SlideShare una empresa de Scribd logo

LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN

B
bogotasur

Lineamientos para el tratamiento de activos de información. Extraído de documento propio de consultoría para la construcción del SGSI.

Educación
1 de 21
Descargar para leer sin conexión
LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN
TABLA DE CONTENIDO 1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS..................................................................................................3 1.1 CONFIDENCIALIDAD ..........................................................................................................................................................3 1.1.1 Activos tipo Información .....................................................................................................................................................3 1.1.2 Activos tipo Hardware.......................................................................................................................................................13 1.1.3 Activos Tipo Software y Servicios ....................................................................................................................................17 1.1.4 Activos Tipo Persona........................................................................................................................................................18
1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS Como parte de la gestión de activos es importante definir lineamientos que rijan el tratamiento que se debe dar a los activos, de acuerdo con su clasificación; estos lineamientos deben ser difundidos a los colaboradores que utilicen los activos para así garantizar su implementación y divulgar las responsabilidades respectivas. 1.1 CONFIDENCIALIDAD 1.1.1 Activos tipo Información 1.1.1.1 Acceso Permitido Pública Uso Interno Propietario Confidencial y Máxima Seguridad Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Todas las personas, dentro y fuera de La Organización pueden tener acceso a este activo. Todos los colaboradores de LA ORGANIZACIÓN y personal externo autorizado por el propietario del activo. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la información. Sólo tienen acceso a este activo un grupo de personas específicas autorizadas por el propietario del mismo que por el desarrollo de sus funciones en un proceso así lo requieren. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la Sólo tienen acceso a este activo miembros de la Junta Directiva, Presidente, Secretario General, Vicepresidentes y Jefes de Oficina. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la información.
Pública Uso Interno Propietario Confidencial y Máxima Seguridad Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM información. 1.1.1.2 Método de Distribución Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Internamente El activo puede distribuirse en cualquier medio al público en general, incluso a cualquier ente o persona por fuera de La Organización. Electrónica: Mediante el sistema de correo electrónico de LA ORGANIZACIÓN y a través de las redes de datos y sistemas internos únicamente. Puede ser transmitida por la red de la compañía de Forma normal. En caso de requerirse esta información podrá ser transmitida mediante el uso de Electrónica: Mediante el sistema de correo electrónico de LA ORGANIZACIÓN y a través de las redes de datos y sistemas internos únicamente. Se debe evitar en lo posible el manejo de medios removibles como CDs, DVDs, Memorias (USB, SD, entre otras) que no hayan sido autorizadas por La Organización para la distribución de información. Física: Proceso de manejo de correspondencia interno, verificando Adicionales a los requerimientos de la información clasificada como Restringida, los activos clasificados altamente restringidos deben: Electrónica: estar cifrada cuando se transmite entre las diferentes oficinas y transportarse únicamente mediante el sistema de correo electrónico, mensajería o las redes de datos y sistemas internos de LA ORGANIZACIÓN siempre de forma cifrada. El uso de servicios de mensajería pública tal como Outlook, Gmail,
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM la Intranet. Física: Proceso de correspondencia interno. Este activo no debe ser retirado de las instalaciones de La Organización ni ninguna de sus sedes sin autorización del propietario. que el destinatario si es un usuario autorizado, de otra forma se requiere de autorización por parte del propietario del activo. Este activo no debe ser retirado de las instalaciones de LA ORGANIZACIÓN sin autorización del propietario. Yahoo, redes sociales, Skype, WhatsApp, Blackberry Messenger, etc está totalmente prohibido para la transmisión de estos activos. En caso de utilizarse medios removibles, se debe garantizar que la información se encuentra cifrada. Física: Esta información siempre debe estar en sobre sellado y con acuse de recibo. Hacia terceros Esta información puede distribuirse en cualquier medio al público en general, incluso a cualquier ente o persona por fuera de La Organización. Podrá ser entregada a terceros en caso de ser una obligación contractual o del negocio, y debe existir autorización formal del propietario. Adicionalmente, el tercero debe firmar un acuerdo de confidencialidad y no divulgación previa la entrega del activo. Para divulgar, publicar y/o circular información de LA ORGANIZACIÓN a los medios de comunicación, entes de control o supervisión, o cualquier otro documento, se deberá solicitar el apoyo del área encargada, así mismo si los diferentes medios de comunicación necesitan información de LA ORGANIZACIÓN. En caso de que la información no sea dirigida a los medios de comunicación, puede ser entregada a Adicional a los requerimientos para la información clasificada como Restringida, la información intercambiada con terceros debe estar cifrada en todo momento.
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Electrónica: Mediante el correo electrónico de La Organización y las redes computacionales internas, en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. Física: Se debe entregar la menor cantidad de copias requeridas terceros si es una obligación contractual o del negocio, y debe existir autorización formal del propietario. Adicionalmente, el tercero debe firmar un acuerdo de confidencialidad y no divulgación previa la entrega del activo. Electrónica: Si se entrega en medio electrónico se debe tener los archivos y/o datos de acceso de solo lectura. No se puede entregar la información vía e-mail a destinatarios con cuentas por fuera de los sistemas de correo de La Organización si la información no posee clave. Se debe evitar utilizar listas de distribución al momento de enviar este tipo de información. Física: Si es posible se debería entregar solo en medio físico (Papel), el menor número de copias posible, y solo al receptor autorizado, firmando una carta de recibido, mediante La Organización de mensajería
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM autorizada por La Organización o directamente por parte del propietario de la información. 1.1.1.3 Almacenamiento y archivado Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información Impresa Esta información no requiere de precauciones especiales relacionadas con su almacenamiento. Se debe implementar una política de escritorio limpio, asegurar el acompañamiento y seguimiento de las acciones de personas externas en las instalaciones. Se debe archivar en áreas seguras bajo llave (Cajones, Cuarto de archivo, estantes, entre otros.) Se debe archivar en áreas seguras bajo llave. Se recomienda guardar este tipo de información en los lugares destinados para archivar o en una caja fuerte y por ningún motivo debe dejarse abierta la puerta o desatendida ni a la vista de personal no autorizado, como por ejemplo en los puestos de trabajo y zonas de impresión. Debe tenerse en cuenta los lineamientos establecidos en las
