Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Untitled Prezi

No description
by

Marko Lara

on 1 August 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Untitled Prezi

Notes
Ejemplos
Jerarquías
Metodologías de Clasificación de la Información.
Clasificación de la información.
Podríamos preguntarnos si ¿es suficiente con un análisis de riesgos para obtener un plan de contramedidas que nos llevara a una situación de control como se desea?

La respuesta es no, dado que todas las entidades de información a proteger no tienen el mismo grado de importancia, y el análisis de riesgos metodológicamente no permite aplicar una diferenciación de contramedidas según el activo o recurso que protege si no por la probabilidad del riesgo analizado.
Esto es “SI IDENTIFICAMOS DISTINTOS NIVELES "DE CONTRAMEDIDAS PARA DISTINTAS ENTIDADES DE INFORMACION CON DISTINTO NIVEL DE CRITICIDAD, ESTAREMOS OPTIMIZANDO LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS”.
Si en vez de cifrar la red de comunicaciones por igual somos capaces de diferenciar porque líneas va la información que clasificamos como "Restringida" a los propietarios de la misma, podemos cifrar solamente estas líneas para protegerla sin necesidad de hacerlo para todas, y de esa manera disminuiremos el costo de la contramedida “cifrado”.
Tradicionalmente...
el concepto de información clasificada se aplicó a los documentos de papel, aunque los criterios y jerarquías nunca han sido más de dos (secreto y no). Con la tecnología de la información el concepto ha cambiado e incluso se ha perdido el control en entornos sensibles. Nace pues el concepto de ENTIDAD DE INFORMACION como el objetivo a proteger en el entorno informático, y que la clasificación de la información nos ayudara a proteger especializando las contramedidas según el nivel de confidencialidad o importancia que tengan.
Los pasos de la metodología son los siguientes:
1. IDENTIFICACIÓN DE LA INFORMACIÓN.

2. INVENTARIO DE ENTIDADES DE INFORMACIÓN RESIDENTES Y OPERATIVAS Inventario de programas y archivos de datos, estructuras de datos, soportes de información, etc.

3. IDENTIFICACIÓN DE PROPIETARIOS: Son los que necesitan para su trabajo, usan o custodian la información

4. DEFINICIÓN DE JERARQUÍAS DE INFORMACIÓN. Suelen ser cuatro porque es difícil distinguir entre más niveles.

5. DEFINICIÓN DE LA MATRIZ DE CLASIFICACIÓN. Esto consiste en definir las políticas, estándares objetivos de control y contramedidas por tipos y jerarquías de información.

6. CONFECCIÓN DE LA MATRIZ DE CLASIFICACIÓN. En esta fase se cumplimenta toda la matriz, asignándole a cada entidad un nivel de jerarquía lo que la asocia a una serie de hitos a cumplir según el punto anterior, para cuyo cumplimiento deberemos desarrollar acciones concretas en el punto siguiente.

7. REALIZACIÓN DEL PLAN DE ACCIONES. Se confecciona el plan detallado de acciones. Por ejemplo, se reforma una aplicación de nóminas para que un empleado utilice el programa de subidas de salario y su supervisor lo apruebe.

8. IMPLANTACIÓN Y MANTENIMIENTO. Se implanta el plan de acciones y se mantiene actualizado.

Por ejemplo:
Esta metodología es del tipo cualitativo/subjetivo y como el resto de la metodología PRIMA tiene listas de ayuda con el concepto abierto, esto es, que el profesional puede añadir en la herramienta niveles o jerarquías, estándares y objetivos a cumplir por el nivel y ayudas de contramedidas.
Ejemplos de estándares de información son: una pantalla, un listado, un archivo de datos, una microficha de saldos, los sueldos de los directivos, los datos de tipo “salud” en un archivo de personal, una transacción, un JCL, un editor, etc.
O sea los factores a considerar son los requerimientos legislativos, la sensibilidad, a la divulgación (confidencialidad), a la modificación (integridad), y a la destrucción.
Las jerarquías suelen ser cuatro, y según se trate de óptica de preservación o de protección, los cuatro grupos serán:

Vital-Critica-Valuada-No sensible
o bien
Altamente Confidencial-Confidencial-Restringida-No Sensible.
Estratégica (información muy restringida, muy confidencial, vital para la subsistencia de la empresa).

Restringida (a los propietarios de la información).

De uso interno (a todos los empleados)

De uso general (sin restricción).

PRIMA, aunque permite definirla a voluntad, básicamente define:

Lara Rodriguez Marco Antonio
Jimenez Limon Erick Arturo
Cortez Nicolas Noel
Full transcript