Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 31
4.1. Valoración CIA de las personas
ОглавлениеLa información es manejada por personas, y resulta importante tener identificadas a dichas personas, que serán empleados de la empresa, o externos (proveedores, clientes, visitas, y otros).
El responsable de identificar las personas que acceden a la información de un proceso, es el responsable de dicho proceso; y puede coincidir habitualmente con el responsable o jefe del área o departamento que desempeña dicho proceso en la empresa.
Nota
Se pueden emplear formularios similares a los usados en el BIA, o reuniones con los dueños de los procesos, para identificar a todas las personas que intervengan en dichos procesos.
La valoración para cada persona que intervenga en el proceso se evalúa en las tres dimensiones de la seguridad: (C, I, A).
Confidencialidad
Los requisitos de confidencialidad para cada individuo atienden, por tanto, a la clasificación de la información del proceso (confidencial, interno, o público), a la que tenga restringido su acceso. Se clasifican en 3 niveles, y pueden asignarse de acuerdo a la mejor descripción de las necesidades del proceso.
| Requerimientos de confidencialidad para las personas | |
| Nivel alto | Cuando las personas acceden a información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona con un requisito de confidencialidad alto tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando las personas acceden a información calificada como interna. Un incidente de seguridad tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando las personas acceden a información calificada como pública. Un incidente de seguridad tendría una repercusión ninguna/bajo en el proceso. |
Integridad
Los requisitos de integridad para las personas atienden al nivel de la información que pueden modificar en el proceso, y a la capacidad para modificar completamente o no dicha información.
| Requerimientos de integridad para las personas | |
| Nivel alto | Cuando las personas modifican información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando las personas pueden modificar completamente información calificada como interna e información calificada como pública. Un incidente de seguridad tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando las personas tienen restricciones para modificar la información calificada como interna e información calificada como pública. Un incidente de seguridad tendría una repercusión ninguno/bajo en el proceso. |
Disponibilidad
Los requisitos de disponibilidad para las personas atienden al daño que genera al proceso el que la persona no esté disponible.
| Requerimientos de disponibilidad para las personas | |
| Nivel alto | Cuando la no disponibilidad de la persona tendría un impacto grave/desastroso en el proceso. |
| Nivel medio | Cuando la no disponibilidad de la persona tendría un impacto moderado en el proceso. |
| Nivel bajo | Cuando la no disponibilidad de la persona tendría un impacto ninguno/bajo en el proceso. |