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM políticas, normas y procedimientos de seguridad. Información electrónica Esta información no requiere de precauciones especiales. Esta información debe ser almacenada en los sistemas o en repositorios digitales existentes, siempre que se asegure que no es accedida por personas fuera de las redes y sistemas de información de La Organización. Además, debe existir una copia de la información solamente en los medios, sistemas de información o recursos indicados en el inventario de activos. Se debe almacenar en sistemas o repositorios centralizados y administrados desde donde se comparta la información. Está prohibido dejar sin protección de autenticación de usuario/contraseña esta información y con los privilegios indicados en el inventario de activos y los asignados por el propietario a los usuarios autorizados. Debe evitarse almacenar este tipo de información en equipos que no tengan administración formal de seguridad. De ser necesario el almacenamiento en un equipo de cómputo, está información debe estar cifrada. La información clasificada como Altamente Restringida debe encontrarse almacenada únicamente en los sistemas de información de La Organización; pr lo tanto no se permite el almacenamiento de estos activos en dispositivos móviles ni en otros equipos de cómputo. Adicionalmente, se debe: - Exigir autenticación con usuario único y contraseña segura al sistema en el cual reposa la información. - Exigir autenticación con usuario único y contraseña para los
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Debe existir copia de la información solamente en los medios, sistemas de información o recursos indicados en el campo ubicación del inventario de activos. repositorios de información. - Garantizar que todas las actividades realizadas por los usuarios de información clasificada como Altamente Restringida sean registradas (logs) y se conserven por un período de tiempo consistente con el establecido en las tablas de retención documental. - En caso de ser necesario utilizar información Altamente Restringida para pruebas, se debe garantizar su ofuscación y destrucción, una vez concluidas las mismas.
1.1.1.4 Destrucción Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información Impresa Esta información no requiere de precauciones especiales. Se pueden utilizar máquinas destructoras de papel, a discreción del propietario de la información. Se debe utilizar máquinas o elementos destructores de papel. Se debe utilizar máquinas destructoras de papel. Esta acción debe ser llevada a cabo por el propietario del activo o, en su defecto, el custodio previa autorización escrita. Reciclaje de papel Es permitido el uso de papel reciclaje de información Pública, sin restricciones. Es permitido el uso de papel reciclable con información de Uso Interno. No es permitido el uso de papel reciclable con información clasificada Restringida. No es permitido el reciclaje con información clasificada Altamente Restringida. Información electrónica No requiere precauciones especiales. Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro. Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.) deben ser físicamente destruidos o deben Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro, no sólo cuando se da la baja a un activo sino también cuando se hace rotación de equipos y medios computacionales. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.)
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización (LA ORGANIZACIÓN). deben ser físicamente destruidos o deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización (LA ORGANIZACIÓN). 1.1.1.5 Transmisión vía fax Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Localización de la máquina de FAX No deben estar a disposición del público en general (Personal Externo). No se debe tener disponible a personal no autorizado y se debe tener bajo supervisión específica. No se debe tener disponible a personal no autorizado y se debe tener bajo supervisión específica. Los activos con clasificación Altamente Restringida no se debe manejar por este medio.
1.1.1.6 Seguridad física Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Equipos de Cómputo Se debe bloquear el equipo con protección de contraseña apenas se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido. Se debe bloquear el equipo con protección de contraseña apenas éste se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido (8 minutos). Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo de todas las instalaciones. Se debe bloquear el equipo con protección de contraseña apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automáticamente en caso de olvido (8 minutos). En un tiempo más largo se puede configurar la estación para que se apague automáticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo por fuera de las instalaciones. Se debe bloquear el equipo con protección de contraseña apenas se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido (5 minutos). Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo de las instalaciones. Se deben dotar a los equipos de cómputo con los mecanismos necesarios para evitar la instalación de mecanismos que capturen la información, como dispositivos de almacenamiento no autorizados.
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información impresa en zona de impresión No requiere precauciones especiales para el trato de información pública. Se debe tener las impresoras por fuera del alcance del público en general y se debe buscar la impresión inmediatamente. Se debe tener las impresoras por fuera del alcance de personal no autorizado y en lugares de acceso se debe buscar la impresión inmediatamente. Se debe evitar imprimir esta información. En caso de ser necesario, se debe tener una persona atendiendo todo el proceso de impresión, en la zona de impresión desde el inicio, la cual debe estar autorizada para ver la información. Laptops, PDAs No requiere precauciones especiales para el trato de información pública. No se deben dejar los equipos en zonas que no se encuentren vigiladas o que no realicen control de salida de equipos. Nunca debe dejarlo solo el equipo y siempre debe utilizar una guaya de aseguramiento, y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave. Nunca se deben dejar los equipos desatendidos a menos que se cuente con guaya de aseguramiento. Si esto no es posible, se debe dejar el equipo bajo vigilancia. En los casos que el propietario del equipo se retire de la oficina en que se encuentra, esta se debe dejar bajo llave. La información de este equipo debe estar cifrada. 1.1.2 Activos tipo Hardware 1.1.2.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida
Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Se debe tener control de acceso lógico para el ingreso al activo. El acceso deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de la plataforma en todo caso estos deberán estar autorizados por los propietarios. Se debe tener control de acceso lógico para el ingreso al activo. Las personas autorizadas deberán firmar acuerdos de confidencialidad. Se deberá ejecutar auditoria sobre algunos de los accesos ejecutados por terceros. Aún cuando se debe tener registro de todos los accesos tanto de terceros como de los colaboradores. Además de las medidas establecidas para los activos catalogados como Restringida se deberá: Ejecutar auditorias sobre todos los accesos ejecutados por terceros y tener registro de todos los accesos tanto de terceros como de los colaboradores. 1.1.2.2 Destrucción Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Cuando se establezca que se va a dar de baja un activo se deberá verificar la clasificación de la información que contienen para establecer las medidas adecuadas para su destrucción. A los activos se les deberá realizar borrado seguro de la información allí contenida. A los activos catalogados como reservado se les deberá realizar borrado seguro de la información allí contenida. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.) deben ser físicamente destruidos o Para el caso de medios de respaldo o almacenamiento eliminarlos de tal manera que estos queden inutilizables (procedimiento de sanitización de medios). Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización. memoria portátiles, documentos, etc.) deben ser físicamente destruidos o deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización. 1.1.2.3 Seguridad Física Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Evitar dejarlos en lugares donde puedan ser accedidos por personal no autorizado. Este tipo de activos deberán estar ubicados en sitios con controles de acceso físico adecuados. Este tipo de activos deberán estar ubicados en sitios con controles de acceso físico adecuados. En caso que se requiera acceder físicamente a los mismos por actividades de mantenimiento u otras se deberá contar con el aval del propietario y adicionalmente se debe tener registro de las actividades desarrolladas, el personal de mantenimiento deberá estar acompañado en todo momento de un empleado de La Organización que tenga la facultad para establecer si se está comprometiendo de alguna manera el activo. Se deberá llevar un control sobre la salida de estos equipos. Este tipo de activos deben en lo posible estar ubicados en áreas seguras es decir espacios especialmente diseñados para esto (centros de computo, centros de cableados, etc). En caso que se requiera acceder físicamente a los mismos por actividades de mantenimiento u otras se deberá contar con el aval del propietario y adicionalmente se debe tener registro de las actividades desarrolladas, el personal de mantenimiento deberá estar acompañado en todo momento de un empleado de La Organización que tenga la facultad para establecer si se está comprometiendo de alguna manera el activo. Se deberá llevar un control sobre la salida de estos equipos. Para el caso de computadores móviles nunca se deberán dejar desatendidos.
1.1.3 Activos Tipo Software y Servicios 1.1.3.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM El acceso a estos tipos de activos es permitido sin restricción. El acceso a los activos tipo software y servicios deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de los servicios y el software en todo caso estos deberán estar autorizados por los propietarios. Las personas autorizadas deberán firmar acuerdos de confidencialidad y acuerdos de uso. El acceso a los activos tipo software y servicios deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de los servicios y el software en todo caso estos deberán estar autorizados por los propietarios. Las personas autorizadas deberán firmar acuerdos de confidencialidad y acuerdos de uso. Se deberán ejecutar auditorias sobre los accesos ejecutados por terceros. Se debe mantener registro de todos los accesos tanto de terceros como de empleados. Además de las medidas establecidas para los activos catalogados como Restringido se deberá: Ejecutar auditorias sobre todos los accesos ejecutados por terceros y tener registro de todos los accesos tanto de terceros como de colaboradores. Los registros para auditoría deberían incluir: a) identificación (ID) de usuario; b) fecha, hora y detalles de los eventos clave, por ejemplo registro de inicio y registro de cierre; c) identidad o ubicación de la terminal, si es posible; d) registros de los intentos aceptados y rechazados de acceso al sistema; e) registros de los intentos aceptados y rechazados de acceso a los datos y otros recursos; f) cambios en la configuración del sistema;
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM g) uso de privilegios; h) uso de las utilidades y aplicaciones del sistema; i) archivos a los que se ha tenido acceso y tipo de acceso; j) direcciones y protocolos de red; k) alarmas originadas por el sistema de control del acceso; l) activación y desactivación de los sistemas de protección, como los sistemas antivirus y los sistemas de detección de intrusión. Se deben Implementar controles criptográficos para la transmisión y almacenamiento de la información. . 1.1.4 Activos Tipo Persona 1.1.4.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida
Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM No se requieren consideraciones especiales Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se deben desarrollar charlas de sensibilización en seguridad de la información y capacitaciones específicas de acuerdo al cargo desempeñado. Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se deben desarrollar charlas de sensibilización en seguridad de la información y capacitaciones específicas de acuerdo al cargo desempeñado. 1.1.4.2 Comunicación Verbal Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Conversaciones y reuniones No requiere precauciones especiales. Se debe procurar evitar referenciar esta información por fuera de las instalaciones de La Organización. Cuando se lleven a cabo conversaciones o reuniones, preferiblemente no se deberán hacer por fuera de las instalaciones de La Organización. Se debe procurar evitar referenciar esta información por fuera de las instalaciones de La Organización. Cuando se lleven a cabo conversaciones o reuniones, deberán hacerse preferiblemente en zonas privadas, evitando áreas tales como elevadores, pasillos y cafeterías. En el caso que la información sea escrita en papelógrafos, tableros o documentos no formales, se debe asegurar que esta sea borrada inmediatamente antes de que sea abandonado el sitio. Se debe evitar referenciar este tipo de información fuera de las instalaciones de La Organización, a menos que sea una reunión formal. Se debe evitar reunirse en espacios abiertos y que no permitan aislar el sonido. Se debe asegurar que la información sólo sea transmitida a las mínimas personas necesarias. En el caso que la información sea escrita en papelógrafos, tableros o documentos no formales, se debe asegurar que esta sea borrada o destruida, dependiendo del medio en que haya sido manejado, inmediatamente antes de que sea abandonado el sitio.
Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Vía Telefónica No requiere precauciones especiales para el trato de información pública. No se deberá entregar información de uso interno a personas externas a La Organización. No se deberá suministrar información Restringida a personas no autorizadas por este medio. Se debe evitar conversaciones telefónicas en donde se maneje información Altamente Restringida, más aún si hay posibles escuchas no autorizados. Su transmisión deberá hacerse únicamente a través de los servicios telefónicos de La Organización y, de ser posible, se debe cifrar el canal de comunicación. Está prohibida la transmisión de información confidencial mediante servicios tales como Skype, WhatsApp, Blackberry Mesrenger, redes sociales, entre otros. Voice Mail o máquina de grabación automática de mensajes No requiere precauciones especiales para el trato de información pública. No se deberá entregar información de Uso Interno a personas externas a La Organización No se deberá entregar información Restringida a personas no autorizadas por este medio. No se deben dejar mensajes que contengan información reservada.

