inventario y clasificaciÓn de activos de …

INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN DE LA EMPRESA XPERIA TECHNOLOGYCREDIT PARA FORTALECER LOS

PROCESOS Y PROCEDIMIENTOS ASOCIADOS A LA TECNOLOGÍA DATA LOSS PREVENTION - DLP

DIEGO ALEJANDRO DÍAZ FONSECA MÓNICA JOHANNA RAMÍREZ RODRÍGUEZ

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

BOGOTÁ D.C. 2015

INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN DE LA EMPRESA XPERIA TECHNOLOGY CREDIT PARA FORTALECER LOS

PROCESOS Y PROCEDIMIENTOS ASOCIADOS A LA TECNOLOGÍA DATA LOSS PREVENTION - DLP

DIEGO ALEJANDRO DÍAZ FONSECA MÓNICA JOHANNA RAMÍREZ RODRÍGUEZ

Trabajo de grado para optar al título de Especialista en Seguridad Informática

Director ÁLVARO ESCOBAR ESCOBAR

MSc.

UNIVERSIDAD PILOTO DE COLOMBIA FACULTAD DE INGENIERÍA

PROGRAMA DE INGENIERÍA DE SISTEMAS ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

BOGOTÁ D.C. 2015

Nota de aceptación

______________________

______________________

______________________

_______________________ Firma presidente del jurado

______________________ Firma del jurado

______________________ Firma del jurado

Bogotá, D.C., 17 de Abril de 2015

DEDICATORIA

A Dios por permitir que cada uno creciera profesionalmente brindando la oportunidad de aprender y dando la sabiduría para poder desarrollarla.

A cada una de nuestras familias, por su paciencia y colaboración en cada uno de los procesos para la obtención de este logro.

AGRADECIMIENTOS

Los integrantes expresan sus agradecimientos a: Ing. Álvaro Escobar Escobar, director de proyecto quien fue la guía para el desarrollo de este proyecto, quien aporto su experiencia y conocimientos y forjo en cada uno los integrantes las bases para la planificación y ejecución del mismo.

A cada uno de los docentes y la Universidad Piloto de Colombia, por brindarnos las herramientas y oportunidades para adquirir nuevos conocimientos y aplicarlos en nuestras vidas profesionales.

A Nuestros compañeros de grupo que aportaron su grano de arena en la elaboración de este proyecto.

CONTENIDO

pág.

INTRODUCCIÓN 14

1. FORMULACIÓN 15

1.1 PLANTEAMIENTO DEL PROBLEMA 15

1.2 JUSTIFICACIÓN 15

1.3 OBJETIVOS 17

1.3.1 Objetivo general 17

1.3.2 Objetivos específicos 17

2. MARCO REFERENCIAL 18

2.1 MARCO TEÓRICO 18

2.2 MARCO INSTITUCIONAL 19

2.3 MARCO TECNOLÓGICO 20

2.4 MARCO LEGAL 22

2.5 ESTADO ACTUAL 24

3. DISEÑO METODOLÓGICO 26

3.1 HIPÓTESIS DE INVESTIGACIÓN 26

3.2 VARIABLES 26

3.3 METODOLOGÍA 27

4. INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN 28

4.1 PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE

INFORMACIÓN 28

4.1.1 Objetivo del procedimiento para la clasificación de activos de información. 28

4.1.2 Alcance del procedimiento para la clasificación de activos de información. 28

4.1.3 Definiciones y conceptos claves 28

4.1.4 Mantenimiento y ejecución del proceso 29

4.1.5 Responsabilidades 30

4.1.6 Vigencia 31

4.1.7 Descripción del proceso para la clasificación de activos 31

4.2 GUÍA DE INVENTARIOS 33

4.2.1 Objetivo de la guía de inventarios 33

4.2.2 Inventario de activos de información 33

4.2.3 Procedimiento de inventario 33

4.2.4 Realización de inventario 34

5. CLASIFICACIÓN DE LA INFORMACIÓN 37

5.1 IMPORTANCIA DE LA INFORMACIÓN 37

5.1.1 Propiedad por nivel de sensibilidad 39

5.1.2 Revisión y actualización 44

5.1.3 Publicación 45

5.2 CLASIFICACIÓN DE INFORMACIÓN PARA XPERIA 45

5.2.1 Información pública de Xperia 46

5.2.2 Información interna de Xperia 47

5.2.3 Información confidencial de Xperia 48

5.2.4 Información restringida de Xperia 49

5.2.5 Controles requeridos 50

5.2.6 Gestión de documentos 56

6. CATALOGACIÓN DE LA INFORMACIÓN SEGÚN EL PROCEDIMIENTO

PARA LA CLASIFICACIÓN DE ACTIVOS DE LA INFORMACIÓN 58

6.1 ALCANCE ÁREAS OPERATIVAS DE XPERIATECHNOLOGYCREDIT 58

6.1.1 Fase 1 – Planeación 58

6.1.2 Fase 2 - Inventario de activos de Información 59

6.1.3 Fase 3 - Etiquetado y rotulación de la información 59

6.1.4 Fase 4 – Seguimiento 59

7. PROPUESTA TECNOLÓGICA PARA LA CONTINUIDAD Y SEGURIDAD

DE LOS ACTIVOS DE INFORMACIÓN 60

7.1 ALCANCE DE LA PROPUESTA 60

7.2 DESARROLLO DE LA PROPUESTA 60

7.2.1 Requisitos funcionales 60

7.2.2 Escenarios Propuestos 61

7.3 BENEFICIOS Y RIESGOS EN LA IMPLEMENTACIÓN DE TECNOLOGÍAS

ASOCIADAS A LA PREVENCIÓN DE PÉRDIDA DE DATOS 63

7.3.1 Riesgos 63

7.3.2 Beneficios 63

8. CONCLUSIONES 64

9. RECOMENDACIONES E IMPLICACIONES 65

BIBLIOGRAFÍA 66

ANEXOS 67

LISTA DE FIGURAS

pág.

Figura 1. Variables independientes y dependientes 26

Figura 2. Mantenimiento y ejecución del proceso 30

Figura 3. Entrada, proceso y salida para el procedimiento de inventario 33

Figura 4. Cuadrante mágico de Gartner de correo electrónico seguro 61

LISTA DE CUADROS

pág.

Cuadro 1. Descripción del proceso para la clasificación de activos 32

Cuadro 2. Valores de los activos en XperiaTechnologyCredit 38

Cuadro 3. Clasificación según su confidencialidad 39

Cuadro 4. Clasificación según su disponibilidad 41

Cuadro 5. Clasificación según su integridad 43

Cuadro 6. Clasificación de información pública de Xperia 46

Cuadro 7. Clasificación de información interna de Xperia 47

Cuadro 8. Clasificación de información confidencial de Xperia 48

Cuadro 9. Clasificación de información restringida de Xperia 49

Cuadro 10. Clasificación de la información en XperiaTechnologyCredit 51

Cuadro 11. Íconos representativos 56

Cuadro 12. Control de versiones de documentos 57

Cuadro 13. Fortalezas y precauciones presentadas en el informe “Cuadrante de correo electrónico seguro” 62

LISTA DE TABLAS

pág.

Tabla 1. Equivalencias del análisis de riesgos 37

LISTA DE ANEXOS

pág.

Anexo 1. Inventario de Activos de Información 68

Anexo 2. Operaciones- Inventario de Activos de Información 71

Anexo 3. Mercadeo- Inventario de Activos de Información 75

Anexo 4. Estratégicos - Inventario de Activos de Información 79

Anexo 5. Empresas- Inventario de Activos de Información 82

Anexo 6. MIDA- Inventario de Activos de Información 85

Anexo 7. Jurídica - Inventario de Activos de Información 87

Anexo 8. Comercial- Inventario de Activos de Información 89

Anexo 9. Planeación - Inventario de Activos de Información 91

Anexo 10. Guía de referencia inventario de activos de información 93

Anexo 11. Acta de Proyecto TI 99

Anexo 12. Acta de Proyecto Operaciones 103

Anexo 13. Acta de Proyecto Mercadeo 107

Anexo 14. Acta de Proyecto Estratégicos 111

Anexo 15. Acta de Proyecto Empresas 115

Anexo 16. Acta de Proyecto Credit 119

Anexo 17. Acta de Proyecto Jurídica 123

Anexo 18. Acta de Proyecto Comercial 127

Anexo 19. Acta de Proyecto Planeación 131

GLOSARIO

ACTIVO DE INFORMACIÓN: todos los bienes tangibles e intangibles que la organización considere importante o de alta validez en su proceso de negocio.

CLASIFICACIÓN DE INFORMACIÓN: asignar una etiqueta a un elemento según sus atributos o propiedades. Agrupación

DATA LOSS PREVENTION – DLP: tecnología que identifica, supervisa y protege los datos en uso, los datos en movimiento y los datos estáticos a través de la detección y prevención del uso no autorizado y la transmisión de información confidencial.

XPERIA: empresa de nivel mundial que ofrece servicios de gestión del riesgo de crédito, prevención de fraude, segmentación de ofertas de marketing y automatización de toma de decisiones.

ISO-IEC 27002: guía de buenas prácticas que permiten a las organizaciones mejorar la seguridad de su información, a través de una serie de objetivos de control y gestión.

POLÍTICA GLOBAL DE SEGURIDAD: documento base de políticas y estándares de la empresa Xperia a nivel mundial.

PROCEDIMIENTO: conjunto de acciones u operaciones que al realizarse de la misma forma, conllevan a un mismo resultado.

PROCESO: conjunto de actividades relacionadas que al interactuar, transforman elementos de entrada en resultados o productos específicos.

RIESGO: posibilidad de que una amenaza (externa) explote una vulnerabilidad (interna) ocasionando impactos negativos en los procesos del negocio.

SGSI: un Sistema de Gestión de Seguridad de la Información es el diseño, implantación y mantenimiento de un conjunto de controles, acciones y procesos para gestionar eficientemente la confidencialidad, integridad y disponibilidad de los activos de información.

STAKEHOLDERS: agrupa a trabajadores, organizaciones sociales, accionistas y proveedores, entre muchos otros actores clave que se ven afectados por las decisiones de una empresa.

14

INTRODUCCIÓN

En el presente documento se evidencian los resultados de la implementación del inventario y clasificación de activos de la información a la empresa colombiana XPERIA TECHNOLOGY CREDIT. Este proyecto centra sus objetivos en la categorización de documentos según sus atributos y en el establecimiento de mejores prácticas de seguridad en la información para alinearse con los parámetros que establece la reciente absorción de esta empresa por parte de la multinacional inglesa XPERIA.

Adicional a la importancia de identificar las categorías de información apropiadas y clasificar los documentos que alguna vez se generaron y se generarán en cada área de trabajo, la hoja de ruta estratégica mundial obliga a Xperia Colombia a establecer un marco técnico para el desarrollo próximo de la Tecnología Data LossPrevention o Prevención de Pérdida de Datos, que como sistema experto tiene la misión de identificar, supervisar y proteger los datos (estáticos o en movimiento) a través del análisis de contexto e inspección de contenido.

Dentro de las proyecciones de los directivos de Xperian, se establece como fundamental la implementación de mecanismos para la administración centralizada de los datos. Es un hecho que deben desarrollarse tecnologías que favorezcan la oportunidad de lectura, modificación y eliminación de información por parte de usuarios. Sin embargo, debe ser igual de posible que estas acciones se desarrollen en un entorno trazable con la aplicación de medidas de seguridad orientadas maximizar la confidencialidad, disponibilidad e integridad de la información.

Bajo el entendimiento de esta problemática, Xperian está interesada en establecer, hacer cumplir y mantener las políticas y normas que rodean la seguridad en la información y los activos relacionados con la información. Estas medidas de protección son extensibles a su personal de trabajo, inversionistas, accionistas, socios comerciales y múltiples stakeholders que confían sus datos e información sensible a la empresa. La oportunidad de realización de este proyecto surgió debido a una característica negativa visible en el capítulo colombiano de Xperian, representada en la ausencia de procedimientos para mantener el inventario y clasificación de activos de la información del negocio, lo que conllevaba a una inadecuada administración de datos sensibles en cada una de sus áreas y al detenimiento en la implementación de proyectos en tecnología que optimizaran el manejo de estos datos, es decir, si los datos no están clasificados, es casi imposible administrarlos a través de soluciones informáticas como Data LossPrevention – DLP.

15

1. FORMULACIÓN

1.1 PLANTEAMIENTO DEL PROBLEMA

Actualmente el DSI (Departamento de Seguridad Informática) no cuenta con un plan de inventario y clasificación de la información que permita agrupar los datos de acuerdo a criterios que permitan asignar un determinado nivel de seguridad que pueda ser medido y evaluado a lo largo del ciclo de vida de la información.

Esta ausencia de procesos y procedimientos para el inventario y clasificación de activos de la información de XperiaTechnologyCredit, genera un impacto negativo al detener la implementación del sistema DLP (Data LossPrevention), por falta de parámetros y métricas que permitan llevar a cabo un análisis que muestre claramente los flujos de datos en la organización.

Al detenerse la implementación de este sistema, se generan dificultades en el funcionamiento del Sistema de Gestión de la Seguridad de la Información SGSI y en los procesos del negocio, así como posible pérdida de confidencialidad, integridad y disponibilidad de la información. A grandes rasgos, los elementos de los que carece el DSI (Departamento de Seguridad Informática) en XperiaTechnologyCredit son criterios de evaluación, clasificación de la información, políticas de pérdida de datos, detención de fugas de datos, mantenimiento de un inventario de activos de información del negocio y control de la información clasificada.

Así las cosas, los riesgos que podrían materializarse por la inexistencia de un plan para el inventario y clasificación de la información podrían generar afectaciones financieras, de imagen y reputación, multas contractuales y pérdida de ventaja competitiva en el mercado objetivo de XperiaTechnologyCredit.

Por los motivos expuestos, en el área de Seguridad de la Información de Xperia se presenta la necesidad de analizar y entender la situación de los datos que se encuentran bajo custodia, en uso o desuso, con el fin de implementar los parámetros de seguridad necesarios para proteger su confidencialidad.

1.2 JUSTIFICACIÓN

Prevenir la fuga de información premeditada o uso indebido de los datos y la información sensible para la empresa requiere de una solución a nivel tecnológico cada más eficiente que soporte sus bases en procesos y procedimientos organizados que permitan una correcta clasificación y protección de los datos sin importar el origen o medios que los contengan.

16

Teniendo en cuenta un análisis estadístico realizado por Xperia a inicios del año 2014, la alta gerencia descubrió que el nivel de adherencia a los estándares de seguridad de la información a nivel mundial estaba al 75%, mostrando así una tendencia a la materialización de riesgos ocasionada por un manejo inadecuado de la información confidencial de la empresa.

Uno de los temas pendientes que corresponden al 25% restante es el inventario y la clasificación de la información, que se encuentra implementada de manera eficaz a nivel global y no presenta una estructura clara en la infraestructura física y lógica de la filial en Colombia.

La importancia de prevenir una inadecuada administración de los datos y protegerse del robo de la información se hace evidente en el área de Tecnología donde se requiere implementar soluciones que permitan proteger la información a través de gestión, parametrización y control eficiente.

Los beneficios de implementar una solución donde se permita la definición de parámetros y métricas enmarcados en la tecnología DLP son: 1. Automatizar funciones como la detección de datos confidenciales donde quiera que estén almacenados y la identificación de propietarios de datos para simplificar la limpieza de datos. 2. Supervisar cómo se utilizan los datos confidenciales y dónde brindará visibilidad de usuarios de alto riesgo y procesos empresariales dañados. 3. Proteger los datos confidenciales mediante la aplicación automática de políticas de pérdida de datos, así como el entrenamiento de los usuarios respecto a la seguridad de los datos y 4. La protección de los datos en peligro y la detención de fugas de datos, administrando políticas de pérdida de datos, resolución de incidentes y elaboración de informes desde una sola consola de administración basada en la Web.

