Clasificación de los activos de información

Clasificación de los activos de información

Los activos de información tienen diversos grados de sensibilidad y de criticidad en cuanto a la satisfacción de los objetivos del negocio.

El acceso a los activos de información de TI (Tecnologías de Información) se establece, administra y gestiona, a nivel lógico y a nivel físico.

Hay mucha filosofía en este punto, en el tema de seguridad de información siempre que se evalúan los niveles de riesgos de los activos de información, el hecho que se conozca la información del nivel de madurez de los controles de acceso tanto físicos como lógicos.

Si para los usuarios no autorizados a determinada información se les establecen barreras de acceso a la misma usando estos controles de seguridad mencionados en el párrafo anterior, obviamente el nivel de riesgo deberá disminuir dependiendo de la efectividad de estos controles.

En varios países en el mundo existen leyes y regulaciones que establecen mucha atención a estos controles, por ejemplo la ley de Sarbanes-Oxley orientada a evitar fraudes en la información financiera de las empresas, exige demasiados controles sobre este tipo de problemas relacionados al acceso de la información.

Cuando a una persona se le pide su usuario y una contraseña para acceder a un sistema, estamos haciendo uso de un control de acceso. Una vez que ingresa al sistema e intenta ver un archivo, dicho archivo puede tener una lista de usuarios o de grupos que tienen derecho a ver dicho archivo, si el usuario no está en esa lista, se le niega el acceso. Esto es otro tipo de control de acceso.

Definimos acceso como el flujo de información entre un sujeto y un objeto. El sujeto es una entidad activa que solicita acceso a un objeto o a un dato dentro de un objeto. Puede ser un usuario, un programa o un proceso que accede un objeto para realizar una tarea. Un objeto es una entidad pasiva que contiene información.

Control de acceso es un término muy amplio que cubre diferentes tipos de mecanismos que hace cumplir los requerimientos de control de accesos en sistemas, redes e información. Es extremadamente importante porque es una de las primeras líneas de defensa contra el acceso no autorizado.

Accesos lógicos

Como mencionamos con anterioridad, una de las piedras angulares de la seguridad de la información es controlar cómo los recursos son accedidos de tal manera de que puedan ser protegidos contra accesos o modificaciones no autorizados. Los procesos de control de accesos permiten manejar cómo los usuarios y los sistemas se comunican e interactúan con otros sistemas y recursos. Los controles que hacen cumplir el control de acceso pueden ser técnicos, físicos o administrativos.

Los activos de TI bajo la seguridad lógica pueden agruparse en cuatro capas: las redes, las plataformas de sistemas operativos, las bases de datos y las aplicaciones. Esto permite el concepto de seguridad en capas para acceso al sistema que proporciona un mayor alcance y granularidad de control de los recursos de información.

Los controles de las bases de datos y de las aplicaciones, por lo general, proporcionan un mayor grado de control sobre la actividad del usuario dentro de un proceso particular del negocio al controlar el acceso a registros, campos de datos específicos y transacciones.

Las capacidades de acceso lógico son implementadas por medio de la administración de la seguridad en un conjunto de reglas de acceso que estipulan cuáles usuarios (o grupos de usuarios) están autorizados para tener acceso a un recurso a un nivel en particular (por ejemplo, leer, actualizar, ejecutar solamente) y bajo qué condiciones (por ejemplo, hora del día o conjunto

...