Información

Categorías de información: clasificación y ejemplos

- Publicado por Redacción RD.

Facultad, Personal, Estudiante: todos tienen información personal confidencial para proteger. Si usted es facultad o personal de SUNY OSWEGO, tiene responsabilidades adicionales para salvaguardar la información personal y confidencial de otros en la comunidad universitaria. Proteger la información confidencial de los demás es simplemente lo correcto, pero es importante recordar que SUNY Oswego está legalmente obligado a hacerlo, en muchas circunstancias. Existen numerosas regulaciones que dictan cómo se deben tratar ciertos tipos de información muy confidencial, incluidos los números de tarjetas de crédito, la información del historial de salud y los SSN. SUNY Oswego debe cumplir con estas leyes: si no lo hacemos, la universidad podría enfrentar multas rígidas, demandas civiles, pérdida de reputación o perder la capacidad de hacer ciertos tipos de funciones críticas (como aceptar tarjetas de crédito). Otros tipos de información en SUNY Oswego también merecen protección, pero por diferentes razones. Una parte importante de su trabajo es comprender qué tipo de información puede estar expuesto y saber qué salvaguardas debe usar para proteger la información en función de su categoría.

No podemos proteger de manera efectiva nuestra información sin comprender primero qué nivel de protección requiere nuestra información. El documento «Categorías de información» es la fuente definitiva de cómo SUNY OSWEGO clasifica su información y datos. Las categorías de documento de información deben ser su primer paso para comprender los tipos de información que puede encontrar en su trabajo y cuán cuidadosamente necesita proteger esa información. En el documento, encontrará los tipos de personas sobre las cuales se recopila información, la lista de leyes, reglamentos, estatutos y estándares con los que debe cumplir SUNY Oswego y las definiciones de las cuatro categorías diferentes de información (con ejemplos de cada uno) .

Cada departamento tendrá políticas y procedimientos sobre cómo se debe manejar la información, que están en línea con las categorías de documento de información y relacionados con las funciones del departamento. Ciertas entidades (personas o departamentos) son responsables de otorgar acceso y garantizar los usos apropiados de la información, mientras que otras son responsables de la seguridad física y electrónica de la información. Otros pueden tener responsabilidades más limitadas, tal vez como solo «usuarios finales» de nuestra información. Si tiene alguna pregunta o inquietud sobre cómo su trabajo o departamento maneja la información, debe llamarlas a la atención de su supervisor, gerente o presidente de departamento. La información sin una categoría aparente debe tratarse como protegida y informada para que pueda clasificarse correctamente.

¿Cuáles son las categorias de los sistemas de información?

Definición del sistema de información: ”Un sistema de información es un conjunto de componentes interrelacionados que trabaja en conjunto para recopilar, procesar, almacenar y desglosar la información para apoyar la toma de decisiones. «

Las siguientes son las dimensiones del sistema de información:

1. Dimensión organizacional: el sistema de información es parte de la organización. El sistema de información tendrá el procedimiento operativo estándar y la cultura de una organización integrada dentro de ellos. Esto implica: a) especialidades funcionales b) procesos comerciales c) cultura d) grupos de interés político

2. Dimensión de gestión: los gerentes perciben los desafíos comerciales en el medio ambiente. Los sistemas de información suministran herramientas e información que los gerentes necesitan para asignar, coordinar y monitorear su trabajo, tomar decisiones, crear nuevos productos y servicios y tomar una decisión estratégica de largo alcance.

3. Dimensión de tecnología: la gerencia utiliza tecnología para llevar a cabo sus funciones. Consiste en: hardware/software de computadora, tecnología de gestión de datos, tecnología de redes/telecomunicaciones. Es una de las muchas herramientas que los gerentes usan para hacer frente al cambio.

Los sistemas de información se clasifican por niveles organizacionales, modo de datos, procesamiento, objetivos del sistema y tipo de soporte proporcionado.

  • El sistema de procesamiento de transacciones es un sistema de información que procesa los datos resultantes de las ocurrencias de las transacciones comerciales
  • Sus objetivos son proporcionar transacciones para actualizar registros y generar informes, es decir, realizar la función de mantenimiento de tiendas

¿Cuáles son las categorías de los sistemas de información?

Hay muchos tipos de sistemas de software. Claramente, software
utilizado por cada tipo de sistema diferirá. Es útil (y
práctica común) dividirlos en categorías como
el seguimiento:

Diferentes personas y autores pueden desglosar las categorías
Además, o proporcionar otras categorías. La lista de arriba es
informal pero útil, ya que (como describiremos a continuación) cada uno
La categoría de sistema se puede distinguir de otros tipos de
sistema de informacion.