Como consecuencia de la implementación de procesos y procedimientos para mantener el inventario y la clasificación de los activos de información en Xperia se establecieron los criterios de acuerdo a las políticas y estándares globales de seguridad de la información establecidos por Xperian Global a fin de mantenerla enmarcada dentro de los niveles de protección requeridos.

17

1.3 OBJETIVOS

1.3.1 Objetivo general. Realizar el inventario y clasificación de activos de información de XperiaTechnologyCredit, de acuerdo a los criterios establecidos en las políticas y estándares de seguridad globales de Xperia y la norma ISO/IEC 27002:2013 para la clasificación y control de activos.

1.3.2 Objetivos específicos

Definir el procedimiento de inventario y clasificación de activos de información, al identificar la información de cada área de la organización y su incidencia en los procesos claves del negocio.

Catalogar la información recopilada, según la clasificación de recursos de información determinados por Xperia en el documento de políticas y estándares globales.

Proponer un instrumento que favorezca la continuidad y actualización constante del procedimiento de inventario y clasificación de activos de información.

18

2. MARCO REFERENCIAL

2.1 MARCO TEÓRICO

Datos, información, conocimiento y sabiduría, emergen como términos de gran importancia en la actualidad y su acertada administración se relaciona directamente al éxito de las empresas más productivas y competitivas del mundo. Según los autores Salmador,1 Alavi y Leidner2, en la denominada era digital, los datos, la información, el conocimiento y la sabiduría se jerarquizan en una pirámide de menor a mayor, siendo prerrequisitos el uno del otro en términos de conversión, es decir, el primer paso del modelo podría verse como la recolección de datos de tipo transaccional en las operaciones diarias de la organización, luego esos datos integran cierta información que es relevante para ser transformada en conocimiento. Posteriormente es necesario un análisis que conduce al establecimiento de instrumentos para la toma de decisiones y si estas decisiones son acertadas, se podría afirmar, la existencia de la sabiduría trazada por la experiencia. Considerando que esta jerarquización denominada DIKW (por sus siglas en inglés Data, Information, Knowledge, Wisdom) fue proyectada por Russell Ackoff3 en 1989, se establece que la importancia de la administración de la información no es un tema reciente. Los atributos de veracidad, relevancia, oportunidad, confidencialidad, integridad y disponibilidad continúan haciendo parte de las características que las organizaciones visualizan en la optimización de sus procesos y procedimientos. David Hume afirmó ¨Quien tiene la información tiene el poder¨. En nuestro tiempo, este poder se traduce fácilmente en la posibilidad de afectar financiera, reputación al y jurídicamente una empresa. En este escenario, la seguridad en la información se constituye como un conjunto de buenas prácticas, controles, políticas y estrategias que a través de medidas de protección oportunas y métodos efectivos de respuesta ante incidentes pueden contribuir al blindaje de este activo empresarial.

1SALMADOR, María. Raíces epistemológicas del conocimiento organizativo, estudio de sus

dimensiones. En Economía Industrial. 1999. Vol. 1, No. 357, p. 27-57. en línea], consultado el 2

de marzo de 2014 . Disponible en: www.funlam.edu.co/modules/facultad ciencias/ visit. php?fileid=36 2ALAVI, Maryam. y LEIDNER, Dorothy. Knowledge Management Systems: Issues, Challenges, and

Benefits. Vol.1, No. 7, p.1-37. USA: Communications of the Association for Information Systems. 1999. 37 p. 3ACKOFF, Russel. From data to wisdom. USA: Journal of Applied Systems Analysis. 1989. p. 15.

http://www.funlam.edu.co/modules/facultad%20ciencias/

19

Cano4 afirma que los eventos recientes sobre fuga de información, las noticias de atacantes informáticos doblegando protocolos y tecnologías de seguridad, las fallas de seguridad que se han presentado tanto en el sector público como en el sector privado, son argumentos suficientes para evidenciar que estamos en un nuevo escenario de riesgos y amenazas, donde la información se convierte en un arma estratégica y táctica, que cuestiona la gobernabilidad de una organización o la de una nación. Las amenazas y vulnerabilidades están siempre presentes, esperando ser encontradas y explotadas. Del manejo de la gestión de la seguridad de información depende la capacidad de reacción después de un intento de intrusión al sistema organizacional con el objeto de robo de información. En este escenario juega un papel fundamental la priorización de la estrategia antes que la solución tecnológica. Nkoto5 considera la seguridad como la “piedra angular” de toda actividad, y por ende, la seguridad es un servicio que facilita la creación de otros y genera importantes valores agregados. En ese sentido, la seguridad informática contribuye a asegurar que los recursos de los sistemas de información (material informático o programas) de una entidad, organización o terminal sean utilizados tal y como se decidió y que los datos y la información que se considera importante no sean de fácil acceso por usuarios no permitidos.

2.2 MARCO INSTITUCIONAL

TechnologyCredit fue adquirida por Xperia en Noviembre del año 2012 como parte de la estrategia de mercado para la globalización de servicios de información, análisis y mercadotecnia para organizaciones y consumidores.

Xperia es un líder mundial en la provisión de estos servicios de información teniendo como objetivo brindar ayuda en la gestión de los riesgos y las recompensas en las decisiones comerciales y financieras de sus clientes.

Credit es una Unidad Estratégica de Negocios de TechnologyCredit. sociedad anónima sujeta a control exclusivo de la Superintendencia Financiera, como tal su

4CANO, J. La guerra fría electrónica y la inseguridad de la información. 2008. Publicación en Blog.

en línea], consultado el 2 de marzo de 2014 . Disponible en: http://www.eltiempo.com/ participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197. 5NTOKO, Mandate and activities in cybersecurity – ITU-D». Reunión temática de la CMSI sobre

ciberseguridad.UIT. Ginebra: CMSI, 28 de junio a 1 de julio de 2005.

http://www.eltiempo.com/%20participacion/


20

actividad se desarrolla bajo el marco global de TechnologyCredit, cuenta con más de 35 años de experiencia en el mercado de soluciones de información.

Algunas de las características que describen su marco estratégico empresarial son:

Expertos en servicios informáticos para la administración de riesgo, cuentan con información del sector Financiero, Cooperativo y Real del país con más de 25 años de experiencia en el mercado colombiano.

Cobertura nacional con oficinas en las cuatro ciudades más importantes del país - Bogotá, Medellín, Cali y Barranquilla - atendiendo cerca de 2.000 clientes de todos los sectores de la economía nacional.

Central de Información Financiera y Crediticia más completa de Latinoamérica, registrando información crediticia de 12.5 millones de personas y 300 mil empresas.

Presencia internacional en Colombia, Venezuela y Perú.

Por su parte el área de Seguridad de la información de XperiaTechnologyCredit tiene como responsabilidades:

Garantizar la integridad, confidencialidad y disponibilidad de los diferentes sistemas de información de la organización y de sus clientes.

Administrar la infraestructura, tanto física como lógica, del esquema de seguridad informática.

Administrar del servicio encargado del registro de actividades dentro de la red de datos de la organización.

Garantizar el cumplimiento de las políticas y procedimientos vigentes.

Teniendo en cuenta esta proyección estratégica y competencia empresarial, se evidencia la gran importancia que la información representa para sus procesos y procedimientos. En este caso, la información es uno de sus activos fundamentales.

2.3 MARCO TECNOLÓGICO

Considerando que habitamos un mundo cambiante, donde la información dejó de encontrarse exclusivamente en folios y carpetas físicas, el alcance de las medidas de protección y los desarrollos tecnológicos para satisfacer esta necesidad de

21

control y trazabilidad deben ir a la par. Este es el caso de la Tecnología Data LossPrevention.

Según el estudio MagicQuadrantfor Content-Aware Data LossPrevention realizado por la consultora Gartner, en el año 2014 más del 50% de las empresas utilizará alguna característica en sus políticas de seguridad a la hora de realizar una prevención de fuga de información (Data LossPrevention) en sus datos sensibles.