Recomendados

Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
AlvaroPalaciios
 
De lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoDe lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo acceso
Fabián Descalzo
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
Juan Carlos Quispe
 
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Mandirola, Humberto
 
POLITICAS INFORMATICAS.pdf
POLITICAS INFORMATICAS.pdfPOLITICAS INFORMATICAS.pdf
POLITICAS INFORMATICAS.pdf
Julio Girón
 
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
AlexDoncell
 
Principales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosPrincipales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicos
Fabián Descalzo
 
Lopd idcsalud
Lopd idcsaludLopd idcsalud
Lopd idcsalud
Servicio de Docencia - Hospital Universitari Sagrat Cor
 

Recomendados

Ley de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpointLey de proteccion de datos (final para power point 97 03).powerpoint
Ley de proteccion de datos (final para power point 97 03).powerpoint
AlvaroPalaciios
 
De lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo accesoDe lo lógico a lo físico, dos dimensiones y un mismo acceso
De lo lógico a lo físico, dos dimensiones y un mismo acceso
Fabián Descalzo
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
Juan Carlos Quispe
 
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Tecnologías para garantizar autoría no adulteración y privacidad de los archi...
Mandirola, Humberto
 
POLITICAS INFORMATICAS.pdf
POLITICAS INFORMATICAS.pdfPOLITICAS INFORMATICAS.pdf
POLITICAS INFORMATICAS.pdf
Julio Girón
 
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
07-02-2018-Delegatura-para-la-Proteccion-de-Datos-Personales.pdf
AlexDoncell
 
Principales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicosPrincipales aspectos y requisitos en contratos de servicios tenologicos
Principales aspectos y requisitos en contratos de servicios tenologicos
Fabián Descalzo
 
Lopd idcsalud
Lopd idcsaludLopd idcsalud
Lopd idcsalud
Servicio de Docencia - Hospital Universitari Sagrat Cor
 
Lopd quironsalud
Lopd quironsaludLopd quironsalud
Lopd quironsalud
Servicio de Docencia - Hospital Universitari Sagrat Cor
 
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptxPRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
WilliamBeltran26
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
diana_16852
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
diana_16852
 
REVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionREVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacion
Fabián Descalzo
 
Introduccion
IntroduccionIntroduccion
Introduccion
yuliaranda
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 
Implantación LOPD en despachos abogados
Implantación LOPD en despachos abogadosImplantación LOPD en despachos abogados
Implantación LOPD en despachos abogados
Pedro De La Torre Rodríguez
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptx
CarlosMolano21
 
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
DIANNYSTELLAORTEGATA
 
La importancia de contar con un Delegado de Protección de Datos - Conversia
La importancia de contar con un Delegado de Protección de Datos - ConversiaLa importancia de contar con un Delegado de Protección de Datos - Conversia
La importancia de contar con un Delegado de Protección de Datos - Conversia
Conversia
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
Juli Sure
 
manual
manual manual
manual
Dayan Saray
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
Yue Jimenez
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
Monic Arguello
 
Informe 320
Informe 320Informe 320
Informe 320
siemprefm
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
Eduardo Maradiaga
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
Juan Carlos Quispe
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Alvaro J. Thais Rodríguez
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciado
NilsonCesar3
 
GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptxGOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
JaimeAlvarado78
 
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
nelsontobontrujillo
 

Más contenido relacionado

Similar a LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN

Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
diana_16852
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
diana_16852
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptx
CarlosMolano21
 

Similar a LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN (20)

Lopd quironsalud
Lopd quironsaludLopd quironsalud
Lopd quironsalud
 
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptxPRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
 
Politicas de seguridad de la información
Politicas de seguridad de la informaciónPoliticas de seguridad de la información
Politicas de seguridad de la información
 
REVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacionREVISTA CISALUD Gobierno de la informacion
REVISTA CISALUD Gobierno de la informacion
 
Introduccion
IntroduccionIntroduccion
Introduccion
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Implantación LOPD en despachos abogados
Implantación LOPD en despachos abogadosImplantación LOPD en despachos abogados
Implantación LOPD en despachos abogados
 
Preparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptxPreparatic - Caso Practico LOPD.pptx
Preparatic - Caso Practico LOPD.pptx
 
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
2 DIAPOSITIVAS A7 EV. 1 Y 2.pptx
 
La importancia de contar con un Delegado de Protección de Datos - Conversia
La importancia de contar con un Delegado de Protección de Datos - ConversiaLa importancia de contar con un Delegado de Protección de Datos - Conversia
La importancia de contar con un Delegado de Protección de Datos - Conversia
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
manual
manual manual
manual
 
Manual usuario 2014
Manual usuario 2014Manual usuario 2014
Manual usuario 2014
 
Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridad
 
Informe 320
Informe 320Informe 320
Informe 320
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
Ley de Protección de Datos Personales 29733 y su Reglamento (primera edición)
 
Caso enunciado
Caso enunciadoCaso enunciado
Caso enunciado
 

Último

Pasos para enviar una tarea en SIANET - sólo estudiantes.pdf
Pasos para enviar una tarea en SIANET - sólo estudiantes.pdfPasos para enviar una tarea en SIANET - sólo estudiantes.pdf
Pasos para enviar una tarea en SIANET - sólo estudiantes.pdf
NELLYKATTY
 
Apunte clase teorica propiedades de la Madera.pdf
Apunte clase teorica propiedades de la Madera.pdfApunte clase teorica propiedades de la Madera.pdf
Apunte clase teorica propiedades de la Madera.pdf
Gonella
 
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdfEstrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
Demetrio Ccesa Rayme
 
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdfLas Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Demetrio Ccesa Rayme
 

Último (20)

GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptxGOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
GOBIERNO DE MANUEL ODRIA EL OCHENIO.pptx
 
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
4. MATERIALES QUE SE EMPLEAN EN LAS ESTRUCTURAS.pptx
 
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdfTÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
TÉCNICAS OBSERVACIONALES Y TEXTUALES.pdf
 
4ª SESION la misión santificadora del Espíritu Santo en la vida de la Iglesi...
4ª SESION la misión santificadora del Espíritu Santo en la vida de la Iglesi...4ª SESION la misión santificadora del Espíritu Santo en la vida de la Iglesi...
4ª SESION la misión santificadora del Espíritu Santo en la vida de la Iglesi...
 
