3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES
3.2.2. Desarrollar un Perfil de los Activos Informáticos:
Se enfoca en desarrollar un perfil para cada uno de los activos informáticos de la organización. El perfil consiste en describir para cada uno de ellos, sus características únicas, sus cualidades y valor. Este perfil no debe dar a lugar a información ambigua, y garantiza que los requerimientos de seguridad para ese activo queden claramente definidos. Adicionalmente en este perfil se establecen parámetros como el responsable y los niveles de Confidencialidad, Integridad y Disponibilidad, identificando cuál es el más importante.
Ilustración 3 Perfilamiento de activos
Fuente: James F. Stevens Information Asset Profiling
Actividad 1 Capturar información de fondo:
El propósito de este paso es recopilar información, sobre la persona que está completando el perfil de activos de información.
Actividad 2 - Definir el activo de información
El propósito de este paso es caracterizar un activo de información. Antes de que cualquier tipo de actividad de análisis pueda realizarse en un activo de información, la organización debe entender y acordar lo que contiene un bien de información.
Actividad 3 - Identificar al propietario del activo
El propósito de esta actividad es identificar y documentar el propietario del activo de información es importante porque el propietario debe trabajar con el individuo o grupo.
64
Actividad 4 - Identificar Contenedores
El propósito de este paso es capturar una lista de todos los contenedores en los que el activo se almacena, transporta o procesa y la lista asociada de los gestores de dichos contenedores.
Actividad 5 - Identificar los requisitos de seguridad
El propósito de este paso es capturar los requisitos específicos de seguridad de la información del activo.
Actividad 6 - Determinar la Valoración del Activo de Información
Antes de que se puedan evaluar los riesgos para un activo de información, se debe conocer el valor tangible e intangible del activo.
3.2.2.1 Desarrollo del perfilamiento de los activos
Para el desarrollo del modelo se tomaron en cuenta los perfiles de información más relevantes de la compañía en las siguientes tablas se les realizo un análisis según las 6 actividades relacionadas anteriormente, los activos que se identificaron para el perfilamiento son:
• Intranet • PSE
• Base de datos AcciónBack • Correo electrónico • Centro de negocios • AcciónBack • Documentos • Digitalizador • Inveracción • Directorio activo • Control de acceso • Cableado • Red eléctrica • Servidor de aplicaciones • Servidor de producción • Servidor de pruebas
65
3.2.2.1.1. Perfilamiento del activo correo electrónico Tabla 6 Perfilamiento del activo correo electrónico
Hoja de trabajo Metodología Octave Allegro Perfil de activos de información
Activo Critico: Correo electrónico
Descripción: El correo electrónico es un servicio de red que permite que dos o
más usuarios se comuniquen entre sí por medio de mensajes que son enviados y recibidos a través de una computadora o dispositivo móvil.
Por este medio se reciben varias peticiones o solicitudes ya sea de los clientes o de los empleados, es un medio de comunicación vital para la compañía ya que gran parte de las tareas son recibidas por este medio.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de correo electrónico.
Requerimientos de seguridad
Confidencialidad: Todos los correos electrónicos o PQR recibidos por parte de
los clientes se consideran como información de alta confidencialidad.
Integridad: Toda la información recibida o enviada por correo electrónico debe
ser exacta y correcta.
Disponibilidad: La información que se encuentra en el correo electrónico de
debe estar disponible siempre y cuando sea necesaria tanto para el usuario como para los administradores de la compañía.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
El correo electrónico debe estar siempre accesible a cualquier hora para los empleados de la compañía.
Fuente: Propia
3.2.2.1.2. Perfilamiento del activo Intranet
Tabla 7 Perfilamiento del activo Intranet
Hoja de trabajo Metodología Octave Allegro Perfil de activos de información
Activo Critico: Intranet
Descripción: La intranet es una plataforma interna de la compañía donde los
empleados de la compañía pueden acceder a varias aplicaciones Core conectadas a diferentes servidores internos en la intranet también se aloja información muy importante como procesos y manuales de aplicaciones.
66
Titular del activo: Gerente de infraestructura, Gerente de tecnología.
Contenedores para los activos de información
Hardware: Servidor interno
Requerimientos de seguridad
Confidencialidad: Con un perfil, usuario y contraseña proporcionada por el área
de tecnología solo algunos usuarios pueden realizar modificaciones sobre la intranet y los documentos que en ella se encuentran.
Integridad: Solo con un usuario y contraseña se puede acceder a la intranet y a
las respectivas aplicaciones.
Disponibilidad: La intranet debe estar siempre disponible para los empleados
de la compañía para puedan realizar las actividades diarias como: Registrar clientes en el formulario de vinculación, consultar y modificar información de clientes registrados en el formulario de vinculación, consultar saldos de los clientes, consultar proyectos inmobiliarios entre otros.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La intranet debe estar disponible y accesible a todos los usuarios de la compañía para acceder a los diferentes aplicativos, realizar consultas de los documentos que se encuentran publicados y realizar las tareas diarias.
Fuente: Propia
3.2.2.1.3. Perfilamiento del activo Plataforma de pagos
Tabla 8 Perfilamiento del activo Plataforma de pagos
Hoja de trabajo Metodología Octave Allegro Perfil de activos de información
Activo Critico: Plataforma de pagos.
Descripción: Es una aplicación Core, plataforma de recaudo en el cual los
clientes realizan los pagos de las obligaciones pactadas con la compañía, también se encuentra el histórico de pagos realizados por los clientes, y el estado de la transacción.
Fecha de creación: 01/01/2017
Titular del activo: Gerente de infraestructura.
Contenedores para los activos de información
Hardware: Servidor de recaudo.
Requerimientos de seguridad
Confidencialidad: Con un usuario, una contraseña y un código de verificación
que el cliente debe ingresar a la plataforma para validar y realiza el pago del cumplimiento.
Integridad: La información que se encuentra alojada en la plataforma de pagos
debe ser verídica y confiable, solo el cliente podrá acceder con usuario, contraseña y un código de verificación.
67
Disponibilidad: La plataforma de recaudo debe estar disponible las 24 horas del
día debido a que la compañía tiene clientes a nivel nacional e internacional, realizando los pagos de las obligaciones en cualquier momento del día.
Valoración:
Confidencialidad: Integridad: Disponibilidad: X
La plataforma debe estar disponible todo el tiempo debido a que lo clientes pueden realizar pagos en cualquier momento.
Fuente: Propia
El análisis del perfilamiento de los activos de información restantes se encuentra en el Anexo 2.