Ofertas en tecnología

Seguridad de la Información: Clasificación de la Información

Altavoz inteligente Echo Dot

seguramente la protesta más frecuente entre la gente que trabajan en enormes corporaciones es que tienen mucho más cosas que lograr que elementos para hacerlas. Es viable comprender esta situación si observamos a la compañía con una observación mucho más amplia y extensa.

Toda entidad empresarial busca el lucro, esto es, tiene como propósito efectuar una o mucho más ocupaciones en las que se gana mucho más dinero del que se gasta. A la visión de este principio básico, el mayor pecado que puede cometer un directivo es derrochar elementos, esto es, usar en una actividad mucho más elementos de los que demanda, por el hecho de que cada céntimo gastado innecesariamente es un céntimo menos de beneficio y cuyo empleo no generó valor añadido. alguno Entonces se regresa evidente que sostener un poco La carencia de elementos es estratégicamente considerablemente más atrayente que un tanto sobrante, puesto que resguarda a la compañía del desperdicio y asiste para aumentar al máximo las ganancias.

Tenga presente que puse en negrita la palabra «pequeño». Una falta excesiva de elementos transporta al fracaso de cualquier modelo de administración que se logre concebir. Y, como es natural, bastantes elementos excedentes destrozan la rentabilidad y, en último término, el negocio.

Esta situación, que todos conocemos realmente bien, pide de todas y cada una la gente de la organización la aptitud de priorizar, o sea, seleccionar entre todas y cada una de las solicitudes, cuál es más esencial. Merece la pena rememorar que una cosa solo puede ser prioritaria en menoscabo de otras que no lo son. Un contexto donde todo es prioritario es idéntico a un contexto donde nada es prioritario, en la medida en que, en los dos casos, no hay un método de decisión y exclusión.

En mi articulo previo sobre Access Matrix puse como primordial detectar al costado del negocio accesos a la información que verdaderamente se precisa. La priorización de qué información resguardar y cuánta energía emplear en esta protección asimismo debe venir del negocio, en tanto que solo los causantes del negocio saben decir apropiadamente la criticidad de cada activo de información en la compañía.

Presento ahora una metodología para contribuir a inventariar y también detectar la criticidad de la información de la compañía con el negocio. Con la información inventariada y separada por criticidad, las acciones de Seguridad de la Información son simples de priorizar. Sencillamente escoja los diseños que resguardan la información mucho más crítica y los ámbitos tecnológicos que la contienen. Créame, es considerablemente más simple seducir a un ejecutivo de que invierta dinero para resguardar el emprendimiento y el plan de negocios de su nuevo producto que invertir exactamente el mismo dinero para resguardar un servidor corporativo y los ficheros que tiene dentro, aun si los ficheros poseen el emprendimiento en sí y el plan de negocios. Es una cuestión de lenguaje y comunicación.

El procedimiento una parte de un archivo oficial o instrucción normativa que detalla las probables clasificaciones de la información, que puede ser un informe, un display del sistema, una hoja de cálculo o una presentación. El archivo asimismo debe contener precaución en el régimen de la información clasificada en todas y cada una de las etapas de su ciclo vital, o sea, creación, almacenamiento, transferencia y supresión. Estas cautelas tienen que cambiar con cada clasificación y con el medio en que está la información, que puede ser digital, removible o papel. Complementariamente, va a deber detallar la obligación de rotular los documentos con la clasificación de la información.

Los rangos tienen la posibilidad de cambiar según el nombre, pero normalmente son 4. Hay información pública, que puede salir libremente fuera de las fronteras de la compañía. Asimismo hay aquellas que están limitadas a los usados, pero tienen la posibilidad de circular libremente en la compañía. Asimismo contamos esos que están limitados a conjuntos concretos de usados. Por último, está la información que está limitada de forma exclusiva a sus dueños, como claves de acceso, claves de encriptación y números de tarjetas de crédito.

Una vez definida, aprobada y publicada la regla de clasificación de la información, hay que mover el área de negocio.

