METODOLOGÍA PARA IDENTIFICAR, CLASIFICAR Y VALORAR LOS ACTIVOS DE INFORMACIÓN DE LA ETITC


Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "METODOLOGÍA PARA IDENTIFICAR, CLASIFICAR Y VALORAR LOS ACTIVOS DE INFORMACIÓN DE LA ETITC"

Transcripción

1 PÁGINA: 1 de 9 1. Objetivo Definir las actividades que permitan efectuar una óptima identificación, clasificación y valoración de los activos de información institucionales, para con esto, definir los requisitos de seguridad para cada uno ellos, en dependencia de la función que cumplan dentro de cada proceso. 2. Alcance La Metodología para Identificar, Clasificar y Valorar los Activos de Información de la ETITC, será aplicada en todos los procesos institucionales, para de esta manera, conocer todo lo que representa un valor para la Institución y brindarle una óptima seguridad en su operación y conservación. 3. Introducción La Metodología para Identificar, Clasificar y Valorar los Activos de Información de la ETITC, entrega los lineamientos básicos, que deben ser utilizados por todos los líderes de proceso y gestor de la seguridad de la información en la Institución, para poner en marcha la gestión y clasificación de activos de información, con el fin de determinar, qué activos posee la Escuela, cómo deben ser utilizados, los roles y responsabilidades que tienen los servidores públicos sobre los mismos, entre otros. La realización de un inventario de activos de información, hace parte de la debida diligencia, que a nivel estratégico, se ha definido en el Modelo de Seguridad y Privacidad de la Información de Gobierno Digital, con respecto a la seguridad de los activos de información de la ETITC, y cuyo objetivo es dar cumplimiento al dominio #8, del Anexo A, de la norma NTC-ISO-IEC 27001: Actividades a Desarrollar a. Elaboración de las Matrices de Inventario. Para el desarrollo de esta actividad se debe consultar la Ley 1712 de 2014 o Ley de Transparencia y Derecho de Acceso a la Información Pública Nacional, el Decreto 103 de 2015, la Norma NTC-ISO-IEC 27001:2013, las buenas prácticas de Gobierno Digital y adicional, tener encuentra las observaciones realizadas por los entes de control, mediante las revisiones independientes que realicen al Modelo de Seguridad y Privacidad de la Información (MSPI) del Gobierno Digital.

2 PÁGINA: 2 de 9 Por último, teniendo en cuenta que los activos de información se clasifican por tipos, cada uno de ellos posee características propias, por ende, dichas condiciones deben ser consideradas en la elaboración de las matrices de inventario. b. Identificar las Fuentes. Teniendo en cuenta que los activos de información se clasifican en: - Tipo Documental. - Tipo Hardware. - Tipo Software. - Tipo Servicios. La fuente que se utiliza para recolectar la información requerida en cada inventario, es diferente, al igual que las áreas encargadas de generar dicha información. En el caso del Inventario de Activos Tipo Documental, la fuente documental a utilizar es la Tabla de Retención Documental (TRD), que elabora el área de Archivo y Correspondencia de la ETITC. Por otro lado, para el Inventario de Activos Tipo Hardware, Software y Servicios, se debe contactar al área de Informática y Comunicaciones, con el objetivo de identificar la fuente de obtención de información y en caso necesario, destinar recurso humano para obtener la información requerida. c. Identificar los Activos de Información. Toda vez se tengan las fuentes de información, provenientes de las áreas correspondientes, se procede a identificar cada activo, en su respectiva matriz, diligenciando todos los campos que la conforman. Esta actividad de Identificación permite obtener una visión clara de aquellos activos que necesitan mayor atención en su protección, pues se puede observar con mayor claridad las características específicas del activo y la función que cumple al interior de un proceso. d. Clasificación de los Activos de Información. Los criterios de clasificación de los activos de información varían en dependencia de su tipo.