SESION DE APRENDIZAJE PARA3ER GRADO -EL SISTEMA DIGESTIVO
SESION DE APRENDIZAJE PARA3ER GRADO -EL SISTEMA DIGESTIVOSESION DE APRENDIZAJE PARA3ER GRADO -EL SISTEMA DIGESTIVO
SESION DE APRENDIZAJE PARA3ER GRADO -EL SISTEMA DIGESTIVO
 
Pasos para enviar una tarea en SIANET - sólo estudiantes.pdf
Pasos para enviar una tarea en SIANET - sólo estudiantes.pdfPasos para enviar una tarea en SIANET - sólo estudiantes.pdf
Pasos para enviar una tarea en SIANET - sólo estudiantes.pdf
 
Estudios Sociales libro 8vo grado Básico
Estudios Sociales libro 8vo grado BásicoEstudios Sociales libro 8vo grado Básico
Estudios Sociales libro 8vo grado Básico
 
En un aposento alto himno _letra y acordes.pdf
En un aposento alto himno _letra y acordes.pdfEn un aposento alto himno _letra y acordes.pdf
En un aposento alto himno _letra y acordes.pdf
 
Revista Faro Normalista 6, 18 de mayo 2024
Revista Faro Normalista 6, 18 de mayo 2024Revista Faro Normalista 6, 18 de mayo 2024
Revista Faro Normalista 6, 18 de mayo 2024
 
novelas-cortas--3.pdf Analisis introspectivo y retrospectivo, sintesis
novelas-cortas--3.pdf Analisis introspectivo y retrospectivo, sintesisnovelas-cortas--3.pdf Analisis introspectivo y retrospectivo, sintesis
novelas-cortas--3.pdf Analisis introspectivo y retrospectivo, sintesis
 
04.UNIDAD DE APRENDIZAJE III CICLO-Cuidamos nuestro medioambiente (1).docx
04.UNIDAD DE APRENDIZAJE III CICLO-Cuidamos nuestro medioambiente (1).docx04.UNIDAD DE APRENDIZAJE III CICLO-Cuidamos nuestro medioambiente (1).docx
04.UNIDAD DE APRENDIZAJE III CICLO-Cuidamos nuestro medioambiente (1).docx
 
Realitat o fake news? – Què causa el canvi climàtic? - La desertització
Realitat o fake news? – Què causa el canvi climàtic? - La desertitzacióRealitat o fake news? – Què causa el canvi climàtic? - La desertització
Realitat o fake news? – Què causa el canvi climàtic? - La desertització
 
Apunte clase teorica propiedades de la Madera.pdf
Apunte clase teorica propiedades de la Madera.pdfApunte clase teorica propiedades de la Madera.pdf
Apunte clase teorica propiedades de la Madera.pdf
 
Realitat o fake news? – Què causa el canvi climàtic? - Modificacions dels pat...
Realitat o fake news? – Què causa el canvi climàtic? - Modificacions dels pat...Realitat o fake news? – Què causa el canvi climàtic? - Modificacions dels pat...
Realitat o fake news? – Què causa el canvi climàtic? - Modificacions dels pat...
 
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdfEstrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
Estrategia Nacional de Refuerzo Escolar SJA Ccesa007.pdf
 
tema 6 2eso 2024. Ciencias Sociales. El final de la Edad Media en la Penínsul...
tema 6 2eso 2024. Ciencias Sociales. El final de la Edad Media en la Penínsul...tema 6 2eso 2024. Ciencias Sociales. El final de la Edad Media en la Penínsul...
tema 6 2eso 2024. Ciencias Sociales. El final de la Edad Media en la Penínsul...
 
Motivados por la esperanza. Esperanza en Jesús
Motivados por la esperanza. Esperanza en JesúsMotivados por la esperanza. Esperanza en Jesús
Motivados por la esperanza. Esperanza en Jesús
 
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdfLas Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
Las Preguntas Educativas entran a las Aulas CIAESA Ccesa007.pdf
 
cuadernillo_cuentos_de_los_valores_elprofe20 (1).docx
cuadernillo_cuentos_de_los_valores_elprofe20 (1).docxcuadernillo_cuentos_de_los_valores_elprofe20 (1).docx
cuadernillo_cuentos_de_los_valores_elprofe20 (1).docx
 
Los caminos del saber matematicas 7°.pdf
Los caminos del saber matematicas 7°.pdfLos caminos del saber matematicas 7°.pdf
Los caminos del saber matematicas 7°.pdf
 

LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN

  • 1. LINEAMIENTOS PARA EL TRATAMIENTO DE ACTIVOS DE INFORMACIÓN
  • 2. TABLA DE CONTENIDO 1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS..................................................................................................3 1.1 CONFIDENCIALIDAD ..........................................................................................................................................................3 1.1.1 Activos tipo Información .....................................................................................................................................................3 1.1.2 Activos tipo Hardware.......................................................................................................................................................13 1.1.3 Activos Tipo Software y Servicios ....................................................................................................................................17 1.1.4 Activos Tipo Persona........................................................................................................................................................18
  • 3. 1 LINEAMIENTOS PARA EL TRATAMIENTO DE LOS ACTIVOS Como parte de la gestión de activos es importante definir lineamientos que rijan el tratamiento que se debe dar a los activos, de acuerdo con su clasificación; estos lineamientos deben ser difundidos a los colaboradores que utilicen los activos para así garantizar su implementación y divulgar las responsabilidades respectivas. 1.1 CONFIDENCIALIDAD 1.1.1 Activos tipo Información 1.1.1.1 Acceso Permitido Pública Uso Interno Propietario Confidencial y Máxima Seguridad Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Todas las personas, dentro y fuera de La Organización pueden tener acceso a este activo. Todos los colaboradores de LA ORGANIZACIÓN y personal externo autorizado por el propietario del activo. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la información. Sólo tienen acceso a este activo un grupo de personas específicas autorizadas por el propietario del mismo que por el desarrollo de sus funciones en un proceso así lo requieren. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la Sólo tienen acceso a este activo miembros de la Junta Directiva, Presidente, Secretario General, Vicepresidentes y Jefes de Oficina. Los usuarios deben firmar un acuerdo de confidencialidad y no divulgación de la información.
  • 4. Pública Uso Interno Propietario Confidencial y Máxima Seguridad Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM información. 1.1.1.2 Método de Distribución Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Internamente El activo puede distribuirse en cualquier medio al público en general, incluso a cualquier ente o persona por fuera de La Organización. Electrónica: Mediante el sistema de correo electrónico de LA ORGANIZACIÓN y a través de las redes de datos y sistemas internos únicamente. Puede ser transmitida por la red de la compañía de Forma normal. En caso de requerirse esta información podrá ser transmitida mediante el uso de Electrónica: Mediante el sistema de correo electrónico de LA ORGANIZACIÓN y a través de las redes de datos y sistemas internos únicamente. Se debe evitar en lo posible el manejo de medios removibles como CDs, DVDs, Memorias (USB, SD, entre otras) que no hayan sido autorizadas por La Organización para la distribución de información. Física: Proceso de manejo de correspondencia interno, verificando Adicionales a los requerimientos de la información clasificada como Restringida, los activos clasificados altamente restringidos deben: Electrónica: estar cifrada cuando se transmite entre las diferentes oficinas y transportarse únicamente mediante el sistema de correo electrónico, mensajería o las redes de datos y sistemas internos de LA ORGANIZACIÓN siempre de forma cifrada. El uso de servicios de mensajería pública tal como Outlook, Gmail,
  • 5. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM la Intranet. Física: Proceso de correspondencia interno. Este activo no debe ser retirado de las instalaciones de La Organización ni ninguna de sus sedes sin autorización del propietario. que el destinatario si es un usuario autorizado, de otra forma se requiere de autorización por parte del propietario del activo. Este activo no debe ser retirado de las instalaciones de LA ORGANIZACIÓN sin autorización del propietario. Yahoo, redes sociales, Skype, WhatsApp, Blackberry Messenger, etc está totalmente prohibido para la transmisión de estos activos. En caso de utilizarse medios removibles, se debe garantizar que la información se encuentra cifrada. Física: Esta información siempre debe estar en sobre sellado y con acuse de recibo. Hacia terceros Esta información puede distribuirse en cualquier medio al público en general, incluso a cualquier ente o persona por fuera de La Organización. Podrá ser entregada a terceros en caso de ser una obligación contractual o del negocio, y debe existir autorización formal del propietario. Adicionalmente, el tercero debe firmar un acuerdo de confidencialidad y no divulgación previa la entrega del activo. Para divulgar, publicar y/o circular información de LA ORGANIZACIÓN a los medios de comunicación, entes de control o supervisión, o cualquier otro documento, se deberá solicitar el apoyo del área encargada, así mismo si los diferentes medios de comunicación necesitan información de LA ORGANIZACIÓN. En caso de que la información no sea dirigida a los medios de comunicación, puede ser entregada a Adicional a los requerimientos para la información clasificada como Restringida, la información intercambiada con terceros debe estar cifrada en todo momento.
  • 6. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Electrónica: Mediante el correo electrónico de La Organización y las redes computacionales internas, en lo posible se debe tener los archivos y/o datos de acceso de solo lectura. Física: Se debe entregar la menor cantidad de copias requeridas terceros si es una obligación contractual o del negocio, y debe existir autorización formal del propietario. Adicionalmente, el tercero debe firmar un acuerdo de confidencialidad y no divulgación previa la entrega del activo. Electrónica: Si se entrega en medio electrónico se debe tener los archivos y/o datos de acceso de solo lectura. No se puede entregar la información vía e-mail a destinatarios con cuentas por fuera de los sistemas de correo de La Organización si la información no posee clave. Se debe evitar utilizar listas de distribución al momento de enviar este tipo de información. Física: Si es posible se debería entregar solo en medio físico (Papel), el menor número de copias posible, y solo al receptor autorizado, firmando una carta de recibido, mediante La Organización de mensajería
  • 7. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM autorizada por La Organización o directamente por parte del propietario de la información. 1.1.1.3 Almacenamiento y archivado Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información Impresa Esta información no requiere de precauciones especiales relacionadas con su almacenamiento. Se debe implementar una política de escritorio limpio, asegurar el acompañamiento y seguimiento de las acciones de personas externas en las instalaciones. Se debe archivar en áreas seguras bajo llave (Cajones, Cuarto de archivo, estantes, entre otros.) Se debe archivar en áreas seguras bajo llave. Se recomienda guardar este tipo de información en los lugares destinados para archivar o en una caja fuerte y por ningún motivo debe dejarse abierta la puerta o desatendida ni a la vista de personal no autorizado, como por ejemplo en los puestos de trabajo y zonas de impresión. Debe tenerse en cuenta los lineamientos establecidos en las