Sin embargo sólo el 30% de estas dispondrá de una solución o estrategia DLP global basada en el contenido6. En esa línea, se puede afirmar que la generación de políticas, parámetros y lineamientos que contribuyan a posibilitar la mitigación o disminución de la probabilidad de ocurrencia de eventualidades de intrusión o pérdida de información pueden ser la diferencia en la detención o curso normal de los procesos del negocio.

El documento de Políticas y Estándares de Seguridad Global de Xperiai7 señala que la información posee dos fuentes principales, la información creada por Xperia y la información guardada por Xperia, considerándose además la diferenciación de los roles Custodios de Información y Usuarios de Información¨. Los Custodios de Información como los individuos responsables de proteger la información en su poder de acceso, alteración o destrucción no autorizada y de mantener la integridad y disponibilidad de la información a través del uso de controles de acceso apropiados según lo defina el Administrador de Información.

Los Usuarios de Información por su parte, son descritos como los individuos a quienes el Administrador de Información les ha dado autorización el acceso, modificación, borrado y/o uso de información en el desempeño de su función laboral.

Las grandes pérdidas de información clave para el negocio de la historia pudieron evitarse o minimizar su impacto si se hubieran aplicado medidas de protección puntuales en forma oportuna.

Aunque en ocasiones, la existencia de políticas y estándares globales de seguridad de la información per se no garantizan el cumplimiento lineal y a cabalidad de los parámetros allí establecidos.

Es común, que por falta de capacitación o de recursos técnicos, financieros, temporales y humanos, se realicen en las organizaciones implementaciones

6CEBRIÁN, R. A. Eleven Paths. 15 de Agosto de 2013. en línea], consultado el 2 de marzo de

2014 . Disponible en: http://blog.elevenpaths.com/2013/08/fuga-de-informacion-en-empresas-lideres.htm 7XPERIA, Credit. Políticas y Estándares de Seguridad Global. Enero 2012. en línea], consultado

el 2 de marzo de 2014 . Disponible en: es.wikipedia.org/wiki/Near_field_communication

22

inmediatas que solo apuntan a la eficacia o al cumplimiento de un indicador cuantitativo.

En el caso particular de Xperia, el Comité Ejecutivo de Gestión de Riesgo para cada región funciona como órgano regulador para todas las Políticas y Normas de Seguridad de Xperia, para proporcionar protección continua a su infraestructura de información.8

Considerando este punto, las categorías que se tendrán en cuenta para la realización del inventario y clasificación de activos de información para el fortalecimiento de los procesos y procedimientos de la tecnología DATA LOSS PREVENTION – DLP se describen a continuación, hacen parte de los lineamientos generales de Xperia Global.

Público de Xperia. Destinado para uso del público en general y pre-diseñado para distribución externa. No se espera que la divulgación de los datos cause un impacto adverso a Xperia.

Interno de Xperia. Información moderadamente confidencial que requiere controles para asegurar confidencialidad, integridad y disponibilidad. Su divulgación, alteración o destrucción podría causar daño a la reputación, valoración y/o dar una desventaja competitiva.

Confidencial de Xperia. Información altamente confidencial que requiere Fuertes controles para asegurar confidencialidad, integridad y disponibilidad. Su divulgación, alteración o destrucción podría causar daño serio a la reputación, valoración y/o dar una desventaja competitiva.

Restringido de Xperia. Información extremadamente confidencial que requiere los más Fuertes controles para asegurar confidencialidad, integridad y disponibilidad. La divulgación, alteración o destrucción de esta información podría causar daño grave a la reputación, valoración y/o desventaja competitiva a Xperia.

2.4 MARCO LEGAL

Las intrusiones o pérdidas de información deben atacarse principalmente mediante la utilización de medidas de seguridad físicas, entendidas éstas como la “aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información

8 XPERIA. Op. Cit. p. 17

23

confidencial”9. Es decir, son controles y mecanismos de seguridad, dentro y alrededor del centro de cómputo, así como los medios de acceso remoto al y desde el mismo que se implementan con el fin de proteger el hardware y los medios de almacenamiento de datos.

Sin embargo, la seguridad física solo hace parte de las medidas de seguridad dado que se limita a proteger equipos e infraestructura informática, quedando vulnerable aún la información, un importantísimo activo para empresas públicas y privadas. En consecuencia, deben preverse técnicas que garanticen la protección tanto de la parte física, como la parte lógica, que se asegura a través de la aplicación de procedimientos que garantizan el acceso adecuado a la información con seguridad presente también en la zona lógica.

Así las cosas, algunas de las acciones que se recomiendan implementar como medidas tendientes a garantizar la seguridad de la información que reposa en equipos y redes son: restricción del acceso a los programas y archivos, asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan, asegurar que se estén utilizando los datos, archivos y programas correctos en y mediante el procedimiento correcto, que la información transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro, que la información recibida sea la misma que ha sido transmitida, que existan sistemas alternativos secundarios de transmisión entre diferentes puntos, y que se disponga de pasos alternativos de emergencia para la transmisión de información, entre otras.

Sin embargo, también hay medidas “no informáticas” para prevenir, controlar y corregir las acciones maliciosas ejecutadas en las empresas. En términos jurídicos, en varios países se ha acuñado, la teoría de los delitos informáticos, entendidos como la atribución de responsabilidad penal a las acciones realizadas utilizando como medio Internet y las redes empresariales.

En algunos casos, se trata de la adecuación de tipos penales (delitos) ya previstos en la normatividad penal correspondiente. Por ejemplo, delitos como la injuria y la calumnia, en casos como cuando aparecen determinadas imputaciones falsas de una persona por Internet o en Internet, o hacerlo reenviando un correo electrónico en el cual se estén realizando este tipo de imputaciones (injuria y calumnia indirectas). Adicionalmente, se prevé como causal de agravación de la pena que se le puede atribuir al delincuente, la circunstancia que estos delitos se ejecuten utilizando Internet.

9 RIVAS, Luís Guillermo. Recursos de información. 1999. en línea], consultado el 2 de marzo

de 2014 . Disponible en: www.eumed.net › Revistas › Tlatemoani

24

Otros delitos comunes, que se han reconocido como de posible o frecuente ocurrencia aprovechando las facilidades tecnológicas son la venta de bases de datos en el mercado negro o la extorsión derivada de una mala administración de datos sensibles.

En Colombia, se ha evidenciado un esfuerzo gubernamental por tipificar los delitos informáticos debido al incremento de incidencias asociadas a redes de telecomunicación y medios tecnológicos.

2.5 ESTADO ACTUAL

Los ejercicios de riesgos y controles propios de las organizaciones, para establecer y analizar los activos de información críticos, ya no constituyen un tema de prioridad solamente para las áreas de tecnologías o seguridad de la información, cada vez más los miembros de las juntas directivas empresariales y los altos funcionarios públicos consideran la gran importancia de hacer de la gestión de la información una ventaja clave y competitiva frente a su entorno de negocio, iniciativas y estrategias.

Estos controles están definidos con base en modelos estructurados especializados como la ISO/IEC 27001:201310 que provee los requerimientos para establecer implementar, mantener y generar continuidad a un sistema de gestión alineado con los objetivos de la organización, sus requerimientos particulares de seguridad, los procesos que permiten su funcionamiento y los diversos actores que aportan elementos de valor al negocio.

En este documento marco, se toma como punto de partida la estimación del riesgo y las oportunidades de mejora para prevenir y reducir los impactos de efectos adversos que puedan causar eventuales incidentes de seguridad de la información.

Adicionalmente, se referencia el mejoramiento continuo a través de la evaluación de efectividad de las acciones preventivas y correctivas que se hayan proyectado según el nivel de aceptación de los riesgos y los criterios de adaptación frente a circunstancias inesperadas.

Para el sistema de gestión de seguridad de la información que propone esta norma, es fundamental identificar a los propietarios y custodios de la información y del consecuente riesgo, así como determinar escalas que midan el nivel de importancia y su criticidad.