3 PÁGINA: 3 de 9 En el caso particular de los activos tipo hardware, los criterios de clasificación son los siguientes: Clasificación del Activo Operaciones Internas Servicio a Terceros Operaciones Internas: Cantidad de procesos que gestiona el activo. : Un solo proceso. : Algunos procesos. : Todos los procesos. Servicio a Terceros: Cantidad de servicios que presta a terceros. : Un servicio o ninguno. : Algunos servicios. : Todos los servicios. Adicional, el criterio de clasificación de Disponibilidad, fue sugerido por los revisores del MINTIC, en Agosto de 2017, cuando tuvo lugar la 1era revisión independiente al MSPI de Gobierno Digital, en la Escuela Tecnológica. Dándole cumplimiento al control A Revisión Independiente de la Seguridad de la Información Clasificación de Acuerdo con la Disponibilidad - Alta: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a la ETITC y entes externos. - Media: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada la ETITC. - Baja: La no disponibilidad de la información puede afectar la operación normal de la ETITC o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen institucional.

4 PÁGINA: 4 de 9 El etiquetado del documento de acuerdo al criterio de disponibilidad es el que sigue: Clasificación de Disponibilidad Alta 1 Media 2 Baja 3 En el caso particular de los activos tipo software y servicios, los criterios de clasificación son los siguientes: Clasificación del Activo Operaciones Internas Servicio a Terceros Operaciones Internas: Cantidad de procesos que gestiona el activo. : Un solo proceso. : Algunos procesos. : Todos los procesos. Servicio a Terceros: Cantidad de servicios que presta a terceros. : Un servicio o ninguno. : Algunos servicios. : Todos los servicios. Adicional, los criterios de clasificación de Confidencialidad, Integridad y Disponibilidad, fueron sugeridos por los revisores del MINTIC, en Agosto de 2017, cuando tuvo lugar la 1era revisión independiente al MSPI de GEL en la Escuela. Dándole cumplimiento al control A Revisión Independiente de la Seguridad de la Información

5 PÁGINA: 5 de 9 Clasificación de Acuerdo con la Confidencialidad - Información Pública: Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la ETITC, sin que esto implique daños a terceros ni a las actividades y procesos propias de la Institución. - Información Pública Clasificada: Información disponible para todos los procesos de la ETITC y que en caso de ser conocida por terceros, sin autorización, puede conllevar un impacto negativo para los procesos de la Escuela. - Información Pública Reservada: Información disponible sólo para un proceso de la ETITC y que en caso de ser conocida por terceros, sin autorización, puede conllevar un impacto negativo de índole legal, operativa, de pérdida económica o de imagen institucional. El etiquetado del documento de acuerdo al criterio de confidencialidad es el que sigue: Clasificación de Confidencialidad Información Pública Información Pública Clasificada Información Pública Reservada IPB IPC IPR Clasificación de Acuerdo con la Integridad - Alta: Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la ETITC. - Media: Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada a los servidores públicos de la ETITC. - Baja: Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la ETITC o entes externos. El etiquetado del documento de acuerdo al criterio de integridad es el que sigue: Clasificación de Integridad Alta Media Baja A M B

6 PÁGINA: 6 de 9 Clasificación de Acuerdo con la Disponibilidad - Alta: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a la ETITC y entes externos. - Media: La no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada la ETITC. - Baja: La no disponibilidad de la información puede afectar la operación normal de la ETITC o entes externos, pero no conlleva implicaciones legales, económicas o de pérdida de imagen institucional. El etiquetado del documento de acuerdo al criterio de disponibilidad es el que sigue: Clasificación de Disponibilidad Alta 1 Media 2 Baja 3 En el caso particular de los activos tipo documental, los criterios de clasificación podemos encontrarlos en la Ley 1712 de 2014 o Ley de Transparencia y Derecho de Acceso a la Información Pública Nacional, Decreto 103 de 2015 y la Guía#5 Guía para la Gestión y Clasificación de Activos de Información, de Gobierno en Línea. Clasificación de Acuerdo con la Confidencialidad Información Pública: Es toda información que su divulgación no pone en riesgo la integridad ni la imagen de la persona natural o jurídica. Información Pública Clasificada: Es aquella información semiprivada que es compartida entre un grupo de personas de la entidad, inclusive puede ser compartida con entes de control, pero no es de carácter público para personal ajeno a la ETITC. Información Pública Reservada: Es aquella información que contiene datos sensibles y/o personales. Es considerada información privada teniendo en cuenta que su divulgación puede traer consigo daños de imagen e implicaciones jurídicas tanto para la entidad como para una persona natural. El etiquetado del documento de acuerdo al criterio de confidencialidad es el que sigue: Clasificación de Confidencialidad Información Pública Información Pública Clasificada Información Pública Reservada IPB IPC IPR

