SlideShare una empresa de Scribd logo

Clasificación de información... Tips básicos para empezar a ordenarnos

Fabián Descalzo
Fabián Descalzo

Datos que se procesan y transforman en información a través de los sistemas, cuando recopilamos documentos, cuando nos comunicamos; esta actividad es diaria y continua, y el criterio con el cual la administramos no siempre es el mismo.

Liderazgo y gestión
1 de 5
Descargar para leer sin conexión
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 1 Clasificación de información... Tips básicos para empezar a ordenarnos Datos que se procesan y transforman en información a través de los sistemas, cuando recopilamos documentos, cuando nos comunicamos; esta actividad es diaria y continua, y el criterio con el cual la administramos no siempre es el mismo. Todos usamos innumerables tipos de información en sus actividades diarias, la que almacenamos básicamente en 2 formatos principales: 1. Físico, también conocido como formato ’hardcopy’, por ejemplo: documentos en papel, incluyendo faxes y copias fotostáticas. 2. Electrónico, también conocido como ‘softcopy’, por ejemplo: documentos electrónicos en Word, hojas de cálculo en Excel, presentaciones en PowerPoint, escaneos, etc. De este modo, la información en ‘hardcopy’ puede ser almacenada en archivos físicos, carpetas o gabinetes, mientras que la información ‘softcopy’ puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares. También la información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico. El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDAs son ejemplos de esta tecnología. Es importante destacar que, en el caso de la información 'softcopy', todos los controles que comentaré en próximos debates, aplican de la misma forma cuando la tecnología inalámbrica es utilizada por empleados o contratistas de una Organización. Cuando comuniquen información, siempre consideren el principio fundamental que indica que la información debe ser compartida únicamente a quienes tengan una necesidad legítima de conocerla. La información no debe compartirse con quienes no necesiten conocerla (esto hace a nuestra vida cotidiana también). Si tienes duda al recibir información particular de personas dentro o fuera de la Organización, siempre pregúntense: ¿Realmente necesito conocer esta información? Y antes de compartir información con los demás, dentro o fuera de la Organización: ¿Esta persona necesita conocer esta información para llevar a cabo sus actividades en la Empresa?
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 2 En caso necesario, hagan la misma pregunta a la persona que les haya solicitado compartir la información. Éstas dos preguntas son el concepto básico de "Conocer y dar a Conocer" que nos ayuda a abrir una serie de Tips sobre la información, su entorno de procesamiento, riesgos asociados y como clasificarla, para de esta forma establecer los controles adecuados ya sea que tenga que cumplir con alguna regulación, norma o estándar implementado en la Organización. La información se clasifica con base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización. Los tres niveles de clasificación que aconsejo utilizar inicialmente y en orden ascendente de sensibilidad son: • Información Pública • Información Interna • Información Confidencial Los niveles de clasificación reflejan el valor de la información para la Organización y para quienes se relacionan con ella, y el daño que podría causarse al comprometerse o perderse la confidencialidad o privacidad de la misma. A continuación se describen algunos ejemplos de información para cada una de las categorías. Información Pública Esta es información que está disponible al público en general o ha sido aprobada para publicación al público en general, y no afecta a la Organización o a sus socios si es divulgada. Como tal, la información de ‘Dominio Público’ no es sensible. Ejemplos de información pública: 1. Folleto de información de productos. 2. Comunicados de prensa autorizados 3. Biografías en un sitio público de Internet, que describen al equipo directivo e incluyen sus fotografías y trayectorias sin mencionar sus datos personales Información Interna Esta clase de información es para uso general de los empleados de la Organización, contratistas autorizados y socios comerciales. La información de ’USO INTERNO’ es sensible y no debe estar disponible fácilmente al público en general porque su divulgación podría ser inapropiada e inconveniente. La combinación de nombres y direcciones de personas generalmente es considerada como información de ‘Uso Interno’. Esta información está generalmente disponible, sin embargo algunas personas evitan la publicación de sus direcciones, por ejemplo en directorios telefónicos; por tal motivo, con el fin de respetar su privacidad personal, debemos tratar de no divulgar esta información innecesariamente.