10

ISO/IEC 27001:2013 Tecnologías de Información – Técnicas de Seguridad – Requerimientos del

Sistema de Gestión de Seguridad de la Información. Introducción. en línea], consultado el 2 de

marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html

25

Al hablar específicamente del control asociado a la clasificación de la información establecido en la Guía de Prácticas de Controles de Seguridad de la Información ISO/IEC 27002:201311, se encuentra que la información deberá ser clasificada de acuerdo con requerimientos legales, así como a su valor, criticidad y sensibilidad a la divulgación y modificación.

Se recomienda que este proceso se realice en toda la organización, en un ambiente de total entendimiento por parte de los propietarios y custodios de la información con el fin de que la clasificación de activos de información se unifique en los mismos criterios, se logre la consistencia requerida de acuerdo a las necesidades del negocio en cuanto a compartir y restringir el acceso a activos de información, cumpliendo con la triada de seguridad constituida por los atributos confidencialidad, disponibilidad e integridad.

Se hace necesario también establecer convenciones de fácil identificación y efectuar la rotulación según las escalas definidas, niveles de acceso y permisos de creación, modificación y supresión.

Un punto adicional que debe considerarse es la asignación acertada de funciones de administración de la información según el tipo de usuario. Los usuarios que custodien información crítica organizacional deberán entender el alcance que podrán tener sus acciones en caso de eliminación, alteración o fuga de información premeditada o accidental.

En el caso de las empresas latinoamericanas, se vienen implementando políticas de seguridad en orden a proteger sus plataformas tecnológicas. También se adelantan proyectos de seguridad informática que garanticen la integridad, disponibilidad y accesibilidad de la información, así como la certificación de calidad en orden al cumplimiento de estándares nacionales e internacionales.

Si se aborda juiciosamente el tema de gestión de la seguridad de información en una empresa de talla mundial, las recomendaciones de los gurús de la tecnología, los hackers, los libros especializados y hasta el usuario tecnológico intermedio apuntan a la prevención.

11

PORTAL ISO/IEC 27002. Tecnologías de Información – Técnicas de Seguridad – Guía de

Prácticas de Controles de Seguridad de la Información. 2013, p. 15. . en línea], consultado el 2

de marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html

26

Clasificación de la informacion

Criterios de Clasificacion

Rotulación de Activos de

Información

Tecnologia DLP

Procedimiento de Clasificación de

Información

Procedimiento de Inventario de Información

Requerimientos Funcionales Xperia

3. DISEÑO METODOLÓGICO

3.1 HIPÓTESIS DE INVESTIGACIÓN

Hi: El mantenimiento y continuidad del inventario y clasificación de activos de información es un elemento fundamental para lograr la optimización de los procesos y procedimientos asociados a la Tecnología Data LossPrevention – DLP en la empresa XperiaTechnologyCredit.

3.2 VARIABLES

Se definen como variables independientes Clasificación de la información y Tecnología DLP. Las variables dependientes para cada una de ellas se muestran en la figura 1.

Figura 1. Variables independientes y dependientes

Fuente: autores

27

3.3 METODOLOGÍA

Con el fin de cumplir los objetivos propuestos en el proyecto definieron cuatro fases con actividades específicas orientadas a realizar con éxito el inventario y la clasificación de activos de información para la empresa XperiaTechnologyCredit.

Las fases que se consideraron fueron:

Planeación

Inventario de activos de información

Etiquetado y rotulación de información

Seguimiento

En la fase de Planeación se proyectó la realización de entrevistas a los líderes de las diferentes áreas operativas mencionadas dentro del alcance del proyecto. En este espacio se discutiría en términos generales el proceso de inventario, actividades relacionadas y la definición de cronograma de productos entregables.

En la fase 2 se plantea la recolección e inventario de activos de información aprobados por cada área en conjunto con los propietarios y custodios de la información.

Posterior al levantamiento de información e inventario de los activos de información en el área que corresponde, se proyectó el etiquetado y la rotulación de los activos con base en el procedimiento para la clasificación de activos de la información, propuesto por los autores según la información recolectada y los temas conversados en las reuniones preliminares.

Durante el proceso de levantamiento, clasificación y rotulado de los activos de información, se definen reuniones periódicas donde se realiza seguimiento y validación de los datos consignados en el formato de inventarios en conjunto con el propietario o custodio de la información.

Al culminar con cada una de las 4 fases se proyectó la entrega de los documentos referenciados en las actas de inicio de proyecto al custodio o propietario de la información.

28

4. INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

4.1 PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

4.1.1 Objetivo del procedimiento para la clasificación de activos de información. Mantener el inventario y clasificación de activos de información del negocio, de acuerdo a la Política Global de Seguridad de la Información, a través de la definición realizada por cada propietario de los activos de información, para lo cual debe considerarse su importancia, valor y riesgo, a fin de mantenerla enmarcada dentro de los niveles de protección requeridos.

4.1.2 Alcance del procedimiento para la clasificación de activos de información. Activos de información del negocio y en general cualquier tipo de información proveniente de terceras partes (clientes, proveedores, etc.), o generada internamente como resultado de los procesos de XperiaTechnologyCredit. La información se debe proteger indistintamente de sus medios y formas.

4.1.3 Definiciones y conceptos claves

Activo de Información: Recurso de información que tiene valor para la organización y sus clientes.

Clasificación de la Información: La información debe clasificarse en términos de la sensibilidad y la importancia para la organización y sus clientes.

Propietario del activo de Información: Se designa como propietario de la información para cada área de apoyo o unidad de negocio, a cada uno de los Vicepresidentes y Gerentes, o su equivalente en las filiales.

Custodio de la Información: Se establecen como custodios de la información a los empleados o terceros que conserven en su poder cualquier tipo de información proveniente de clientes, o generada internamente como resultado de los procesos de XperiaTechnologyCredit.

Los Custodios de la Información son responsables de salvaguardar la información a su cargo, de acuerdo a su clasificación, para evitar la pérdida o divulgación inadecuada mediante el cumplimiento de los controles establecidos.

29

Información: es un activo esencial para las actividades de la organización y, en consecuencia, necesita una protección adecuada.

Dueño de proceso: identifica a un individuo o cargo designado por la organización, que tienen la responsabilidad administrativa de la ejecución de uno o varios procesos productivos que utilicen o generen información de negocio.

Seguridad de la Información: es la protección de la información contra divulgación no autorizada y/o su incorrecta utilización con el fin de asegurar la continuidad de la gestión, velando por la confidencialidad, integridad y disponibilidad de la misma.

Usuarios Finales: los usuarios finales están definidos como todo empleado o tercero que tiene acceso autorizado a información o a sistemas informáticos que sean propiedad o que sean administrados por XperiaTechnologyCredit.

4.1.4 Mantenimiento y ejecución del proceso. El proceso de inventario y clasificación de la información es de obligatoria ejecución y debe realizase de forma permanente e inmediata en la medida en que nueva información relevante para el negocio sea generada, se presente algún cambio en los procesos vigentes de la organización o exista un cambio en su importancia o riesgo. A continuación se muestra la definición grafica del mantenimiento y ejecución del proceso en la Figura 2.

30

Elaboración del Inventario

Validación del Inventario

Implementación de Controles

Verificación de Controles

Figura 2. Mantenimiento y ejecución del proceso

Fuente: autores

4.1.5 Responsabilidades. A continuación se muestran los responsables y la descripción de sus responsabilidades dentro del Inventario y clasificación de la información:

Custodio de la información: Elaboración y actualización del inventario de activos de información.

Dueño del proceso: Validar el inventario de activos de información.

Propietario del activo de información: Garantizar la ejecución del proceso y en conjunto con el dueño del proceso y custodio del activo de información, asegurar que los inventarios se mantengan actualizados, según se presenten cambios en el proceso o en la información tratada en las operaciones cotidianas. De igual manera, es responsabilidad de los mismos, la implementación o la debida

Custodio de la Información

Dueño del Proceso

Dir. Seguridad de la Información

Propietario del Activo

31

diligencia de los controles necesarios, que ofrezcan el nivel de protección adecuado.