Tal sistema generalmente tiene una gran base de datos de información.
y el propósito del sistema es proporcionar un acceso rápido y fácil
y procesamiento de datos.

Dependiendo del grado en que se procesen los datos y
Analizado, los sistemas pueden clasificarse como cualquier transacción
sistemas de procesamiento o sistemas de información de gestión. Un sistema
que básicamente administra los datos necesarios para realizar el
El negocio diario es un sistema de soporte de transacciones. Un sistema que
resume los datos en una forma útil para la gestión de un
El negocio es un sistema de información de gestión.

El entorno fuera de los límites del sistema no es
bajo el control del sistema. Por lo tanto, un sistema necesitará
poder responder a los datos siempre que llegue – tiempo real
Los sistemas deben responder rápidamente a los cambios en las entradas de
el entorno. Los tiempos de respuesta típicos serían del
Orden de unos pocos milisegundos o incluso microsegundos. Conseguir
una respuesta tan rápida que el sistema necesita para priorizar su
tareas, a menudo dividiéndolos en varios procesos que pueden
interrumpir el uno al otro. Sin embargo, tan pronto como hay varios
tareas, deben poder comunicarse correctamente con una
otro y no interferir entre sí. Porque
interacciones ambientales, los sistemas en tiempo real deben ser
robusto para accidentes, errores y fallas en el externo
partes del sistema. Es decir, deben responder en una caja fuerte
y de manera controlada en (casi) todo concebible
circunstancias.

¿Qué es la categoria de sistemas?

Los sistemas se han clasificado de diferentes maneras. Las clasificaciones comunes son:

  • Sistemas físicos o abstractos
  • Sistemas abiertos o cerrados
  • Sistemas deterministas o probabilísticos
  • Sistemas de información hechos por el hombre

Sistemas físicos o abstractos: los sistemas físicos son entidades tangibles que pueden ser estáticas o dinámicas en funcionamiento. Los sistemas abstractos son entidades conceptuales o no físicas que pueden ser tan sencillas como las fórmulas de las relaciones entre conjuntos de variables o modelos: la conceptualización abstracta de situaciones físicas.

Sistemas abiertos o cerrados: un sistema abierto interactúa continuamente con sus entornos. Recibe entradas y entrega salida al exterior. Un sistema de información pertenece a esta categoría, ya que debe adaptarse a las demandas cambiantes del usuario. En contraste, un sistema cerrado se aísla de las influencias ambientales. En realidad, los sistemas completamente cerrados son raros.

Sistemas deterministas o probabilísticos: un sistema determinista es aquel en el que la aparición de todos los eventos es perfectamente predecible. Si obtenemos la descripción del estado del sistema en un momento particular, el siguiente estado se puede predecir fácilmente. Un ejemplo de dicho sistema es una máquina herramienta controlada numéricamente. El sistema probabilístico es aquel en el que la aparición de eventos no puede predecirse perfectamente. Un ejemplo de dicho sistema es un almacén y su contenido.

Sistemas de información hechos por el hombre: generalmente se cree que la información reduce la incertidumbre sobre un estado o evento. Por ejemplo, la información de que el viento está tranquilo reduce la incertidumbre de que un viaje en barco será agradable. Un sistema de información es la base para la interacción entre el usuario y el analista. Determina la naturaleza de la relación entre los tomadores de decisiones. De hecho, puede verse como un centro de decisiones para el personal en todos los niveles. A partir de esta base, un sistema de información puede definirse como un conjunto de dispositivos, procedimientos y sistemas operativos diseñados en torno a los criterios basados ​​en el usuario para producir información y comunicarla al usuario para la planificación, el control y el rendimiento. Muchos profesionales no reconocen que una empresa tiene varios sistemas de información; Cada uno está diseñado para un propósito específico.

¿Qué es una clasificación de la información?

El objetivo de control A.8.2 se titula «Clasificación de información» e instruye que las organizaciones «se aseguren de que la información reciba un nivel apropiado de protección».

ISO 27001 no explica cómo debes hacer eso, pero el proceso es sencillo. Solo necesitas seguir cuatro pasos simples.

El primer paso es recopilar toda su información en un inventario (o registro de activos).

