Читать книгу Seguridad en equipos informáticos. IFCT0510 - José Francisco Giménez Albacete - Страница 31

4.1. Valoración CIA de las personas

Оглавление

La información es manejada por personas, y resulta importante tener identificadas a dichas personas, que serán empleados de la empresa, o externos (proveedores, clientes, visitas, y otros).

El responsable de identificar las personas que acceden a la información de un proceso, es el responsable de dicho proceso; y puede coincidir habitualmente con el responsable o jefe del área o departamento que desempeña dicho proceso en la empresa.


Nota

Se pueden emplear formularios similares a los usados en el BIA, o reuniones con los dueños de los procesos, para identificar a todas las personas que intervengan en dichos procesos.

La valoración para cada persona que intervenga en el proceso se evalúa en las tres dimensiones de la seguridad: (C, I, A).

Confidencialidad

Los requisitos de confidencialidad para cada individuo atienden, por tanto, a la clasificación de la información del proceso (confidencial, interno, o público), a la que tenga restringido su acceso. Se clasifican en 3 niveles, y pueden asignarse de acuerdo a la mejor descripción de las necesidades del proceso.

Requerimientos de confidencialidad para las personas
Nivel altoCuando las personas acceden a información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona con un requisito de confidencialidad alto tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando las personas acceden a información calificada como interna. Un incidente de seguridad tendría un impacto moderado en el proceso.
Nivel bajoCuando las personas acceden a información calificada como pública. Un incidente de seguridad tendría una repercusión ninguna/bajo en el proceso.

Integridad

Los requisitos de integridad para las personas atienden al nivel de la información que pueden modificar en el proceso, y a la capacidad para modificar completamente o no dicha información.

Requerimientos de integridad para las personas
Nivel altoCuando las personas modifican información calificada como confidencial o crítica para la empresa. Un incidente de seguridad causado por una persona tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando las personas pueden modificar completamente información calificada como interna e información calificada como pública. Un incidente de seguridad tendría un impacto moderado en el proceso.
Nivel bajoCuando las personas tienen restricciones para modificar la información calificada como interna e información calificada como pública. Un incidente de seguridad tendría una repercusión ninguno/bajo en el proceso.

Disponibilidad

Los requisitos de disponibilidad para las personas atienden al daño que genera al proceso el que la persona no esté disponible.

Requerimientos de disponibilidad para las personas
Nivel altoCuando la no disponibilidad de la persona tendría un impacto grave/desastroso en el proceso.
Nivel medioCuando la no disponibilidad de la persona tendría un impacto moderado en el proceso.
Nivel bajoCuando la no disponibilidad de la persona tendría un impacto ninguno/bajo en el proceso.
Seguridad en equipos informáticos. IFCT0510

Подняться наверх