Dirección de Seguridad de la Información: Su responsabilidad está limitada al seguimiento del proceso. Igualmente podrá realizar sugerencias, ofrecer estrategias o alternativas en las implementación de los controles por parte del propietario del activo de información.

Adicionalmente, está obligado a hacer una verificación periódica (anual) de los controles implementados.

4.1.6 Vigencia. El procedimiento para la clasificación de Activos de Información entra en vigencia desde la fecha de aprobación y hasta que el conjunto de actores compuesto por el Custodio de Información, el Propietario de la Información, el Dueño del Procesos y el Director de Seguridad de la Información acuerden generar modificaciones, considerando la dinámica de las relaciones físicas, técnicas, tecnológicas, humanas, financieras y otras eventuales que puedan surgir al interior o exterior de la empresa.

La periodicidad recomendada por los autores, para la revisión del procedimiento es de seis meses teniendo en cuenta el nivel de criticidad e importancia (datos sensibles) que posee la información que administra Xperia.

4.1.7 Descripción del proceso para la clasificación de activos. La descripción del proceso para la clasificación de activos es presentada a continuación en el cuadro 1.

32

Cuadro 1. Descripción del proceso para la clasificación de activos

ID ACTIVIDAD RESPONSA

BLE PASOS

REGISTROS

1

Elaborar y/o actualizar el inventario de

activos de información

Custodio del activo de

información.

Diligenciar el formato “Inventario de Activos de Información”, de

acuerdo a las instrucciones e

indicaciones de la “Guía de Referencia de

Inventario” (ANEXO 10)

Inventario y clasificación de

Activos de Información

2

Validar la información

del inventario de los activos

de información

Dueño de proceso.

El Dueño del proceso, valida la información

de los activos de información registrada

en el formato “Inventario de Activos

de Información”

Inventario y clasificación de

Activos de Información

validado.

3 Publicación del inventario

Dueño de proceso

Carga en el repositorio definido (Intranet Clasificación de Información) el formato “Inventario de Activos de Información”

Inventario y clasificación de Activos de Información en el repositorio definido

4 Implementación de controles necesarios

Propietario del Activo

Implementa los controles necesarios que cumplan con el objetivo de salvaguardar la información según sus niveles de importancia

Documentación del control

5

Verificar los controles de seguridad requeridos

Dirección de Seguridad de la Información

Verifica los controles de seguridad definidos e implementados

Evidencia de la efectividad del control

Fuente: autores

33

4.2 GUÍA DE INVENTARIOS

4.2.1 Objetivo de la guía de inventarios. Establecer los criterios, procedimientos y recomendaciones que deben ser tenidos en cuenta por los custodios de información de XperiaTechnologyCredit para realizar y mantener el inventario y la clasificación de los activos de información que posee la organización.

4.2.2 Inventario de activos de información. La definición de un inventario permite reconocer cuáles son los activos de información más importantes de los procesos de la organización y permite clasificar como mínimo los activos de información que se encuentran consignados en este inventario.

4.2.3 Procedimiento de inventario. El procedimiento a ejecutar debe incluir las actividades expuestas en la Figura 3.

Figura 3. Entrada, proceso y salida para el procedimiento de inventario

Fuente: autores

34

4.2.4 Realización de inventario. En el procedimiento de realización de inventario, la actividad consiste establecer la importancia y nivel de sensibilidad de los activos de información permitiendo reconocer su valor para el negocio.

Para realizar el inventario se deben tener en cuenta los siguientes parámetros:

Cada custodio de la información será responsable por la elaboración y actualización del inventario de activos de información.

El dueño del proceso se encargará de validar el inventario de activos de información y solicitar las correcciones a las que haya lugar. Una vez validado el inventario, se encargará de la publicación del inventario en el repositorio dispuesto para este fin.

El proceso de inventario y clasificación de la información es de obligatoria ejecución y debe realizase de forma permanente e inmediata en la medida en que nueva información relevante para el negocio sea generada, se presente algún cambio en los procesos vigentes de la organización o exista un cambio en su importancia o riesgo.

4.2.4.1 Tipo de activo. Se define el tipo al cual pertenece el activo. Para este campo se utilizan los siguientes valores:

Activos de información: bases de datos y archivos almacenados en los computadores, documentación del sistema, manuales de usuario, material de capacitación, procedimientos de operación o de apoyo, planes de contingencia, procedimientos de recuperación, información almacenada, archivos o documentos en papel o en otros medios.

Activos de software: aplicaciones, sistemas, herramientas de desarrollo y utilitarios.

Activos físicos: equipo de cómputo (CPU, monitores, portátiles, módems), equipos de comunicaciones (routers, conmutadores, fax, contestadores automáticos), medios magnéticos (cintas y discos), equipo técnico (UPS, aire acondicionado), gabinetes y lugares de almacenamiento de documentos y medios de comunicación, medios ópticos (CD, DVD).

Intangibles: activos intangibles como la reputación y la imagen de la organización.

Personas: las personas, incluyendo sus cualidades, habilidades y experiencia.

35

Servicios: Los servicios de computación y comunicaciones, servicios generales, tales como calefacción, iluminación, electricidad y refrigeración

4.2.4.2 Propietario del activo. Se refiere al responsable de los activos y sus obligaciones son:

Toma de decisiones sobre los usos permisibles de información, considerando las reglas de negocio pertinentes.

Clasificación y etiquetado de cualquier información que haya creado o de la que sea responsable.

Reclasificar la información cuando su valor o el riesgo inherente ha cambiado.

Facilitar el acceso a la información con base en la necesidad de saber;

Adherirse a los términos contractuales con el proveedor de datos o del tratamiento en los casos en que Xperia mantenga o gestione la información.

Asistir y garantizar la existencia de un plan de contingencia adecuado;

Garantizar la exactitud de los datos mediante la implementación de controles suficientes para proporcionar un alto nivel de integridad de los datos (es decir, la validación de datos).

Aplicar los controles pertinentes para la información de acuerdo con las políticas, normas y principios establecidos por la Oficina de Seguridad Global.

4.2.4.3 Custodios de la información. Son las personas en quien el Propietario de Información ha delegado la responsabilidad, y que está en posesión física o lógica de la información. Son los responsables de proteger la información en su poder de acceso, alteración o destrucción no autorizada y de mantener la integridad y disponibilidad de la información a través del uso de controles de acceso apropiados según lo defina el Propietario de Información.

4.2.4.4 Usuarios de la información. Son personas a quienes el Propietario de la Información les ha dado autorización para acceder, modificar, borrar y/o utilizar información en el desempeño de su función laboral.

Los usuarios de información deben:

36

Usar la información únicamente para los propósitos aprobados específicamente por el Propietario de la Información.

Cumplir con todas las medidas de seguridad definidas por el Propietario de la Información y/o definidas por la Oficina Global de Seguridad.

Abstenerse de divulgar la información Confidencial o Restringida en su poder sin primero obtener permiso del Propietario de la Información.

37

5. CLASIFICACIÓN DE LA INFORMACIÓN

5.1 IMPORTANCIA DE LA INFORMACIÓN

En este campo se encuentra definido el valor que tiene el activo de información para la organización o específicamente para el proceso teniendo en cuenta las características valoradas:

Tabla 1. Equivalencias del análisis de riesgos

GRADO DEL RIESGO

Si valoración del Riesgo > 48 (5) Muy Alto

Si valoración del Riesgo > (27 al 47) (4) Alto

Si valoración del Riesgo > (13 al 26) (3) Medio

Si valoración del Riesgo > (5 al 12) (2) Bajo

Si valoración del Riesgo > (1 al 4) (1) Muy Bajo

F = Frecuencia : Numero de ocurrencia

Remota : una vez al año 1

Ocasional : algunas veces por mes 2

Frecuente : Algunas veces por semana 3

Continua : algunas veces por día 4

V = Valor del activo ($)o importancia

Bajo entre 40 y 4.000.000 1

Medio entre 4.000.000 y 20.000.000 2

Alto entre 20.000.0001 y 40.000.000 3

Muy alto superior a 40.000.001 4

I = Impacto, define el tipo de daño si ocurre un incidente

Leve (No incapacitable) 1

Media (Eventual no permanente) 2

Grave (Permanente por largo tiempo) 3

Catastrófica (Destrucción total) 4

Tabla de Equivalencias Valoración del Riesgo

Detalle Activo Frecuencia Valor Impacto VR

Fuente: autores

38

Cuadro 2. Valores de los activos en XperiaTechnologyCredit

CRITERIO

DESCRIPCIÓN

EXPLICACIÓN

5 Muy Alto

El activo es esencial para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es muy crítico y detiene el proceso, comprometiendo la calidad, la seguridad, la realización de negocios y la imagen de la empresa, por lo que debe ser corregida tan pronto como sea posible.