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 3 Como tal, la información clasificada de ’Información Interna’, debe ser tratada con cuidado. Ejemplos de información interna: 1. Información financiera sobre iniciativas de planeación y/o proyectos. 2. Planes de viaje y reuniones que incluyen nombres del cuerpo administrativo, no disponibles al público. No se proporcionan más detalles personales sobre el personal. 3. Álbum de fotos on-line del personal conteniendo nombres, departamentos y fotografías. 4. Información disociada de clientes Información Confidencial Es información que no es conocida públicamente y que otorga a la Organización una ventaja competitiva. La información 'CONFIDENCIAL’ es información muy sensible que si es divulgada, tendría un IMPACTO SIGNIFICATIVO en la Organización. Como tal, la información clasificada como 'CONFIDENCIAL', dentro o fuera de la empresa, a menos que el receptor ‘necesite conocer’ dicha información y se tomen las medidas necesarias para protegerla y para evitar que se comparta sin autorización. Debe evitarse la divulgación no autorizada de esta información y protegerla apropiadamente. Esta clasificación sólo debe utilizarse en circunstancias limitadas. Ejemplos de información confidencial: 1. Información sobre precios y márgenes de ganancia de productos 2. Resultados preliminares de estudios médicos laborales 3. Listas de clientes 4. Datos claves de Negocio 5. Planes estratégicos a nivel corporativo ¿QUIÉN DECIDE LA CLASIFICACIÓN CORRECTA? 1. Los Dueños de Datos son responsables de garantizar que dicha información sea clasificada correctamente en una de las 3 categorías. 2. Los ‘Autores’ o ‘Creadores’ de la información generalmente determinarán la categoría apropiada consultando al personal de Seguridad de la Información, según sea necesario. 3. Los Dueños y Autores deben considerar el impacto y probabilidad de divulgación al clasificar la información. El 'Impacto' es evaluado en términos de pérdida o ganancia potencial, riesgo de daño a personas, daño a la reputación de la Organización y a la participación de mercado, entre otros factores. 4. La ‘Probabilidad’ del daño es evaluada en colaboración con el personal de Seguridad de la Información y otros sectores según se requiera. 5. Las clasificaciones establecidas por los Dueños y Autores de la Información deben ser revisadas sólo con la aprobación del Dueño/Autor. 6. Para agregar información a un documento o colección nueva, se requiere que quien la agrega, evalúe su sensibilidad y garantice su clasificación correcta.
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 4 Los Dueños de Datos son personas de alta gerencia que son responsables, entre otras cosas, de los niveles de clasificación asignados a la información de la Organización. Aunque los Dueños de la Información son responsables de la correcta clasificación, dicha responsabilidad muchas veces será delegada a los Autores que crean la información. En muchos casos, los Autores entienden mejor el contenido de la información y están en mejor posición de clasificarla correctamente. Los Autores pueden generar o crear información ‘desde cero’ o pueden recopilar información a partir de fuentes existentes. La información recibida de otra fuente, ya sea un empleado o un tercero, debe haber sido clasificada previamente. Tomar dicha información y combinarla con otra información de una segunda fuente, ya sea en forma verbal o escrita, crea efectivamente información ‘nueva’ que debe ser clasificada. Por ejemplo, el Material A podría contener información personal y ser clasificado como información de ‘Uso Interno’. El Material B podría contener información sensible utilizada para algún proceso específico (por ejemplo, información relativa a la salud, religión) y ser clasificado también como información de ‘Uso Interno’. Cuando creamos materiales nuevos que contienen información de ambas fuentes, dicha información se podría clasificar como ‘Confidencial’. Es importante entender que si creamos una carpeta para que la vean los demás, en papel o electrónica, que contenga tanto el Material A como el Material B, entonces habremos creado una fuente de información combinada. Como la persona que agrega esta información, más que como el ‘Autor’, necesitarás confirmar que la carpeta resultante esté marcada apropiadamente. En términos generales, los pasos involucrados en la clasificación son: a. Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos sea divulgada. Los Dueños y Autores deben considerar el nivel de impacto, el daño potencial a los Clientes y a la reputación de la Organización. b.Evaluar la probabilidad de divulgación de la información de documentos o archivos electrónicos. c. Asignar la clasificación correcta según el contenido y sensibilidad de la información. d.Implementar las medidas de seguridad apropiadas para el almacenamiento, distribución y desecho del documento y/o archivo electrónico, y proporcionar instrucciones adecuadas a los usuarios o receptores que deseen comunicar la información. “Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio.”
Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 5 Dos últimas consideraciones: • Siempre debe verificarse la sensibilidad de la información que se maneja y debe considerarse qué se necesita para protegerla. • Aunque los Dueños / delegados nominados son responsables de determinar y aplicar la clasificación correcta, cada persona que maneja Información, incluyendo empleados y contratistas, son responsables de garantizar que cualquier información sensible sea manejada de forma correcta y apropiada. Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU). Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com