También debe tener en cuenta quién es responsable de ello (quién lo posee) y en qué formato se encuentra (documentos electrónicos, bases de datos, documentos en papel, medios de almacenamiento, etc.).

Los propietarios de activos son responsables de esto, pero es una buena idea que la alta gerencia proporcione pautas basadas en los resultados de la evaluación de riesgos ISO 27001 de la organización.

La información que se vería afectada por riesgos más significativos generalmente debería recibir un mayor nivel de confidencialidad. Pero tenga cuidado, porque este no siempre es el caso.

Habrá casos en que la información confidencial debe estar disponible para un conjunto más amplio de empleados para que hagan su trabajo. La información puede representar una amenaza si su confidencialidad se ve comprometida, pero la organización debe hacerlo ampliamente disponible para funcionar.

Una vez que haya clasificado su información, el propietario del activo debe crear un sistema para etiquetarla.

Necesitará diferentes procesos para la información que se almacena digitalmente y físicamente, pero debe ser consistente y clara.

Por ejemplo, puede decidir que los documentos en papel se etiquetarán en la portada, la esquina superior derecha de cada página posterior y la carpeta que contiene el documento.

¿Quién clasifica la información?

En el contexto internacional, el tema de la protección de la información clasificada, incluida tanto la disciplina de las calificaciones de seguridad personal (PSC, la autorización de seguridad del personal) y la de las calificaciones de seguridad industrial (FSC, la autorización de seguridad de las instalaciones), está regulado por acuerdos bilaterales específicos y multilateral entre los diferentes países. Para Italia, el DIS, a través de UCSE, se encarga de la negociación y preparación de estos acuerdos de seguridad generales con organizaciones internacionales y países extranjeros.

Para comprender con un ejemplo de lo que está hablando, informamos TAB.1 Comparativo entre el nacional italiano y los utilizados en los Estados Unidos, en el Reino Unido y Francia, respectivamente. Como se puede observar en Tab.1, los niveles de clasificación italiano no siempre están presentes en organizaciones en otros países y, en estos casos, se requiere una acción de armonización cuidadosa, referida a acuerdos bilaterales y multilaterales.

TAB.1 Tabla comparativa de las clasificaciones nacionales con las de EE. UU., Reino Unido y Francia [UCS1] Se caracteriza la información clasificada, además de la clasificación de Secretario, pero también por una calificación de seguridad que identifica el cuerpo o el cuerpo que los produjo y para que los produjera y los produjera y los produjera y los produjera. que pertenecen (por ejemplo, nacido, EU, ESA, National…).

Con referencia al contexto internacional, la adhesión de Italia a los tratados instituidos organizaciones, como la OTAN y la Unión Europea, implica la aceptación de la disciplina común relativa en documentos clasificados.

¿Cuáles son los niveles de clasificación de la información?

Tener un estándar de clasificación de datos es el primer paso. Una vez que se ha definido uno, ¿cómo se clasifica la información? Hay múltiples formas de clasificar la información y simplificar las cosas, sin embargo, hay dos métodos principales.

El primero implica tratar todos los secretos PII, PCI, Phipa o Comercio como restringidos e intentar construir reglas (es decir, expresiones regulares) en sus sistemas para etiquetar automáticamente un uso de una tecnología. Las tarjetas de crédito son 16 dígitos y las tarjetas válidas pasan un cheque del mod 10. La tecnología es capaz de encontrar tarjetas de crédito y manejar la información en consecuencia.

El segundo implica capacitar a su personal para comprender los niveles y etiquetar sus documentos en función de su uso previsto. Esta es, con mucho, la más difícil, pero una vez implementada, la más efectiva por la simple razón de que la tecnología tiene dificultades para comprender los datos y el contexto.

El papel de los datos de etiquetado cae con el propietario de los datos. El propietario de los datos es el líder o unidad comercial que es responsable de los datos. Los datos de lealtad, por ejemplo, pueden ser propiedad del vicepresidente de lealtad del cliente. Depende del propietario de los datos asignar la clasificación apropiada y entregar la responsabilidad al custodio. El custodio es el miembro del equipo responsable de la custodia segura, el transporte y el almacenamiento de datos confidenciales. Son responsables de la aplicación de controles de seguridad en función del nivel de sensibilidad.