7 PÁGINA: 7 de 9 Clasificación de Acuerdo con la Integridad Alta: Documento cuya modificación o desactualización no autorizada pone en riesgo el desempeño de las actividades de la institución y el cumplimiento de la misión institucional. Trayendo consigo repercusiones legales y deterioro de imagen para la Escuela. Media: Documento cuya modificación o desactualización no autorizada pone en riesgo el desempeño de los procesos internos de la institución, pudiendo traer consigo deterioros en la imagen institucional y repercusiones legales para la Escuela. Baja: Documento cuya modificación o desactualización no autorizada, no pone en riesgo el desempeño de las actividades propias de la institución, ni tampoco el cumplimiento de los objetivos de sus procesos. No afecta la imagen institucional, ni conlleva a repercusiones legales. El etiquetado del documento de acuerdo al criterio de integridad es el que sigue: Clasificación de Integridad Alta Media Baja A M B Clasificación de Acuerdo con la Disponibilidad Alta: Documento cuya afectación de disponibilidad, en cuanto a su consulta pone en riesgo el desempeño de los procesos, cumplimiento de la misión institucional, generando atrasos significativos en las metas planificadas. Trae consigo repercusiones legales y deterioro de imagen para la Escuela. Media: Documento cuya afectación de disponibilidad, en cuanto a su consulta pone en riesgo el desempeño de los procesos, pudiendo generar atrasos significativos en las metas planificadas. Puede traer consigo repercusiones legales y deterioro de imagen para la Escuela. Baja: Documento cuya afectación de disponibilidad no pone en riesgo el desempeño de los procesos, ni el cumplimiento de la misión institucional. No genera repercusiones legales y deterioro de imagen para la Escuela. El etiquetado del documento de acuerdo al criterio de disponibilidad es el que sigue: Clasificación de Disponibilidad Alta 1 Media 2 Baja 3

8 PÁGINA: 8 de 9 e. Valoración de los Activos de Información. Para el caso particular de los activos de información tipo hardware, software y servicios, se debe realizar una valoración cuantitativa, puesto que los mismos son adquiridos mediante un proceso de compra, sin embargo, los activos de información tipo documental se debe realizar, única y exclusivamente, una valoración cualitativa. Es válido señalar que la valoración cualitativa también debe realizarse a los activos de información tipo hardware, software y servicios. Criterio Valoración Cuantitativa Tipo de Activo de Información Hardware Software Servicios Criterio de Valoración Cuantitativa Corresponde al costo de la adquisición, en pesos colombianos. Criterio Valoración Cualitativa Tipo de Activo de Información Hardware Software Servicios Documental Tipo de Activo de Información Hardware Software Servicios Documental Criterio procesos misionales. todos los procesos del SGC. Criterio procesos estratégicos y de apoyo. más de un proceso del SGC. procesos de evaluación. un proceso del SGC. Valor Cualitativo Valor Cualitativo

9 PÁGINA: 9 de 9 5. Aspectos a Considerar La ETITC cuenta con un Manual de Políticas de Seguridad y Privacidad de la Información, aprobado por la Alta Dirección, por el Sistema de Gestión de Calidad y publicado en el sitio web institucional, a continuación se comparte el enlace de consulta: En el Manual de Políticas de Seguridad y Privacidad de la Información se encuentra la Política de Clasificación y de la Información, la cual puede ser consultada para garantizar el buen desempeño de esta metodología. Adicional, la ETITC tiene elaborado un Procedimiento de Clasificación y de la Información, controlado en el Sistema de Gestión de Calidad y publicado en el sitio web institucional. 6. Bibliografía Consultada - Ley 1712 de 2014 o Ley de Transparencia y Derecho de Acceso a la Información Pública Nacional. - Decreto 103 de Norma NTC-ISO-IEC 27001: Guía # 5 Guía para la Gestión y Clasificación de Activos de Información, de Gobierno Digital. - Informe de la Revisión Independiente realizada por el MINTIC, en agosto de Control de Cambios FECHA VERSIÓN CAMBIOS 01/11/16 1 Adopción del Documento. 08/02/18 2 Inserción del espacio en el pie del documento, para etiquetar la información. Modificación del numeral 4.4 Clasificación de los Activos de Información. 27/08/ Inclusión del documento en el Sistema de Gestión de Calidad. Inclusión del numeral 4.5, Valoración de los Activos de Información.

Sitemap