4 Alto

El activo se requiere para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es crítica y puede interrumpir el proceso, poner en peligro la realización de negocios e imagen de marca. El activo y el proceso pueden no estar disponibles. El proceso continúa sin que por un corto tiempo y / o de baja calidad, por lo que debe ser corregida tan pronto como sea posible.

3 Medio

El activo es importante para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo puede ser crítico, pero el proceso continúa hasta que el mismo se vea comprometido, por tiempo indefinido, sin comprometer la calidad y la seguridad. Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa, pero debe ser corregido.

2 Bajo

El activo tiene poca importancia en el proceso. El compromiso de la confidencialidad, integridad y / o la disponibilidad del activo no es crítica, pero el proceso continúa hasta que el mismo se vea comprometido, sin comprometer la calidad y la seguridad.

39

Cuadro 2. Valores de los activos en XperiaTechnologyCredit (Continuación)

CRITERIO DESCRIPCIÓN

EXPLICACIÓN

2 Bajo

Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa y la imagen de la empresa.

1 Muy Bajo

El activo tiene una importancia muy baja en el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo no es crítico para el proceso, ni para el activo en cuestión. Este compromiso no interrumpe en cualquier momento, el proceso ya que el proceso se opera sin el activo. No hay necesidad de protección y cuidados especiales.

Fuente: autores

5.1.1 Propiedad por nivel de sensibilidad. La importancia de la información debe ser clasificada en los siguientes niveles para cada una de las propiedades de la información (Integridad, confiabilidad y disponibilidad)

C (Confidencialidad): protección para que el activo de información sea accesible solamente por aquellas personas autorizadas para ello. En este campo en el inventario se presenta uno de los siguientes valores:

Cuadro 3. Clasificación según su confidencialidad

CRITERIO

DESCRIPCIÓN EXPLICACIÓN

5 Muy Alto

Si la confidencialidad está en peligro, se producirá:

Pérdida financiera significativa

Pérdida de imagen y reputación

Multas contractuales / SLA

Pérdida de ventaja competitiva sobre la competencia

40

CRITERIO


Cuadro 3. Clasificación según su confidencialidad. Continuación

5 Muy Alto

Las consecuencias pueden ser accesibles en virtud del derecho internacional, nacional, estatal, regional y local.

4 Alto

Si la confidencialidad está en peligro, puede ocurrir:

Pérdida financiera



Pérdida de ventaja competitiva sobre la competencia

Todo esto se debe en parte manejable. Las consecuencias pueden ser accesibles a los niveles nacional, estatal, regional y local.

3 Medio

Si la confidencialidad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera - Pérdida de la imagen


Pérdida de ventaja competitiva sobre la competencia.

Todo esto está sujeto al propietario. Las consecuencias pueden ser accesibles en los niveles estatales, regionales y locales.

2 Bajo

Si la confidencialidad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera

Pérdida de la imagen



Todo esto es fácilmente manejable. Las consecuencias pueden ser accesibles en la empresa nacional.

41

1 Muy Bajo

Si la confidencialidad está en peligro, no hay consecuencias para la empresa y en cualquier proceso de negocio.

Fuente: autores

D (Disponibilidad): garantizar que los usuarios autorizados tengan acceso a los activos de información cada vez que los requieren.

Cuadro 4. Clasificación según su disponibilidad

CRITERIO


5 Muy Alto

Si la disponibilidad se ve comprometida, se producirá:





Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.

4 Alto

Si la disponibilidad se ve comprometida, puede ocurrir:

Pérdida financiera




Todo esto es parcialmente manejable. Las consecuencias de la falta de disponibilidad repercuten a nivel internacional, nacional, estatal, regional y local.

Cuadro 3. Clasificación según su confidencialidad. Continuación

42

Cuadro 4. Clasificación según su disponibilidad. Continuación

CRITERIO


3 Medio

Si la disponibilidad se ve comprometida, en algunos casos puede ocurrir:

Pérdida financiera




Todo esto está sujeto al propietario. Las consecuencias de la falta de disponibilidad repercuten a nivel estatal, regional y local.

2 Bajo

Si la disponibilidad se ve comprometida, en pocos casos puede ocurrir:

Pérdida financiera




Todo esto es fácilmente manejable. Las consecuencias de la inactividad impactando enfoque interno.

1 Muy Bajo

Si la disponibilidad se ve comprometida, no hay consecuencias para la empresa y en cualquier proceso de negocio.

Fuente: autores

I (Integridad): protección de la exactitud y estado completo de la información y sus métodos de procesamiento

43

Cuadro 5. Clasificación según su integridad

CRITERIO


5 Muy Alto

Si la integridad se ve comprometida, se producirá:





Las consecuencias de la pérdida de la integridad repercuten a nivel internacional, nacional, estatal, regional y local. La credibilidad del proceso en que opere el activo, se ve muy afectada.

4 Alto

Si la integridad está en peligro, puede ocurrir:

Pérdida financiera




Todo esto es parcialmente manejable. Las consecuencias de la pérdida de la integridad repercuten a nivel nacional, estatal, regional y local. La credibilidad del proceso en que opere el activo, se ve afectada.

3 Medio

Si la integridad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera




Todo esto está sujeto al propietario. Las consecuencias de la pérdida de la integridad repercuten a nivel estatal, regional y local. La credibilidad del proceso en que opere el activo, puede verse afectada.

44

Cuadro 5. Clasificación según su integridad. Continuación

2 Bajo

Si la integridad está en peligro, pueden ocurrir en algunos casos: Pérdida financiera Pérdida de la imagen Multas contractuales / SLA Pérdida de ventaja competitiva sobre la competencia. Todo esto es fácilmente manejable. Las consecuencias de la pérdida de la integridad repercuten a nivel interno de la empresa. La credibilidad del proceso en que opere el activo puede verse afectado en algunos casos.

1 Muy Bajo Si la integridad está en peligro, no hay consecuencias para la empresa y para cualquier proceso de negocio.

Fuente: autores

5.1.2 Revisión y actualización. La actividad de revisión se refiere a la verificación que se puede llevar a cabo para determinar si un activo de información continúa o no siendo parte del inventario, o si ha cambiado la asignación de importancia de los activos de información.

El inventario de activos puede ser revisado en cualquier momento que el dueño de proceso así lo decida o cuando lo solicite el propietario del activo.

La actualización del inventario será cargada en el repositorio definido (Intranet --> Clasificación de la información).

Las razones por las cuales puede gestarse una revisión/actualización son:

Actualización del proceso.

Inclusión de nuevos registros, material de referencia o procedimientos.

Inclusión de un nuevo activo.

Desaparición de un área, proceso o cargo en la organización que tenía asignado el rol de propietario, dueño de proceso o custodio.

Cambios o migraciones de sistemas de información en donde se almacenan o reposan activos de información ya inventariados.

45

5.1.3 Publicación. El inventario de activos de información es un documento de uso interno y de acceso de solo lectura para todos los usuarios internos autorizados. Sólo debe tener acceso de modificación a este documento la persona que haya sido designada expresamente por el propietario del activo de información.

Este documento debe ser socializado a los interesados y debe ser mantenido en el Sistema de Gestión de la Seguridad de la Información con su respectivo control de versiones. Este mismo documento hace parte del inventario y clasificación de activos de información de la organización, por lo tanto los requerimientos derivados de su clasificación deben tenerse en cuenta.