Lamentablemente, hacerle una pregunta al agente comercial «¿cuáles son los activos de información que maneja en el día a día?» es un enfoque que no marcha. El término mismo de «información» es muy etéreo para la mayor parte de la gente, por más que forme una parte de sus vidas. Lo que funcionó realmente bien para mí fue preguntar: «¿Cuáles son las ocupaciones mucho más esenciales que haces?» Y después: “¿Qué pantallas de sistema, reportes, hojas de cálculo o muestras generan estas ocupaciones que se guardan o mandan a otra gente?”. Para cada actividad, que en esencia es un desarrollo comercial, se tienen que registrar las entradas y salidas y producir diagramas de tortuga.

Este procedimiento transporta el inventario de información del área a la Seguridad de la Información. Es ni más ni menos que la recopilación de los modelos de las primordiales ocupaciones del área, esto es, la información de salida de los primordiales procesos de negocio. Consejo esencial: evite charlar de procesos a lo largo de este trabajo. Ha de ser deslumbrante leer esto, pero la verdad es que el término “desarrollo” hace las mucho más variadas reacciones sentimentales, la mayoria de las veces negativas.

En este momento que contamos un inventario de la información que se genera en el área, debemos asignarle un dueño a cada uno de ellos. Raramente, el término de dueño de la información es impreciso en la literatura pero es muy deducible para el usado de la compañía. La palabra “dueño” supone poder y, en una composición jerárquica, a todos les resulta muy simple detectar, entre la gente implicadas en un desarrollo, quién tiene bastante poder para tener la información. Es simple. Sencillamente pregunte y el agente comercial le afirmará inmediatamente quién es el dueño de la información.

Al final, viene la clasificación. La técnica que me ha funcionado es comenzar por el radical, que es mucho más simple de comprender. Para cada información identificada en las fases precedentes, pregunte:

«¿Está bien si envío este informe por e-mail a nuestro mayor contrincante?»

La contestación revelará en el instante si la información es pública o no. El agente comercial es muy sensible sobre lo que puede o no ir al contrincante.

Si la información no es pública, pregunte:

«¿Está bien si envío esta hoja de cálculo por e-mail a toda la compañía?»

La contestación revelará si la información puede circular libremente o no.

Si la información no puede circular libremente, llegamos a la tercera cuestión, que es la mucho más complicada.

Al contribuyente en general le resulta simple dividir lo que se puede publicar a un conjunto grande de lo que unicamente se puede publicar a un conjunto pequeño. No obstante, tiene enorme contrariedad para dividir lo que se puede descubrir a un pequeño conjunto de lo que es imposible descubrir a absolutamente nadie, en tanto que la diferencia semeja sutil. Pero solo es verdaderamente sutil en el momento en que charlamos de la intimidad del resto. En el momento en que charlamos de nuestra intimidad, la distinción es considerablemente más clara. En el interrogante, cite la información aplicada a la persona para ocasionar empatía. Vea los ejemplos:

  • PAGO – Si fuera su talón de pago, ¿podría enviárselo a sus compañeros de trabajo?
  • CLAVE – ¿Tenemos la posibilidad de pasarle la contraseña de su banco a su cuñado?
  • HOJA DE CÁLCULO FINANCIERO – ¿Puedo mandar su hoja de cálculo de costos familiares a sus vecinos?

Preguntadas así, las respuestas revelarán si la información en cuestión ha de ser tratada como limitada a su dueño o si puede ser difundida a pequeños conjuntos correctamente concretados.

clasificaciónVea al costado de qué forma o sea con apariencia de fluído.

En el final de este trabajo, vamos a tener una lista de activos de información, con sus propios dueños y clasificaciones.

En el momento en que identifiquemos los activos tecnológicos que contienen esta información y apliquemos las reglas de manejo de la información, entenderemos precisamente qué cuestiones de inseguridad son primordiales y con el preciso cómputo valor/beneficio.

Más esencial aún, entenderemos por dónde iniciar, qué priorizar, y todo desde una visión comercial, no tecnológica.

Solo de esta forma, con los deberes hechos, los expertos de la Seguridad de la Información tenemos la posibilidad de “ir al recreo” y divertirnos bastante con el hacking ético, SIEM, encriptación, hardening, zero-days, honeypots, etcétera.

La compañía, pese a no comprender los datos de lo que hacemos, va a estar sosegada por el hecho de que va a saber que nos encontramos aplicando nuestra energía, sabiduría y conocimiento para resguardar lo que verdaderamente importa: el negocio.

Saludos y hasta el próximo articulo!

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart