuntaria de la información.
Los controles de integridad deben ser incluidos en los procedimientos, estos contribuyen a la reducción del riesgo de error, robo o fraude.
3.- La disponibilidad consiste en que la persona autorizada pueda acceder a la información y al activo cuando lo necesite. A su vez, la información debe ser accesible fácilmente para las personas autorizadas que la necesiten.
“La propiedad de ser accesible y utilizable por una entidad autorizada”, definición ISO 27000.
En ocasiones, el no tener acceso a un determinado activo, puede suponer la necesidad de detener la producción, con los problemas que ello conlleva. Por ejemplo, el área comercial debe tener acceso a los datos de los clientes para gestionarlos.
4.- La autenticidad es garantizar que quien accede a la fuente de información para consultarla o editarla es quien dice ser. Sin este elemento, podemos suponer que la información pierda completamente su valor o no sea fiable.
5.- La trazabilidad es disponer de un control completo de las acciones y usos que se le da a un determinado activo son necesarios para garantizar su fiabilidad y calidad; ¿Qué acción se realizó? ¿Quién las ejecutó? ¿en qué momento?
Para cada una de estas dimensiones se deberán fijar criterios cuantificables, que nos servirán para determinar el valor de cada activo, se utilizan escalas numéricas asociadas a los distintos valores que pueda tomar la dimensión.
Determinar estos criterios suele ser una labor complicada a la que deberemos dedicar tiempo si queremos obtener resultados coherentes con la realidad de la organización.
Es muy importante dedicarle tiempo a esta identificación y clasificación de los activos de información, ya que, si continuamos e identificamos nuevos activos olvidados, deberemos repetir todo el trabajo nuevamente.
Si necesitas más información al respeto ponte en contacto con nosotros y te explicaremos más en detalle en que consiste la “triada de la seguridad de la información“:
Página web: www.INCIBChile.cl
WhatsApp Business: +56 9 6587 4587
Mail: contacto@incibchile.cl