Recomendados

Hojas de cálculo de software libre
Hojas de cálculo de software libreHojas de cálculo de software libre
Hojas de cálculo de software libreAndydr1
 
Introduccion al procesamiento de datos e5 unesr
Introduccion al procesamiento de datos e5 unesrIntroduccion al procesamiento de datos e5 unesr
Introduccion al procesamiento de datos e5 unesrteoperez1958
 
Taller de estadistica
Taller de estadisticaTaller de estadistica
Taller de estadisticaDiana Palencia
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónTécnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónBriRodriguez
 
Hojas de calculo libres y comerciales y basadas en la web.
Hojas de calculo libres y comerciales y basadas en la web.Hojas de calculo libres y comerciales y basadas en la web.
Hojas de calculo libres y comerciales y basadas en la web.San Luis Obispo Chamber of Commerce
 
El aspecto humano y los presupuestos
El aspecto humano y los presupuestosEl aspecto humano y los presupuestos
El aspecto humano y los presupuestosEugenia Burgos
 
Cierre del proyecto - pmi
Cierre del proyecto - pmiCierre del proyecto - pmi
Cierre del proyecto - pmiMargarita Zambrano
 
UNIDAD 3 ESTADOS FINANCIEROS
UNIDAD 3 ESTADOS FINANCIEROSUNIDAD 3 ESTADOS FINANCIEROS
UNIDAD 3 ESTADOS FINANCIEROSGenesis Acosta
 

Recomendados

Hojas de cálculo de software libre
Hojas de cálculo de software libreHojas de cálculo de software libre
Hojas de cálculo de software libreAndydr1
 
Introduccion al procesamiento de datos e5 unesr
Introduccion al procesamiento de datos e5 unesrIntroduccion al procesamiento de datos e5 unesr
Introduccion al procesamiento de datos e5 unesrteoperez1958
 
Taller de estadistica
Taller de estadisticaTaller de estadistica
Taller de estadisticaDiana Palencia
 
Técnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónTécnicas y Herramientas para el Desarrollo de Sistemas de Información
Técnicas y Herramientas para el Desarrollo de Sistemas de InformaciónBriRodriguez
 
Hojas de calculo libres y comerciales y basadas en la web.
Hojas de calculo libres y comerciales y basadas en la web.Hojas de calculo libres y comerciales y basadas en la web.
Hojas de calculo libres y comerciales y basadas en la web.San Luis Obispo Chamber of Commerce
 
El aspecto humano y los presupuestos
El aspecto humano y los presupuestosEl aspecto humano y los presupuestos
El aspecto humano y los presupuestosEugenia Burgos
 
Cierre del proyecto - pmi
Cierre del proyecto - pmiCierre del proyecto - pmi
Cierre del proyecto - pmiMargarita Zambrano
 
UNIDAD 3 ESTADOS FINANCIEROS
UNIDAD 3 ESTADOS FINANCIEROSUNIDAD 3 ESTADOS FINANCIEROS
UNIDAD 3 ESTADOS FINANCIEROSGenesis Acosta
 
Finanzas públicas
Finanzas públicasFinanzas públicas
Finanzas públicasUNEG
 
Capitulo i generalidades de presupuesto
Capitulo i generalidades de presupuestoCapitulo i generalidades de presupuesto
Capitulo i generalidades de presupuestoPedro Luviano
 
Importancia de las finanzas públicas
Importancia de las finanzas públicasImportancia de las finanzas públicas
Importancia de las finanzas públicasAndres Santana
 
El Fenomeno contable
El Fenomeno contableEl Fenomeno contable
El Fenomeno contableedgar vanegas
 
sistemas de informacion gerencial
sistemas de informacion gerencialsistemas de informacion gerencial
sistemas de informacion gerencialNasly Peralta
 
Sistema contable
Sistema contableSistema contable
Sistema contabledaiesquivel
 
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1ticaFundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1ticaAngelKBattler
 
REVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionREVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionFabián Descalzo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMarcelo Herrera
 
Procedimiento implementación proteccion datos
Procedimiento implementación proteccion datosProcedimiento implementación proteccion datos
Procedimiento implementación proteccion datosCristina Villavicencio
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Practica desarrollada
Practica desarrolladaPractica desarrollada
Practica desarrolladadammer
 
Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridadAugecorpInteligencia
 
Información electrónica
Información electrónicaInformación electrónica
Información electrónicavic_uri07
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.Greace Grisales
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopdGreace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Infotecnologia 5
Infotecnologia 5Infotecnologia 5
Infotecnologia 5sarahyjhasxiel
 

Más contenido relacionado

La actualidad más candente

Finanzas públicas
Finanzas públicasFinanzas públicas
Finanzas públicasUNEG
 
Capitulo i generalidades de presupuesto
Capitulo i generalidades de presupuestoCapitulo i generalidades de presupuesto
Capitulo i generalidades de presupuestoPedro Luviano
 
Importancia de las finanzas públicas
Importancia de las finanzas públicasImportancia de las finanzas públicas
Importancia de las finanzas públicasAndres Santana
 
El Fenomeno contable
El Fenomeno contableEl Fenomeno contable
El Fenomeno contableedgar vanegas
 
sistemas de informacion gerencial
sistemas de informacion gerencialsistemas de informacion gerencial
sistemas de informacion gerencialNasly Peralta
 
Sistema contable
Sistema contableSistema contable
Sistema contabledaiesquivel
 

La actualidad más candente (6)

Finanzas públicas
Finanzas públicasFinanzas públicas
Finanzas públicas
 
Capitulo i generalidades de presupuesto
Capitulo i generalidades de presupuestoCapitulo i generalidades de presupuesto
Capitulo i generalidades de presupuesto
 
Importancia de las finanzas públicas
Importancia de las finanzas públicasImportancia de las finanzas públicas
Importancia de las finanzas públicas
 
El Fenomeno contable
El Fenomeno contableEl Fenomeno contable
El Fenomeno contable
 
sistemas de informacion gerencial
sistemas de informacion gerencialsistemas de informacion gerencial
sistemas de informacion gerencial
 
Sistema contable
Sistema contableSistema contable
Sistema contable
 

Similar a Clasificación de información... Tips básicos para empezar a ordenarnos

Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1ticaFundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1ticaAngelKBattler
 
REVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionREVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionFabián Descalzo
 
Procedimiento implementación proteccion datos
Procedimiento implementación proteccion datosProcedimiento implementación proteccion datos
Procedimiento implementación proteccion datosCristina Villavicencio
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotarogelio saico sisa
 
Practica desarrollada
Practica desarrolladaPractica desarrollada
Practica desarrolladadammer
 
Información electrónica
Información electrónicaInformación electrónica
Información electrónicavic_uri07
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.Greace Grisales
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopdGreace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.Greace Grisales
 
Concepto y características de la información.pdf
Concepto y características de la información.pdfConcepto y características de la información.pdf
Concepto y características de la información.pdfJonathanCovena1
 
Newsletter Big data y aspectos éticos
Newsletter Big data y aspectos éticosNewsletter Big data y aspectos éticos
Newsletter Big data y aspectos éticosMaribel Biezma López
 

Similar a Clasificación de información... Tips básicos para empezar a ordenarnos (20)

Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1ticaFundamentos bc3a1sicos-de-seguridad-informc3a1tica
Fundamentos bc3a1sicos-de-seguridad-informc3a1tica
 
REVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionREVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Procedimiento implementación proteccion datos
Procedimiento implementación proteccion datosProcedimiento implementación proteccion datos
Procedimiento implementación proteccion datos
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanota
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanota
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanota
 
Instituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanotaInstituto de educacion superior publico vilacanota
Instituto de educacion superior publico vilacanota
 
Practica desarrollada
Practica desarrolladaPractica desarrollada
Practica desarrollada
 
Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridad
 
Información electrónica
Información electrónicaInformación electrónica
Información electrónica
 
Ley de Protecion de Datos.
Ley de Protecion de Datos.Ley de Protecion de Datos.
Ley de Protecion de Datos.
 
Ley de protecion de datos lopd
Ley de protecion de datos lopdLey de protecion de datos lopd
Ley de protecion de datos lopd
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.
 
