Ejemplos de información

• Informe de estado de colegios en todo el país
• Inventario de los bienes institucionales
• Noticias sobre el año escolar
• Lista de los correos electrónicos del personal de una empresa

Ejemplos de amenaza

• Fenómenos naturales
• Virus informático
• Corte de luz
• Robo de la información
• Mal uso de la información (por desconocimiento o mala intención)

Ejemplos de vulnerabilidad

• Plan de contingencias TI desactualizado
• Falta de sistemas de seguridad perimetral
• Falta de redundancia del sistema eléctrico
• Información sensible expuesta
• Falta de capacitación para el uso de sistemas de información
• Carencia de lineamientos de uso de Xinformación

Ejemplos de riesgos

• Pérdida de la disponibilidad de la información por no contar con redundancia del sistema eléctrico frente a un corte de luz.
• Pérdida de la confidencialidad de la información sensible frente al ataque de hackers por encontrarse expuesta, sin control.
• Pérdida de la integridad de la información del sistema de información X, por no capacitar adecuadamente al personal para su uso.

Ejemplos de controles de seguridad

• Definición formal de fechas para la actualización y el desarrollo de pruebas del plan de contingencia TI.
• Implementación de grupo electrógeno y UPS para el sistema eléctrico del centro de datos.
• Desarrollo de charlas y programas de concientización para el personal de la empresa en cuanto a la seguridad de la información.

Confidencialidad

Es la protección de la información contra el acceso no autorizado.

Formas de aplicación:

1. Identifico y declaro formalmente la información clasificada como confidencial.
2. Defino lineamientos para el tratamiento de la información confidencial.
3. Difundo a nivel institucional qué información está clasificada como confidencial y los lineamientos para su tratamiento.
4. Monitoreo la aplicación de los lineamientos para el tratamiento de la información confidencial.

Integridad

Asegura que la información sea precisa y no alterada.

Formas de aplicación:

1. El acceso a la información administrada por los sistemas de información solo debe ser a través de un usuario y contraseña.
2. La creación de una cuenta de usuario solo debe ser autorizada para el personal que se encuentra capacitado para usar el sistema de información. Ello debe ser autorizado por el área usuaria propietaria del sistema.
3. El sistema de información debe contar con controles que permitan auditar las actividades que realizan los usuarios en todo momento.

Disponibilidad

Garantiza que la información sea accesible cuando se requiera.

Formas de aplicación:

1. Identificar la información que es utilizada continuamente.
2. Sobre esa información se debe aplicar controles de seguridad que permitan la disponibilidad de la misma. Por ejemplo: almacenada en una carpeta compartida a quienes la requieran, cronograma de actualización de la información, contar con copias de respaldo (backups), su plataforma tecnológica se encuentra en alta disponibilidad (equipo servidor, sistema eléctrico, redes)

Probabilidad

Posibilidad de que ocurra un evento de riesgo.

Frente a un riesgo identificado, se debe plasmar la posibilidad de que este ocurra basados en experiencias previas, estadísticas, riesgos repetitivos entre otros; por ello, es importante la documentación de los incidentes de seguridad.

Impacto

Es el efecto o consecuencia frente a un evento.

Al tener un riesgo identificado, hay que evaluar el impacto de este si fuera a materializarse:

¿Qué afecta? ¿Cuánto afecta? ¿Cómo afrontarlo?

Considerando la identificación de los riesgos y el análisis de la probabilidad e impacto por cada uno, se ha evaluado cuales son los riesgos más probables a ocurrir y que tienen mayor impacto sobre la información institucional. Con ello, ya se puede iniciar con el desarrollo de controles de seguridad que permitan mitigar estos riesgos.