Hay varias razones para clasificar los datos. Para comenzar, hace que la información confidencial sea fácil de detectar. Un correo electrónico con una política de contenido vinculada a él (Office 365), y una línea de asunto que comienza con «restringido» es un indicador muy claro de que el destinatario debe tener cuidado con la información. La seguridad es costosa, y si aplicamos controles de alta seguridad a los datos que lo requieren, y disminuyen los controles sobre la información pública, podemos ser más rentables.

¿Cómo se clasifican los datos según categorías?

La clasificación de datos implica etiquetar datos para que sea fácil de buscar y rastreable. También elimina múltiples duplicaciones de datos, lo que puede reducir los costos de almacenamiento y copia de seguridad mientras acelera el proceso de búsqueda. Aunque el proceso de clasificación puede sonar altamente técnico, es un tema que debe ser entendido por el liderazgo de su organización.

La clasificación de datos ha mejorado significativamente con el tiempo. Hoy, la tecnología se utiliza para una variedad de propósitos, a menudo en apoyo de las iniciativas de seguridad de datos. Pero los datos pueden clasificarse por varias razones, incluida la facilidad de acceso, el mantenimiento del cumplimiento regulatorio y para cumplir con otros objetivos comerciales o personales. En algunos casos, la clasificación de datos es un requisito regulatorio, ya que los datos deben ser de búsqueda y recuperables dentro de los plazos especificados. A los efectos de la seguridad de los datos, la clasificación de datos es una táctica útil que facilita las respuestas de seguridad adecuadas basadas en el tipo de datos que se están recuperando, transmitiendo o copiado.

La clasificación de datos a menudo implica una multitud de etiquetas y etiquetas que definen el tipo de datos, su confidencialidad y su integridad. La disponibilidad también puede tenerse en cuenta en los procesos de clasificación de datos. El nivel de sensibilidad de los datos a menudo se clasifica en función de diferentes niveles de importancia o confidencialidad, lo que luego se correlaciona con las medidas de seguridad establecidas para proteger cada nivel de clasificación.

  • La clasificación basada en el contexto analiza la aplicación, la ubicación o el creador, entre otras variables, como indicadores indirectos de información confidencial
  • La clasificación basada en el usuario depende de una selección manual de usuario final de cada documento. La clasificación basada en el usuario se basa en el conocimiento y la discreción del usuario en la creación, edición, revisión o difusión para marcar documentos confidenciales.

Los enfoques de contenido, contexto y usuarios pueden ser correctos o incorrectos dependiendo de la necesidad comercial y el tipo de datos.

¿Qué es un dato y cómo se clasifica?

La ley de evidencia gira en torno a dos cosas cardinales: hechos y pruebas. Son estas dos cosas las que se combinan para formar evidencia, que el tribunal puede o no aceptar que muestre el mérito o de otro modo del caso de una parte. Cuando el Tribunal cree que existen los hechos mostrados por una parte en cualquier procedimiento o cuando está convencido de que una persona razonable los vería como existentes, se dice que se prueba el hecho. Si el tribunal no está satisfecho de que esos hechos existan o estén convencidos de que una persona razonable no los vería como existentes, se dice que el hecho es «refutado». Por lo tanto, los «hechos» son importantes en cualquier caso. En este artículo, estudiaremos el significado del término «hecho» y la clasificación de hechos.

Steve Uglow en su libro «Evidencia: Texto y Materiales» La edición de 1997 dice que el término «hecho» se está utilizando en tres sentidos diferentes:

  • la información proporcionada por el testigo y otra evidencia;
  • la conclusión extraída por el juzgador de hechos de la información presentada en la corte sobre lo que realmente sucedió; y
  • Los conceptos legales, hechos en cuestión, que deben establecerse si una parte en particular para los procedimientos legales es tener éxito «.

Según la Sección 3 de la Ley de Evidencia de la India, 1872,

  • la información proporcionada por el testigo y otra evidencia;
  • la conclusión extraída por el juzgador de hechos de la información presentada en la corte sobre lo que realmente sucedió; y
  • Los conceptos legales, hechos en cuestión, que deben establecerse si una parte en particular para los procedimientos legales es tener éxito «.
  • cualquier cosa, estado de cosas o relación de las cosas, capaz de ser percibido por los sentidos;
  • Cualquier condición mental que cualquier persona sea consciente.

    • (a) que hay ciertos objetos organizados en un determinado orden en cierto lugar, es un hecho.

    ¿Cómo se clasifican los activos de información?

    Toda la información, datos y
    La comunicación debe clasificarse estrictamente de acuerdo con su nivel de
    confidencialidad, sensibilidad, valor y criticidad. La información puede ser
    clasificado como altamente restringido, confidencial, solo uso interno y público.

    Muy restringido: esto
    La etiqueta de clasificación se aplica a la más privada o de otra manera sensible
    información de la empresa. La información bajo esta clasificación será
    estrictamente monitoreado y controlado en todo momento. (por ejemplo, fusión y adquisición
    documentos, planes estratégicos a nivel corporativo, notas de estrategia de litigio, informes
    sobre investigación de nuevos productos innovadores y secretos comerciales como ciertos
    programas de computador.)

    Uso interno solamente: este ClassificationLabel se aplica a la información destinada a su uso dentro de la empresa,
    y en algunos casos dentro de las organizaciones afiliadas, como los socios comerciales de
    la empresa. Los activos de este tipo están ampliamente distribuidos dentro de la empresa y pueden ser
    distribuido dentro de la compañía sin permiso del propietario del activo de información.
    (por ejemplo, directorio telefónico, números de acceso a la computadora de acceso telefónico, nuevo empleado
    Materiales de capacitación y manuales de políticas internas).

    Público: esta clasificación
    se aplica a la información que ha sido aprobada explícitamente por la compañía
    Gestión para su lanzamiento al público. Se pueden distribuir los activos de este tipo
    sin daños potenciales. (por ejemplo, folletos de productos y servicios, anuncios,
    Anuncios de apertura de empleo y comunicados de prensa).

    ¿Qué es un activo de información ejemplos?

    Como el activo de información es cualquier información valiosa que la organización tiene. Valioso aquí significa que la organización la adquirió a algún costo, lo está utilizando activamente ahora en algún proceso o podría usarla para algún propósito en el futuro. La definición de un activo es deliberadamente amplia: es importante reconocer todo tipo y tipos de activos.
    Un activo de información puede tener muchos formularios diferentes: puede ser un documento en papel, un documento digital, una base de datos, una contraseña o clave de cifrado o cualquier otro archivo digital.
    Cada activo se almacena en algún operador como papel, un palo USB, disco duro, computadora portátil, servidor, nube o cinta de respaldo. No es necesario identificar también a todos los portadores. Sin embargo, si cree que puede tener riesgos específicos que dependen del tipo de operador (por ejemplo, para los datos de los documentos USB Stick o en papel), puede agregar «otra información sobre palitos USB» como un activo para asegurarse de que su inventario esté completo. El inventario de riesgos es una herramienta que debería ayudarlo a comprender y mejorar la seguridad.

    Para cumplir con las mejores prácticas de seguridad de la información, hay información mínima requerida por activo. Hemos enumerado estos elementos a continuación. Se permite agregar campos adicionales para que el inventario sea más útil para su organización.
    Los campos requeridos son:

    • Nombre y descripción: Debería estar claro para las personas dentro de la empresa lo que se entiende
    • Propietario: Cada activo debe tener un propietario que tome decisiones finales sobre lo que debería suceder con el activo. Debe ser propietario de un negocio: el equipo de Seguridad de la Información o de Información no debe ser propietario de ningún activo. Por lo general, el propietario es director o gerente senior, ya que el propietario también debe proporcionar el presupuesto para administrar o mejorar el activo.
    • CIA. La seguridad de la información se define como confidencialidad, integridad y disponibilidad de información. Debe dejar en claro cuál de estos tres se aplican a su activo. Para muchos activos son los tres (etiqueta: CIA). Para la información publicada, la confidencialidad no es un problema, por lo que deben etiquetarse como IA.
    • Datos personales: hay en la mayoría de los países reglas especiales para el tratamiento de datos personales. Estos datos deben tener protección adicional. Es importante comprender qué activos contienen datos personales para que cualquiera pueda verificar si estos activos tienen esta protección adicional.
    • Acceso. No es aceptable dar a nadie en una organización acceso a todos los activos. Por ejemplo, PCI-DSS prohíbe explícitamente un modelo de acceso tan simple. Debe definir roles (por ejemplo, servicio al cliente, desarrolladores, personal de operaciones, directores, recursos humanos) y especificar el uso de estos roles que deberían tener acceso.

    La siguiente ilustración muestra cómo podría ser un inventario mínimo. Es una captura de pantalla de nuestra plantilla de Excel. Excel u otro programa de hoja de cálculo, en combinación con una unidad de unidad compartida, una cuenta de Dropbox o Cloud es una forma en que se puede mantener el inventario de riesgos de activos.