Ley de Protección de Datos.
Ley de Protección de Datos.Ley de Protección de Datos.
Ley de Protección de Datos.
 
Infotecnologia 5
Infotecnologia 5Infotecnologia 5
Infotecnologia 5
 
COMPONENTES DE LOS SISTEMAS DE INFORMACION
COMPONENTES DE LOS SISTEMAS DE INFORMACIONCOMPONENTES DE LOS SISTEMAS DE INFORMACION
COMPONENTES DE LOS SISTEMAS DE INFORMACION
 
Tema 5.- BASES DE DATOS Y GESTIÓN DE LA INF. PARA EL MARKETING.pdf
Tema 5.- BASES DE DATOS Y GESTIÓN DE LA INF. PARA EL MARKETING.pdfTema 5.- BASES DE DATOS Y GESTIÓN DE LA INF. PARA EL MARKETING.pdf
Tema 5.- BASES DE DATOS Y GESTIÓN DE LA INF. PARA EL MARKETING.pdf
 
Concepto y características de la información.pdf
Concepto y características de la información.pdfConcepto y características de la información.pdf
Concepto y características de la información.pdf
 
Newsletter Big data y aspectos éticos
Newsletter Big data y aspectos éticosNewsletter Big data y aspectos éticos
Newsletter Big data y aspectos éticos
 

Más de Fabián Descalzo

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂Fabián Descalzo
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃Fabián Descalzo
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdfFabián Descalzo
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataquesFabián Descalzo
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridadFabián Descalzo
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOFabián Descalzo
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
 

Más de Fabián Descalzo (20)

𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
𝐂𝐨𝐦𝐨 𝐦𝐢𝐧𝐢𝐦𝐢𝐳𝐚𝐫 𝐫𝐢𝐞𝐬𝐠𝐨𝐬 𝐝𝐞𝐥 𝐂𝐈𝐒𝐎 𝐟𝐫𝐞𝐧𝐭𝐞 𝐚 𝐥𝐚 𝐒𝐄𝐂
 
CFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocioCFOs Meeting 2023 | Ciberseguridad en el negocio
CFOs Meeting 2023 | Ciberseguridad en el negocio
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSCONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
 
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdf
 
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...
 
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
🗓️𝐌𝐄𝐒 𝐃𝐄 𝐋𝐀 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃
 
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridad
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Mapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdfMapa regional en ciberseguridad y gobierno IT.pdf
Mapa regional en ciberseguridad y gobierno IT.pdf
 
2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf2022 BDO Gobierno de TI y Ciberseguridad.pdf
2022 BDO Gobierno de TI y Ciberseguridad.pdf
 
Proteccion frente a ciberataques
Proteccion frente a ciberataques Proteccion frente a ciberataques
Proteccion frente a ciberataques
 
Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021Dia internacional ciberseguridad 30 noviembre 2021
Dia internacional ciberseguridad 30 noviembre 2021
 
2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad 2021 Mes de la ciberseguridad
2021 Mes de la ciberseguridad
 
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍALA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
 
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESRIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORES
 
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIOCIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
 
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
 

Último

Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosNancyAlvarez77
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptNombre Apellidos
 
macarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntmacarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntpregonerodejusticia2
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxGiovanny Puente
 
Gerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoGerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoFranklin E. Ramírez G.
 
Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesMartinOrtiz84
 

Último (6)

Escuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de DiosEscuela Dominical de las Asambleas de Dios
Escuela Dominical de las Asambleas de Dios
 
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.pptINFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
INFORME DE GESTION ADMIINISTRATIVA VIGENCIA 2023-1.ppt
 
macarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del ntmacarthur john comentariomacarthur del nt
macarthur john comentariomacarthur del nt
 
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptxW0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
W0001-3_LIDERAZGO-PRESENTACIÓN SEMANA_1.pptx
 
Gerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgoGerencia segun la Biblia: Principios de gestión y liderazgo
Gerencia segun la Biblia: Principios de gestión y liderazgo
 
Habitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisionesHabitos_atomicos_ como cambiar de vida tomando decisiones
Habitos_atomicos_ como cambiar de vida tomando decisiones
 