  • 8. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM políticas, normas y procedimientos de seguridad. Información electrónica Esta información no requiere de precauciones especiales. Esta información debe ser almacenada en los sistemas o en repositorios digitales existentes, siempre que se asegure que no es accedida por personas fuera de las redes y sistemas de información de La Organización. Además, debe existir una copia de la información solamente en los medios, sistemas de información o recursos indicados en el inventario de activos. Se debe almacenar en sistemas o repositorios centralizados y administrados desde donde se comparta la información. Está prohibido dejar sin protección de autenticación de usuario/contraseña esta información y con los privilegios indicados en el inventario de activos y los asignados por el propietario a los usuarios autorizados. Debe evitarse almacenar este tipo de información en equipos que no tengan administración formal de seguridad. De ser necesario el almacenamiento en un equipo de cómputo, está información debe estar cifrada. La información clasificada como Altamente Restringida debe encontrarse almacenada únicamente en los sistemas de información de La Organización; pr lo tanto no se permite el almacenamiento de estos activos en dispositivos móviles ni en otros equipos de cómputo. Adicionalmente, se debe: - Exigir autenticación con usuario único y contraseña segura al sistema en el cual reposa la información. - Exigir autenticación con usuario único y contraseña para los
  • 9. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Debe existir copia de la información solamente en los medios, sistemas de información o recursos indicados en el campo ubicación del inventario de activos. repositorios de información. - Garantizar que todas las actividades realizadas por los usuarios de información clasificada como Altamente Restringida sean registradas (logs) y se conserven por un período de tiempo consistente con el establecido en las tablas de retención documental. - En caso de ser necesario utilizar información Altamente Restringida para pruebas, se debe garantizar su ofuscación y destrucción, una vez concluidas las mismas.
  • 10. 1.1.1.4 Destrucción Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información Impresa Esta información no requiere de precauciones especiales. Se pueden utilizar máquinas destructoras de papel, a discreción del propietario de la información. Se debe utilizar máquinas o elementos destructores de papel. Se debe utilizar máquinas destructoras de papel. Esta acción debe ser llevada a cabo por el propietario del activo o, en su defecto, el custodio previa autorización escrita. Reciclaje de papel Es permitido el uso de papel reciclaje de información Pública, sin restricciones. Es permitido el uso de papel reciclable con información de Uso Interno. No es permitido el uso de papel reciclable con información clasificada Restringida. No es permitido el reciclaje con información clasificada Altamente Restringida. Información electrónica No requiere precauciones especiales. Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro. Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.) deben ser físicamente destruidos o deben Toda la información debe eliminarse de los medios de almacenamiento utilizando técnicas de borrado seguro, no sólo cuando se da la baja a un activo sino también cuando se hace rotación de equipos y medios computacionales. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.)
  • 11. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización (LA ORGANIZACIÓN). deben ser físicamente destruidos o deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización (LA ORGANIZACIÓN). 1.1.1.5 Transmisión vía fax Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Localización de la máquina de FAX No deben estar a disposición del público en general (Personal Externo). No se debe tener disponible a personal no autorizado y se debe tener bajo supervisión específica. No se debe tener disponible a personal no autorizado y se debe tener bajo supervisión específica. Los activos con clasificación Altamente Restringida no se debe manejar por este medio.
  • 12. 1.1.1.6 Seguridad física Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Equipos de Cómputo Se debe bloquear el equipo con protección de contraseña apenas se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido. Se debe bloquear el equipo con protección de contraseña apenas éste se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido (8 minutos). Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo de todas las instalaciones. Se debe bloquear el equipo con protección de contraseña apenas se abandone y adicionalmente tener un protector de pantalla que bloquee el equipo en un tiempo corto automáticamente en caso de olvido (8 minutos). En un tiempo más largo se puede configurar la estación para que se apague automáticamente y no quede disponible en la red. Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo por fuera de las instalaciones. Se debe bloquear el equipo con protección de contraseña apenas se abandone y tener un protector de pantalla que bloquee automáticamente la pantalla en un tiempo corto, en caso de olvido (5 minutos). Se debe tener un estricto control de vigilancia para el retiro de equipos de cómputo de las instalaciones. Se deben dotar a los equipos de cómputo con los mecanismos necesarios para evitar la instalación de mecanismos que capturen la información, como dispositivos de almacenamiento no autorizados.
  • 13. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Información impresa en zona de impresión No requiere precauciones especiales para el trato de información pública. Se debe tener las impresoras por fuera del alcance del público en general y se debe buscar la impresión inmediatamente. Se debe tener las impresoras por fuera del alcance de personal no autorizado y en lugares de acceso se debe buscar la impresión inmediatamente. Se debe evitar imprimir esta información. En caso de ser necesario, se debe tener una persona atendiendo todo el proceso de impresión, en la zona de impresión desde el inicio, la cual debe estar autorizada para ver la información. Laptops, PDAs No requiere precauciones especiales para el trato de información pública. No se deben dejar los equipos en zonas que no se encuentren vigiladas o que no realicen control de salida de equipos. Nunca debe dejarlo solo el equipo y siempre debe utilizar una guaya de aseguramiento, y si no es posible se debe dejar bajo vigilancia y cuando se salga de la oficina se debe dejar este bajo llave. Nunca se deben dejar los equipos desatendidos a menos que se cuente con guaya de aseguramiento. Si esto no es posible, se debe dejar el equipo bajo vigilancia. En los casos que el propietario del equipo se retire de la oficina en que se encuentra, esta se debe dejar bajo llave. La información de este equipo debe estar cifrada. 1.1.2 Activos tipo Hardware 1.1.2.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida
  • 14. Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Se debe tener control de acceso lógico para el ingreso al activo. El acceso deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de la plataforma en todo caso estos deberán estar autorizados por los propietarios. Se debe tener control de acceso lógico para el ingreso al activo. Las personas autorizadas deberán firmar acuerdos de confidencialidad. Se deberá ejecutar auditoria sobre algunos de los accesos ejecutados por terceros. Aún cuando se debe tener registro de todos los accesos tanto de terceros como de los colaboradores. Además de las medidas establecidas para los activos catalogados como Restringida se deberá: Ejecutar auditorias sobre todos los accesos ejecutados por terceros y tener registro de todos los accesos tanto de terceros como de los colaboradores. 1.1.2.2 Destrucción Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Cuando se establezca que se va a dar de baja un activo se deberá verificar la clasificación de la información que contienen para establecer las medidas adecuadas para su destrucción. A los activos se les deberá realizar borrado seguro de la información allí contenida. A los activos catalogados como reservado se les deberá realizar borrado seguro de la información allí contenida. Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de memoria portátiles, documentos, etc.) deben ser físicamente destruidos o Para el caso de medios de respaldo o almacenamiento eliminarlos de tal manera que estos queden inutilizables (procedimiento de sanitización de medios). Los medios de almacenamiento que contienen información sensible (discos compactos, discos duros, tarjetas de
