Seguridad en equipos informáticos. IFCT0109. José Francisco Giménez Albacete

Чтение книги онлайн.

Читать онлайн книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete страница 15

Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete

Скачать книгу

legales.Su difusión sin control supone incumplimientos de las normativas o reglamentos a los que la empresa se sujeta.Si se difunde sin control o se hace pública, genera un daño grave/desastroso para la empresa, financiera/económicamente o en su imagen.Para su gestión, son recomendaciones básicas comúnmente aceptadas:El acceso a esta información debe hacerse siempre en base a la “necesidad de conocer”. Nota: los permisos de acceso a la información, deben concederse a personas exclusivamente, basándose en la necesidad de conocer por sus funciones. De lo anterior, se deduce que una persona solo tendrá acceso al mínimo conjunto de información que necesite para realizar su trabajo.La difusión de la información requiere siempre de la autorización del propietario, normalmente el responsable o jefe del área o departamento donde se ejecuta el proceso.La difusión a terceros exige siempre un acuerdo de confidencialidad firmado, previo al acceso.Ejemplo: contratos con clientes, datos de carácter personal según la legislación nacional de protección de los individuos aplicable, información sobre nuevos productos o servicios, información contable, etc.

      2 Interna:Su difusión sin control no genera un daño grave para la empresa.Si se difunde sin control o se hace pública, genera un daño bajo para la empresa, financiera/económicamente, o en su imagen.Para su gestión, comúnmente se acepta:Acceso libre para los empleados o personal interno de la empresa.Ejemplo: circulares internas, políticas de diversos aspectos, material formativo, etc.

      3 Público:La no disponibilidad no tiene ninguna consecuencia.Su difusión no genera ningún daño ni pérdida a la empresa, ni económicamente, ni en su imagen.Para su gestión, comúnmente se acepta:Esta información debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial.Ejemplo: notas de prensa, presentaciones comerciales, catálogos de productos o servicios, publicidad comercial, etc.

Image

       Nota

      Ejemplos de informaciones concretas que pueden intervenir en un proceso son: bases de datos o un conjunto de formularios/registros impresos, correos electrónicos o correspondencia impresa, documentos digitales o impresos, imágenes digitales o impresas, código fuente de programas, etc.

Image

       Actividades

      5. Piense ejemplos de información confidencial, interna, y pública que podría encontrar en un despacho de abogados.

      A continuación, se exponen indicaciones habituales que ayudarán a determinar los requisitos de seguridad de la información en sus 3 dimensiones habituales. En líneas generales, el nivel viene dado por el daño que una degradación de una propiedad genera en la empresa.

       Confidencialidad

      La confidencialidad está relacionada con la autorización de difusión. Una difusión no autorizada puede presentar un daño mayor o menor. Dependiendo de este daño, se categoriza la confidencialidad de la información en:

Requerimientos de confidencialidad para la información
Nivel altoInformación confidencial, muy sensible o privada, de máximo valor para la empresa, y autorizada a ser accesible solo a individuos concretos reconocidos. La difusión no autorizada tendría un impacto grave/desastroso, por ejemplo por las repercusiones legales, por la pérdida económica derivada, por la ventaja concedida a la competencia, o por la pérdida de imagen.
Nivel medioInformación interna, propiedad de la empresa, que no debe tener difusión pública. Un incidente de seguridad tendría un impacto moderado.
Nivel bajoInformación pública, no sensible, dispuesta para difusión pública. Una difusión no autorizada no debería tener ningún daño, o este sería muy bajo.

      Por ejemplo, puede tener nivel de confidencialidad alto la documentación de una estrategia de marketing, la información de un proceso de adquisición empresarial, o la información de precios ofrecidos a un cliente. Puede tener un nivel de confidencialidad medio un directorio telefónico, o un organigrama de la empresa. Habitualmente, tendrán confidencialidad baja las notas de prensa, o la información publicada en la web de la empresa.

Image

       Recuerde

      La información clasificada como pública debe ser calificada expresamente para difusión pública, o por el área o responsable de comunicación de la empresa, o por el área de marketing, si se trata de información comercial

       Integridad

      La integridad se refiere a la completitud y exactitud de la información. La integridad se pierde cuando se realizan cambios no autorizados. Los criterios para determinar los requisitos de integridad de la información, podrían ser como los siguientes:

Requerimientos de integridad para la información
Nivel altoNo puede existir ninguna degradación de la integridad. La degradación tiene un impacto grave/desastroso.
Nivel medioUna degradación de la información, bien en su completitud o en su precisión, o en ambos, tendría un impacto moderado.
Nivel bajoLa completitud o precisión de la información puede degradarse con un impacto ninguno/bajo en el proceso.

       Disponibilidad

      La disponibilidad se refiere a que la información esté disponible cuando se necesite. Los criterios para determinar los requisitos de disponibilidad de la información podrían ser como los siguientes. Los periodos indicados son meramente orientativos, y se espera que difieran de una empresa a otra:

Requerimientos de disponibilidad para la información
Nivel altoLa información se necesita de manera continua, en condiciones de 24x7. La indisponibilidad tiene un impacto grave/desastroso.
Nivel medioLa información puede no estar disponible por un periodo de uno o dos días. La indisponibilidad tiene un impacto moderado.
Nivel bajoLa información puede no estar disponible por un periodo de hasta 7 días. La indisponibilidad tiene un impacto ninguno/bajo.
Image

       Actividades

      6. Clasifique la siguiente información del proceso de venta de libros de una librería, y valore justificadamente sus requisitos de seguridad:

      1 Base de datos con direcciones de domicilios, teléfonos e histórico de compras de clientes, categorizados por intereses o aficiones.

      2 Inventario.

      3.3. Valoración de los procesos a partir de sus componentes

      El apartado anterior da un enfoque sencillo para evaluar los requisitos de seguridad de un proceso, haciéndolos coincidir con los requisitos de su información resultante.

      Como ya se mencionó, en ocasiones esto no será posible o conveniente. En estos casos pueden determinarse los requisitos de seguridad del proceso a partir de los requisitos

Скачать книгу