¿Cómo caracterizar un activo de Seguridad de la Información?

Un plan de Seguridad tiene como objetivo de seguridad los activos que crean el mando en estudio del proyecto. El término del conjunto de activos del dominio no impide la deferencia de las relaciones en elemento de seguridad de dichos activos con el ambiente.

Características de los activos

Cada uno del activo tienen sus características, que aplazan en la etapa, en componente de seguridad, en los niveles de los sub estados, confidencialidad, integridad y disponibilidad. Vamos a definir los diversos sub estados que son los siguientes:

• Sub estado A (Autenticación): Tiene la característica de brindar y reconocer la autenticidad de los activos de información e identificar los actores o la autorización necesaria ofrecida por parte de las personas con dominio, además de verificar las tres cuestiones anteriores.
• Sub estado C (Confidencialidad): Tiene la característica de indicar la divulgación o no autorizada de los activos de información, a menos se relaciona con la intimidad cuando esta información se refiere a personas, es decir, la Ley Orgánica de Protección de Datos, de carácter personal.
• Sub estado I (Integridad): Tiene la característica de proteger sobre la modificación o destrucción no autorizada de activos del dominio, lo que enlaza a la fiabilidad de los Sistemas de Seguridad de la Información ISO 27001 y hace referencia a los activos de tipo información, por ejemplo dificultades de integridad por culpa de virus alojados en los datos almacenados en un computador.
• Sub estado D (Disponibilidad): Esta característica protege contra la falta de acceso no autorizado a los activos del demonio y se encuentra asociado con la fiabilidad técnica de los componentes del Sistema de Información.

Tipos de activos

Podemos considerar cinco grandes tipos de activos de información, que son los siguientes:

1. El entorno del Sistema de Seguridad de la Información basado en ISO 27001, que alcanza a los activos y que se precisan para avalar los siguientes niveles.
2. El sistema de información en sí.
3. La misma información que se genera por la diligencia del Sistema de Seguridad de la Información.
4. Las funciones de la empresa, en las que se demuestran las pretensiones de los Sistemas de Información anteriores y les generan la finalidad ansiada.
5. Otros activos, ya que el método realizado a los activos es un proceso donde se evalúan los riesgos que tienen que permitir la inclusión de cualquier otro activo, cuál sea su naturaleza.

Estos cinco tipos de activos envuelven la caracterización según la naturaleza íntima, durante los tres primeros tipos se forma el dominio preciso de todo proyecto de Seguridad de Sistema de Información ISO 27001, los otros dos son circunstanciales del Sistema de Información propiamente dicho, aunque no están libres de consecuencias desde el punto de vista de seguridad. El plan de seguridad pronuncia las cinco tipologías como otras capas. Los fallos que se originan en los activos del entorno son:

• Inducir a fallos en los Sistemas de Información
• Inducir a fallos en la información
• Aguantar funcionalidades de la organización

Condicionantes de otros activos

 Atributos de un activo

Cada activo o grupo de activos sobrelleva las diferentes tipologías de indicadores de evaluación que brindan una disposición con lo que poder medir el impacto que plasma la amenaza que puede provocar.

• Valorar básicamente el activo que es considerado, ya que tiene dos aspectos diferenciados:

 Un atributo cuantitativo, es decir, el precio del cambio que se puede utilizar en ciertas tipologías de activos y su utilidad.

 Un atributo cualitativo, es decir, aguanta la categorización de los tipos de activos por su medio.

• Se aprecia de forma determinada la etapa en el que se halla la seguridad del activo de información que sea estimado, es por esto que se puede resumir los cuatro sub estado mencionado anteriormente, A-C-I-D: Autentificar, Confidencial, Integridad y Disponibilidad.

Métrica de los activos de seguridad

Las personas responsables de resguardar los activos tienen que identificar, definir y valorar todos sus activos. Las filologías de valoración intrínseca se apoyan:

• Los activos que se hallan inventariados tienen una parte en activos asociados con el medio y otra parte con los sistemas de información, que seguirán las categorizaciones de estos inventarios.
• Otros activos que pueden estar o no inventariados, estos suelen estar con las aplicaciones existentes que envuelven la obtención de información.

• Otros activos no pueden ser inventariados en el sentido contable. Por esta razón, no deja de tener un valor de uso para la organización, lo que se aprecia de forma cualitativa por su carencia.

No es recomendable combinar las valoraciones de los activos que se hallan inventariados y los que no se encuentran inventariados, debido a que la valoración de los procedimientos exigiría un doble de esfuerzos:

Llevar a cabo los ritmos de valoración del estado de seguridad del activo que se tiene en cuenta permite apreciar los valores de los cuatro sub estados, mencionados anteriormente, A-C-I-D (autenticación, confidencialidad, integridad y disponibilidad).

Sub estado A (autentificación): se establece una escala con cuatro niveles:

• Baja: No es necesario conocer los activos de información.
• Normal: Es necesario e importante conocer al emisor del activo.
• Alta: Es necesario evitar el rechazo en destino.
• Crítica: Se solicita establecer la autoría y no-modificación de contenido.

Sub estado C (Confidencialidad): Se crea una escala con los cuatro valores diferentes:

• Libre: No tiene ninguna restricción a la hora de darle propagación.
• Restringida: presenta restricciones normales.
• Protegida: tiene restricciones altas.
• Confidencial: no se puede propagar bajo ningún concepto.

Sub estado I (integridad): Utiliza los cuatro niveles para poder instituir una clasificación:

• Bajo: Se puede substituir de una forma suficiente fácil.
• Normal: Se puede con un activo de calidad semejante, con una contrariedad razonable.
• Alto: la calidad necesaria del activo es reconstruirle de forma fácil.
• Crítico: No se puede volver a lograr una calidad parecida.

Sub estado D (disponibilidad): Hay escalas de niveles que dice que el tiempo máximo de falta activo.

• Menos de una hora.
• Hasta un día laborable.
• Hasta una semana.

Software para Riesgos de Ciberseguridad ISO 27001

Para una gestión eficiente de la ciberseguridad se hace imprescindible mantener bajo control las vulnerabilidades y amenazas de cada proceso, ya tengan que ver o no con activos de la organización. Para ello se ha de contar con las metodologías que sean necesarias como ISO 27001, acompañada de la ISO 27002 y 27032.

Todos estos controles de Seguridad de la Información , así como las mejores prácticas para su gestión automatizada, se encuentran recogidos en el Software de Gestión de Seguridad de la Información ISOTools. Gracias a ISOTools consigue una gestión eficiente de la Seguridad de la Información, desde la implementación hasta la certificación. Para conocer como hacemos más eficiente la gestión de la Seguridad de la Información en las organizaciones puede inscribirse en la demostración gratuita que celebramos semanalmente, haciendo clic aquí.