  • 15. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización. memoria portátiles, documentos, etc.) deben ser físicamente destruidos o deben ser reescritos en forma segura cuando se trate de traslado o devolución a los proveedores que prestan servicios de Almacenamiento o Data Center (IDC) o similares, entregados por obsolescencia, cuando se trate de retiro, reposición o reintegro o cualquier acción que lleve a que dicho medio no esté bajo el control de La Organización. 1.1.2.3 Seguridad Física Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM
  • 16. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Evitar dejarlos en lugares donde puedan ser accedidos por personal no autorizado. Este tipo de activos deberán estar ubicados en sitios con controles de acceso físico adecuados. Este tipo de activos deberán estar ubicados en sitios con controles de acceso físico adecuados. En caso que se requiera acceder físicamente a los mismos por actividades de mantenimiento u otras se deberá contar con el aval del propietario y adicionalmente se debe tener registro de las actividades desarrolladas, el personal de mantenimiento deberá estar acompañado en todo momento de un empleado de La Organización que tenga la facultad para establecer si se está comprometiendo de alguna manera el activo. Se deberá llevar un control sobre la salida de estos equipos. Este tipo de activos deben en lo posible estar ubicados en áreas seguras es decir espacios especialmente diseñados para esto (centros de computo, centros de cableados, etc). En caso que se requiera acceder físicamente a los mismos por actividades de mantenimiento u otras se deberá contar con el aval del propietario y adicionalmente se debe tener registro de las actividades desarrolladas, el personal de mantenimiento deberá estar acompañado en todo momento de un empleado de La Organización que tenga la facultad para establecer si se está comprometiendo de alguna manera el activo. Se deberá llevar un control sobre la salida de estos equipos. Para el caso de computadores móviles nunca se deberán dejar desatendidos.
  • 17. 1.1.3 Activos Tipo Software y Servicios 1.1.3.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM El acceso a estos tipos de activos es permitido sin restricción. El acceso a los activos tipo software y servicios deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de los servicios y el software en todo caso estos deberán estar autorizados por los propietarios. Las personas autorizadas deberán firmar acuerdos de confidencialidad y acuerdos de uso. El acceso a los activos tipo software y servicios deberá estar autorizado por el propietario del activo, los terceros que pueden tener acceso a estos activos serán aquellos contratados para las actividades de mantenimiento o gestión de los servicios y el software en todo caso estos deberán estar autorizados por los propietarios. Las personas autorizadas deberán firmar acuerdos de confidencialidad y acuerdos de uso. Se deberán ejecutar auditorias sobre los accesos ejecutados por terceros. Se debe mantener registro de todos los accesos tanto de terceros como de empleados. Además de las medidas establecidas para los activos catalogados como Restringido se deberá: Ejecutar auditorias sobre todos los accesos ejecutados por terceros y tener registro de todos los accesos tanto de terceros como de colaboradores. Los registros para auditoría deberían incluir: a) identificación (ID) de usuario; b) fecha, hora y detalles de los eventos clave, por ejemplo registro de inicio y registro de cierre; c) identidad o ubicación de la terminal, si es posible; d) registros de los intentos aceptados y rechazados de acceso al sistema; e) registros de los intentos aceptados y rechazados de acceso a los datos y otros recursos; f) cambios en la configuración del sistema;
  • 18. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM g) uso de privilegios; h) uso de las utilidades y aplicaciones del sistema; i) archivos a los que se ha tenido acceso y tipo de acceso; j) direcciones y protocolos de red; k) alarmas originadas por el sistema de control del acceso; l) activación y desactivación de los sistemas de protección, como los sistemas antivirus y los sistemas de detección de intrusión. Se deben Implementar controles criptográficos para la transmisión y almacenamiento de la información. . 1.1.4 Activos Tipo Persona 1.1.4.1 Acceso permitido Pública Uso Interno Restringida Altamente Restringida
  • 19. Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM No se requieren consideraciones especiales Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se deben desarrollar charlas de sensibilización en seguridad de la información y capacitaciones específicas de acuerdo al cargo desempeñado. Se debe firmar acuerdo de confidencialidad el cual debe estar vigente hasta después de la terminación del contrato laboral. Se deben desarrollar charlas de sensibilización en seguridad de la información y capacitaciones específicas de acuerdo al cargo desempeñado. 1.1.4.2 Comunicación Verbal Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM
  • 20. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Conversaciones y reuniones No requiere precauciones especiales. Se debe procurar evitar referenciar esta información por fuera de las instalaciones de La Organización. Cuando se lleven a cabo conversaciones o reuniones, preferiblemente no se deberán hacer por fuera de las instalaciones de La Organización. Se debe procurar evitar referenciar esta información por fuera de las instalaciones de La Organización. Cuando se lleven a cabo conversaciones o reuniones, deberán hacerse preferiblemente en zonas privadas, evitando áreas tales como elevadores, pasillos y cafeterías. En el caso que la información sea escrita en papelógrafos, tableros o documentos no formales, se debe asegurar que esta sea borrada inmediatamente antes de que sea abandonado el sitio. Se debe evitar referenciar este tipo de información fuera de las instalaciones de La Organización, a menos que sea una reunión formal. Se debe evitar reunirse en espacios abiertos y que no permitan aislar el sonido. Se debe asegurar que la información sólo sea transmitida a las mínimas personas necesarias. En el caso que la información sea escrita en papelógrafos, tableros o documentos no formales, se debe asegurar que esta sea borrada o destruida, dependiendo del medio en que haya sido manejado, inmediatamente antes de que sea abandonado el sitio.
  • 21. Pública Uso Interno Restringida Altamente Restringida Etiquetado PU Etiquetado UI Etiquetado PT Etiquetado CM Vía Telefónica No requiere precauciones especiales para el trato de información pública. No se deberá entregar información de uso interno a personas externas a La Organización. No se deberá suministrar información Restringida a personas no autorizadas por este medio. Se debe evitar conversaciones telefónicas en donde se maneje información Altamente Restringida, más aún si hay posibles escuchas no autorizados. Su transmisión deberá hacerse únicamente a través de los servicios telefónicos de La Organización y, de ser posible, se debe cifrar el canal de comunicación. Está prohibida la transmisión de información confidencial mediante servicios tales como Skype, WhatsApp, Blackberry Mesrenger, redes sociales, entre otros. Voice Mail o máquina de grabación automática de mensajes No requiere precauciones especiales para el trato de información pública. No se deberá entregar información de Uso Interno a personas externas a La Organización No se deberá entregar información Restringida a personas no autorizadas por este medio. No se deben dejar mensajes que contengan información reservada.