Elaboración, clasificación y valoración del inventario de activos de información de una empresa microfinanciera en el marco de la gestión de seguridad de la información

Abstract

El presente informe muestra el resultado del levantamiento de información relacionada a los activos de información en una empresa micro financiera, las ventajas y beneficios de su implementación asociados al Sistema de Gestión de Seguridad de la Información (SGSI) en el cual se han establecido parámetros de valoración de acuerdo a su importancia para la organización que nos permitan clasificar adecuadamente nuestros activos de información. Se procede con la valoración, asignando un peso de acuerdo a la influencia de las variables inicialmente establecidas en la criticidad de los equipos tecnológico, dichos pesos permitirán ponderar las variables y obtener un resultado único de criticidad y vulnerabilidad. Toda la información de Banco RIPLEY PERU SA (en todas sus formas) debe de ser clasificadas como Restringida, Confidencial, Uso Interno o General de acuerdo a lo definido por el propietario de la información, aprobada por la Gerencia responsable y distribuida a las diferentes áreas a través de los oficiales de seguridad o mediante la formalización del proceso de desarrollo de Sistemas, debiendo ser antes de la distribución de los documentos o datos. El problema que se pretende resolver con el presente informe es mostrar frente a la seguridad de información cómo se actúa de forma proactiva, a través de la identificación de los activos de información que posee la empresa y luego la realización de una tasación de dichos activos a fin de conocer su impacto y determinar la criticidad e importancia del activo en la empresa. Lo único que suelen hacer las empresas, frente a la seguridad de información, es actuar de manera reactiva. Al presentarse un incidente, se establece un control. Y pareciera que la labor de las personas encargadas de la seguridad de la información consiste en administrar controles, y reaccionar ante la aparición de incidentes de seguridad. Rara vez se actúa de manera proactiva. Una vez que se han identificado los activos de información críticos, se les hace un análisis y evaluación del riesgo, para determinar cuáles de dichos activos de información pueden correr riesgo; considerando la exposición a amenazas y vulnerabilidades relacionadas a cada activo. Sólo con esta información la alta gerencia puede tomar decisiones correctas sobre la opción de tratamiento del riesgo más idónea para la organización. De esta manera, la inversión que realiza la empresa en la implementación de controles para reducir el riesgo asociado a los activos de información críticos tendrá resultados positivos ya que se adaptan a las necesidades y realidad de la empresa. Es importante la eficiencia de os controles que se decidan implementar para tratar el riesgo en la organización, porque de concretarse las amenazas identificadas, al final el impacto en la empresa es traducido en pérdidas económicas para la organización. Todos estos escenarios generan grandes pérdidas que pueden ser cuantificadas y analizadas económicamente. La cifra obtenida por efectos de riesgos, en el Sistema de Gestión de Seguridad de la Información, convence a la directiva más escéptica de cualquier empresa sobre la importancia de implementar controles eficientes, para lo cual es necesario empezar con la ELABORACIÓN, CLASIFICACIÓN Y VALORACIÓN DEL INVENTARIO DE ACTIVOS DE INFORMACIÓN DE LA EMPRESA EN EL MARCO DE LA GESTIÓN DE SEGURIDAD DE U\ INFORMACIÓN a fin de lograr una correcta identificación inicial.