    Para descubrir todos los activos de información, es útil usar categorías para diferentes tipos de activos. Las categorías se pueden usar como una lista de verificación, para asegurarse de que uno haya pensado en todos los aspectos. Utilizamos «Pees Dot» como una categorización simple, tanto para riesgos como para activos (ver nuestro enfoque de evaluación de riesgos). Las descripciones de categoría son:

    • Nombre y descripción: Debería estar claro para las personas dentro de la empresa lo que se entiende
    • Propietario: Cada activo debe tener un propietario que tome decisiones finales sobre lo que debería suceder con el activo. Debe ser propietario de un negocio: el equipo de Seguridad de la Información o de Información no debe ser propietario de ningún activo. Por lo general, el propietario es director o gerente senior, ya que el propietario también debe proporcionar el presupuesto para administrar o mejorar el activo.
    • CIA. La seguridad de la información se define como confidencialidad, integridad y disponibilidad de información. Debe dejar en claro cuál de estos tres se aplican a su activo. Para muchos activos son los tres (etiqueta: CIA). Para la información publicada, la confidencialidad no es un problema, por lo que deben etiquetarse como IA.
    • Datos personales: hay en la mayoría de los países reglas especiales para el tratamiento de datos personales. Estos datos deben tener protección adicional. Es importante comprender qué activos contienen datos personales para que cualquiera pueda verificar si estos activos tienen esta protección adicional.
    • Acceso. No es aceptable dar a nadie en una organización acceso a todos los activos. Por ejemplo, PCI-DSS prohíbe explícitamente un modelo de acceso tan simple. Debe definir roles (por ejemplo, servicio al cliente, desarrolladores, personal de operaciones, directores, recursos humanos) y especificar el uso de estos roles que deberían tener acceso.
  • Datos: información estructurada no vinculada a un sistema de software. Incluye contenido generado por el usuario
  • Organización: cualquier información sobre la organización, p. Org Estructura, procesos
  • Terceros: información o administrada por proveedores, clientes o socios específicos

    • Si involucra a personas de todos los departamentos y les pide que piensen en todos los aspectos de puntos de PEE, debe obtener una descripción completa de todos los activos. Probablemente hay algunos activos que se ajustan a múltiples categorías (por ejemplo, base de datos para un software específico). Este no es un problema, solo elija una categoría que se ajuste bien. PEES DOT no es obligatorio, sino una herramienta útil para el descubrimiento.

    ¿Qué son los activos del Sistema de información?

    Muchos métodos para analizar los riesgos de seguridad de la información utilizan el término activos, activos de información o activos comerciales intercambiablemente. Esta es una base común del análisis de riesgos de seguridad de la información que a menudo proporciona una guía sobre el impacto comercial de un riesgo que se realiza en sistemas particulares que mantienen o acceden a estos activos.

    El Oxford English Dictionary define un activo como: “Un elemento de valor poseído; Un elemento en un balance general que representa el valor de un recurso, derecho, elemento de propiedad, etc. «

    Esta no es solo una definición útilmente clara, no es incompatible con la forma en que el término se usa en el riesgo de seguridad de la información (¡lo cual no siempre es el caso con el idioma inglés reutilizado en la seguridad de la información!).

    Mirando al estándar de riesgo principal, el estándar internacional para la gestión de riesgos, ISO 31000: 2018 no tiene el concepto de un activo en sus definiciones. Describe: «La naturaleza y el valor de los activos y los recursos» como factores a considerar en la identificación de riesgos. El estándar de soporte ISO 31010 incluye activos como factor de alcance para BIA y DPIA y también el concepto de activos como una «capacidad de riesgo» para una empresa comercial. Esto es interesante, los activos que potencialmente representan una mitigación en lugar de una exposición.

    Para la serie ISO 27000, el documento inicial ISO 27000 en sí mismo proporciona definiciones del resto de la serie, describe los activos en términos de algo a lo que se aplica el control de acceso y ese ataca al objetivo. También define activos específicamente en términos de riesgo de seguridad de la información: «El riesgo de seguridad de la información está asociado con el potencial de que las amenazas exploten las vulnerabilidades de un activo de información o un grupo de activos de información y, por lo tanto, causarán daño a una organización».

    Artículos Relacionados:

    Más posts relacionados:

    Información

    Cómo identificar la información relevante en un texto

    By Reis Digital
    Información

    La jerarquía de la información es la clave para el éxito en el marketing digital

    By Reis Digital

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *