Oferta Y Demanda

OBJETIVO DEL DOCUMENTO

Establecer lineamientos estándar que sirvan de guía en la elaboración de las Metodologías de Gestión del Riesgo a realizar por los distintos procesos de la ONP.

B. DEFINICIONES

Información: Datos que poseen significado.

Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados.

Integridad: Garantía de la exactitud y el contenido completo de la información. Asegurar que Proteger a la información de cualquier modificación o destrucción no autorizada.

Disponibilidad: Asegurar el acceso a la información por parte de los usuarios autorizados en el momento que ellos lo requieran.

Activo de Información: La información y su medio de soporte (por ejemplo, expedientes, bases de datos) así como los activos asociados con el procesamiento de información (computadoras, red interna, aplicativos).

Propietario del Activo de Información: Es el responsable de coordinar con el Oficial de Seguridad las medidas de seguridad aplicables para proteger los activos de información. Asimismo, es el responsable de clasificar la información confidencial o restringida y de definir qué usuarios (custodios de la información) deberán tener permisos de acceso a la información, de acuerdo a sus funciones y competencias.

Custodio de la Información: Es el usuario responsable de resguardar los activos de información que utiliza y/o custodia, aplicando los controles dispuestos por el Propietario de la Información.

Clasificación de la Información: Su valor guarda relación con la importancia que se le asigna al activo para las actividades de la organización negocio. La clasificación sólo aplica para la Información de tipo Físico y Lógico. Se han establecido los siguientes niveles:

Clasificación Descripción

INFORMACIÓN

CONFIDENCIAL Información a la cual sólo tienen acceso un número reducido de usuarios. Si se produce un acceso no autorizado puede impactar significativamente contra la organización, clientes, personal o terceros.

INFORMACIÓN

RESTRINGIDA Información utilizada por el personal para conducir las operaciones del negocio, y que puede ser compartido con terceros en forma autorizada.

INFORMACIÓN

PÚBLICA Información disponible para distribuir al público, siguiendo procedimientos o canales establecidos. Información de dominio público.

Tipos de Activo: Puede resultar conveniente dividir los activos de información según su estado y características propias. A modo de ejemplo, se muestran los siguientes tipos:

• Información Física: Información que se encuentra impresa o manuscrita, y que se utiliza para ciertas actividades del proceso.

• Información Lógica: Información intangible que se genera en el proceso y que se encuentra almacenada en un medio magnético.

• Software: Conjunto de programas que puede ejecutar el hardware para la realización de las tareas de computación a las que se destina.

• Hardware: Conjunto de elementos materiales que componen un ordenador u otros equipos.

• Servicios: Tales como Energía Eléctrica, Agua, Red, Conexión VPN, Telefonía, Servicio de Correo Electrónico. Estos servicios se apoyan generalmente en elementos de hardware (cables, tubos, etc.) pero los usuarios los perciben como servicios.

• Personal: Personas que componen la organización y ejecutan tareas propias del negocio.

• Entorno: Edificios, Mobiliario, etc.

• Intangibles: Activos que influyen en los aspectos sociales, éticos, técnicos y económicos.

Amenaza: Causa potencial de un incidente no deseado, que puede resultar en un daño para la organización o el sistema. Algunos ejemplos de Amenaza: Adulteración de documentos, Fuga de Información, Incendio, Terremoto, Código Malicioso, Caída Eléctrica, Falla en los Servicios de Comunicación, etc.

Agente: Persona (o grupo de personas) que activamente causa la amenaza. En las amenazas de tipo natural o tecnológico, tales como los terremotos o falla de los equipos, no es posible identificar un agente específico.

Vulnerabilidad: Es la debilidad de un activo o grupo de activos, que pueden ser explotadas por una o varias amenazas. Una vulnerabilidad en sí misma no causa daños. Algunos ejemplos de vulnerabilidad: que no se cuente con personal capacitado, falta de control de privilegios del sistema, etc.

Control: Significa el manejo del riesgo, lo que puede incluir políticas, procedimientos, guías, prácticas, nuevos equipos o nuevas estructuras organizacionales; las cuales pueden tener naturaleza administrativa, técnica, legal o de gestión. El término Control es también utilizado como sinónimo de salvaguarda o contramedida. Los controles pueden ser preventivos, detectores, correctivos o persuasivos.

• Los controles preventivos sirven para que la amenaza no cumpla con su objetivo de atentar contra la seguridad del activo, por ejemplo, la delimitación del perímetro de la seguridad física.

• Los controles detectores son aquellos que sirven para descubrir amenazas o vulnerabilidades de la seguridad de la información, por ejemplo instalar un software detector de intrusos IDS.

• Los controles disuasivos sirven para que el agente de la amenaza desista de tomar acciones que atentan contra la seguridad de la información de los activos. Un ejemplo son los procesos disciplinarios.

• Los controles correctivos son aquellos que se ejecutan después de un ataque contra la seguridad de la información y sirven para corregir el daño en la seguridad que ha sufrido el activo. Un ejemplo es el respaldo de la información.

Controles Existentes: Son aquellos controles que ya se encontraban implementados por la organización, previamente al Análisis de Riesgos realizado.

Degradación: Es el grado en que se ve afectado el activo

...