Clasificación de información... Tips básicos para empezar a ordenarnos

  • 1. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 1 Clasificación de información... Tips básicos para empezar a ordenarnos Datos que se procesan y transforman en información a través de los sistemas, cuando recopilamos documentos, cuando nos comunicamos; esta actividad es diaria y continua, y el criterio con el cual la administramos no siempre es el mismo. Todos usamos innumerables tipos de información en sus actividades diarias, la que almacenamos básicamente en 2 formatos principales: 1. Físico, también conocido como formato ’hardcopy’, por ejemplo: documentos en papel, incluyendo faxes y copias fotostáticas. 2. Electrónico, también conocido como ‘softcopy’, por ejemplo: documentos electrónicos en Word, hojas de cálculo en Excel, presentaciones en PowerPoint, escaneos, etc. De este modo, la información en ‘hardcopy’ puede ser almacenada en archivos físicos, carpetas o gabinetes, mientras que la información ‘softcopy’ puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares. También la información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico. El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDAs son ejemplos de esta tecnología. Es importante destacar que, en el caso de la información 'softcopy', todos los controles que comentaré en próximos debates, aplican de la misma forma cuando la tecnología inalámbrica es utilizada por empleados o contratistas de una Organización. Cuando comuniquen información, siempre consideren el principio fundamental que indica que la información debe ser compartida únicamente a quienes tengan una necesidad legítima de conocerla. La información no debe compartirse con quienes no necesiten conocerla (esto hace a nuestra vida cotidiana también). Si tienes duda al recibir información particular de personas dentro o fuera de la Organización, siempre pregúntense: ¿Realmente necesito conocer esta información? Y antes de compartir información con los demás, dentro o fuera de la Organización: ¿Esta persona necesita conocer esta información para llevar a cabo sus actividades en la Empresa?
  • 2. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 2 En caso necesario, hagan la misma pregunta a la persona que les haya solicitado compartir la información. Éstas dos preguntas son el concepto básico de "Conocer y dar a Conocer" que nos ayuda a abrir una serie de Tips sobre la información, su entorno de procesamiento, riesgos asociados y como clasificarla, para de esta forma establecer los controles adecuados ya sea que tenga que cumplir con alguna regulación, norma o estándar implementado en la Organización. La información se clasifica con base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización. Los tres niveles de clasificación que aconsejo utilizar inicialmente y en orden ascendente de sensibilidad son: • Información Pública • Información Interna • Información Confidencial Los niveles de clasificación reflejan el valor de la información para la Organización y para quienes se relacionan con ella, y el daño que podría causarse al comprometerse o perderse la confidencialidad o privacidad de la misma. A continuación se describen algunos ejemplos de información para cada una de las categorías. Información Pública Esta es información que está disponible al público en general o ha sido aprobada para publicación al público en general, y no afecta a la Organización o a sus socios si es divulgada. Como tal, la información de ‘Dominio Público’ no es sensible. Ejemplos de información pública: 1. Folleto de información de productos. 2. Comunicados de prensa autorizados 3. Biografías en un sitio público de Internet, que describen al equipo directivo e incluyen sus fotografías y trayectorias sin mencionar sus datos personales Información Interna Esta clase de información es para uso general de los empleados de la Organización, contratistas autorizados y socios comerciales. La información de ’USO INTERNO’ es sensible y no debe estar disponible fácilmente al público en general porque su divulgación podría ser inapropiada e inconveniente. La combinación de nombres y direcciones de personas generalmente es considerada como información de ‘Uso Interno’. Esta información está generalmente disponible, sin embargo algunas personas evitan la publicación de sus direcciones, por ejemplo en directorios telefónicos; por tal motivo, con el fin de respetar su privacidad personal, debemos tratar de no divulgar esta información innecesariamente.
  • 3. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 3 Como tal, la información clasificada de ’Información Interna’, debe ser tratada con cuidado. Ejemplos de información interna: 1. Información financiera sobre iniciativas de planeación y/o proyectos. 2. Planes de viaje y reuniones que incluyen nombres del cuerpo administrativo, no disponibles al público. No se proporcionan más detalles personales sobre el personal. 3. Álbum de fotos on-line del personal conteniendo nombres, departamentos y fotografías. 4. Información disociada de clientes Información Confidencial Es información que no es conocida públicamente y que otorga a la Organización una ventaja competitiva. La información 'CONFIDENCIAL’ es información muy sensible que si es divulgada, tendría un IMPACTO SIGNIFICATIVO en la Organización. Como tal, la información clasificada como 'CONFIDENCIAL', dentro o fuera de la empresa, a menos que el receptor ‘necesite conocer’ dicha información y se tomen las medidas necesarias para protegerla y para evitar que se comparta sin autorización. Debe evitarse la divulgación no autorizada de esta información y protegerla apropiadamente. Esta clasificación sólo debe utilizarse en circunstancias limitadas. Ejemplos de información confidencial: 1. Información sobre precios y márgenes de ganancia de productos 2. Resultados preliminares de estudios médicos laborales 3. Listas de clientes 4. Datos claves de Negocio 5. Planes estratégicos a nivel corporativo ¿QUIÉN DECIDE LA CLASIFICACIÓN CORRECTA? 1. Los Dueños de Datos son responsables de garantizar que dicha información sea clasificada correctamente en una de las 3 categorías. 2. Los ‘Autores’ o ‘Creadores’ de la información generalmente determinarán la categoría apropiada consultando al personal de Seguridad de la Información, según sea necesario. 3. Los Dueños y Autores deben considerar el impacto y probabilidad de divulgación al clasificar la información. El 'Impacto' es evaluado en términos de pérdida o ganancia potencial, riesgo de daño a personas, daño a la reputación de la Organización y a la participación de mercado, entre otros factores. 4. La ‘Probabilidad’ del daño es evaluada en colaboración con el personal de Seguridad de la Información y otros sectores según se requiera. 5. Las clasificaciones establecidas por los Dueños y Autores de la Información deben ser revisadas sólo con la aprobación del Dueño/Autor. 6. Para agregar información a un documento o colección nueva, se requiere que quien la agrega, evalúe su sensibilidad y garantice su clasificación correcta.
  • 4. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 4 Los Dueños de Datos son personas de alta gerencia que son responsables, entre otras cosas, de los niveles de clasificación asignados a la información de la Organización. Aunque los Dueños de la Información son responsables de la correcta clasificación, dicha responsabilidad muchas veces será delegada a los Autores que crean la información. En muchos casos, los Autores entienden mejor el contenido de la información y están en mejor posición de clasificarla correctamente. Los Autores pueden generar o crear información ‘desde cero’ o pueden recopilar información a partir de fuentes existentes. La información recibida de otra fuente, ya sea un empleado o un tercero, debe haber sido clasificada previamente. Tomar dicha información y combinarla con otra información de una segunda fuente, ya sea en forma verbal o escrita, crea efectivamente información ‘nueva’ que debe ser clasificada. Por ejemplo, el Material A podría contener información personal y ser clasificado como información de ‘Uso Interno’. El Material B podría contener información sensible utilizada para algún proceso específico (por ejemplo, información relativa a la salud, religión) y ser clasificado también como información de ‘Uso Interno’. Cuando creamos materiales nuevos que contienen información de ambas fuentes, dicha información se podría clasificar como ‘Confidencial’. Es importante entender que si creamos una carpeta para que la vean los demás, en papel o electrónica, que contenga tanto el Material A como el Material B, entonces habremos creado una fuente de información combinada. Como la persona que agrega esta información, más que como el ‘Autor’, necesitarás confirmar que la carpeta resultante esté marcada apropiadamente. En términos generales, los pasos involucrados en la clasificación son: a. Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos sea divulgada. Los Dueños y Autores deben considerar el nivel de impacto, el daño potencial a los Clientes y a la reputación de la Organización. b.Evaluar la probabilidad de divulgación de la información de documentos o archivos electrónicos. c. Asignar la clasificación correcta según el contenido y sensibilidad de la información. d.Implementar las medidas de seguridad apropiadas para el almacenamiento, distribución y desecho del documento y/o archivo electrónico, y proporcionar instrucciones adecuadas a los usuarios o receptores que deseen comunicar la información. “Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio.”
  • 5. Seguridad de la Información – Auditoría de Sistemas Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar 5 Dos últimas consideraciones: • Siempre debe verificarse la sensibilidad de la información que se maneja y debe considerarse qué se necesita para protegerla. • Aunque los Dueños / delegados nominados son responsables de determinar y aplicar la clasificación correcta, cada persona que maneja Información, incluyendo empleados y contratistas, son responsables de garantizar que cualquier información sensible sea manejada de forma correcta y apropiada. Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU). Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más información: www.cybsec.com