Debe llevarse a cabo una presentación formal del documento de inventario y clasificación de activos de información como mínimo a las personas que aparezcan como propietarios, dueños de proceso o custodios de algún activo.

5.2 CLASIFICACIÓN DE INFORMACIÓN PARA XPERIA

La clasificación de activos de información tiene como objetivo asegurar que la información recibe los niveles de protección adecuados. La información con base en su importancia y de acuerdo a los requisitos de confidencialidad tiene diferentes grados de protección o manejo especial que se definen en el documento de clasificación de activos de información.

En este documento se define el esquema de clasificación para estipular los niveles de protección para cada activo de información y señalar las consideraciones especiales de manejo, restricciones, distribución, almacenamiento y destrucción de la información.

Los dueños de proceso que definieron el activo de información en el inventario deben revisar y confirmar el nivel de clasificación asignado al activo, y confirmar si el activo está clasificado adecuadamente.

Las categorías de clasificación de la información de Xperia se definen de manera general en su documento de Políticas Globales. Como se ha mencionado en este documento estas categorías son Pública, Interna, Confidencial y Restringida. Con base en estas definiciones generales se realizó la clasificación de información a las áreas de Xperia, con el apoyo e información suministrada por los dueños de cada proceso, los propietarios de información, los custodios de información y el gerente de seguridad de información.

46

5.2.1 Información pública de Xperia. La clasificación de información pública de Xperia se presenta a continuación en el cuadro 6.

Cuadro 6. Clasificación de información pública de Xperia

DEFINICIÓN

Para uso del público en general y para distribución externa. Su divulgación no causa un efecto adverso para Xperia.

AUTENTICACIÓN Acceso anónimo permitido.

RASTROS DE AUDITORÍA Ningún requisito

ETIQUETADO No se requieren etiquetas de seguridad de información.

DIVULGACIÓN / COMPARTICIÓN

Ninguna restricción

ENVÍO Y MANEJO Ninguna restricción

DESTRUCCIÓN Y DISPOSICIÓN

Retener de acuerdo con el programa de retención de archivos de Xperia y en cumplimiento con la política de retención de archivos.

Fuente: autores

47

5.2.2 Información interna de Xperia

Cuadro 7. Clasificación de información interna de Xperia

DEFINICIÓN Información moderadamente delicada que requiere controles. Su divulgación, alteración o destrucción, podría causar daño a Xperia y/o desventaja competitiva.

AUTENTICACIÓN Autenticación de factor único

RASTROS DE AUDITORIA

La auditoría y el registro deben monitorear los eventos de seguridad.

MEDIO ELECTRÓNICO

Etiqueta el contenedor exterior y/o el comienzo del medio.

DOCUMENTOS La etiqueta o símbolo apropiado deben aparecer.

DIVULGA

INTERNA Ninguna restricción

TERCEROS

Se requiere aprobación del propietario y acuerdo de no divulgación.

Envío y Manejo por Correo electrónico:

Interna

Enviar en texto común vía sistema de e-mail interno de Xperia.

Terceros Se recomienda codificación.

Destrucción y Disposición


Fuente: autores

48

5.2.3 Información confidencial de Xperia

Cuadro 8. Clasificación de información confidencial de Xperia

DEFINICIÓN

Información altamente delicada que requiere fuertes controles. Su divulgación, alteración o destrucción, causa daño serio a Xperian y/o desventaja competitiva.

AUTENTICACIÓN Autenticación de factor único múltiple

RASTROS DE AUDITORIA La auditoría y el registro deben monitorear los eventos de seguridad periódicamente.

MEDIO ELECTRÓNICO Etiqueta el contenedor exterior y/o el comienzo del medio.


DIVULGACIÓN / COMPARTICIÓN

INTERNA Se requiere aprobación del propietario de la información.

TERCEROS

Se requiere aprobación del propietario de la información y acuerdo de no divulgación.

ENVÍO Y MANEJO POR CORREO ELECTRÓNICO

INTERNA Se recomienda codificación.

TERCEROS Se requiere codificación.


Retener de acuerdo con el programa de retención de archivos de Xperian y en cumplimiento con la política de retención de archivos.

Fuente: autores

49

5.2.4 Información restringida de Xperia

Cuadro 9. Clasificación de información restringida de Xperia

DEFINICIÓN

Información extremadamente delicada que requiere los controles más fuertes. Su divulgación, alteración o destrucción, causa daño grave a Xperia y/o desventaja competitiva.

AUTENTICACIÓN Autenticación de dos factores.

RASTROS DE AUDITORIA

La auditoría y el registro deben monitorear los eventos de seguridad diariamente.

ETIQUETADO

MEDIO ELECTRÓNICO

Etiqueta el contenedor exterior y/o el comienzo del medio.


INTERNA Se requiere aprobación del propietario de la información.

TERCEROS

Se requiere aprobación del propietario de la información y acuerdo de no divulgación.

ENVÍO Y MANEJO POR CORREO ELECTRÓNICO

INTERNA Se requiere codificación.

TERCEROS Se requiere codificación.



Fuente: autores

50

5.2.5 Controles requeridos. De acuerdo a la clasificación de información definida por las categorías pública, interna, confidencial y restringida, se establecieron controles para los siguientes aspectos y eventualidades críticas: control de acceso, autenticación, rastros de auditoría, etiquetado medios físicos, etiquetado medios magnéticos, divulgación interna, divulgación externa, vía voz, correo electrónico interno, correo electrónico externo, correo interno (copia impresa), correo externo/Courier, transmisión electrónica interna, transmisión electrónica externa, transporte dentro del país, transporte o trasmisión de información por fronteras internacionales, copiado, impresión o envío por fax, almacenamiento, copia en papel y electrónico.

Los controles requeridos se encuentran relacionados en el cuadro 10 presentado en la página siguiente.

51

Cuadro 10. Clasificación de la información en XperiaTechnologyCredit

CLASIFICACIÓN DE LA INFORMACIÓN

Pública Interna Confidencial Restringida

Símbolo

Definición

Propuesto para el uso del público en general y pre-

diseñado para distribución externa.

No se espera que la

divulgación de los datos cause un efecto adverso a

Xperia.

Información moderadamente delicada que requiere

controles para asegurar confidencialidad, integridad y

disponibilidad.

Su divulgación, alteración o destrucción podría causar daño a la reputación o valoración de

Xperia y/o causarle una desventaja competitiva.

Información altamente delicada que requiere fuertes

controles para asegurar confidencialidad, integridad y

disponibilidad.

Su divulgación, alteración o destrucción podría causar daño

serio a la reputación o valoración de Xperia y/o causarle una desventaja

competitiva.

Información extremadamente delicada que requiere

loscontroles más fuertes para asegurar confidencialidad, integridad y disponibilidad.

Su divulgación, alteración o

destrucción podría causar daño grave a la reputación o

valoración de Xperia y/o causarle una desventaja competitiva.

Ejemplos

Anuncios, anuncios de oportunidades de trabajo, comunicados de prensa o

folletos de productos.

Presupuestos departamentales, organigramas, directorios telefónicos, manuales de

políticas o programaciones de proyectos.

Contratos de clientes, información personal de consumidores, datos de

tarjetahabientes cubiertos por Estándar de Seguridad de Datos para a Industria de

Tarjeta de Pago, contraseñas, reportes de vulnerabilidad,

documentación del sistema o código de aplicaciones.

Claves de codificación, informes de investigaciones internas,

adquisiciones no anunciadas o productos o servicios no

anunciados.

Control de acceso

Ninguna restricción para el acceso de lectura.

El acceso de actualización y eliminación debe ser

autorizado por el propietario de Información o un custodio

de Información.

Autorizado por el propietario de la información o el custodio, con el criterio de necesidad de saber.

52

Cuadro 10. Clasificación de la información en XperiaTechnologyCredit (Continuación)



Autenticación Acceso anónimo permitido. Autenticación de factor único.

Autenticación de factor único múltiple. Se puede requerir

autenticación de dos factores si existen riesgos significativos.

Autenticación de dos factores.

Rastros de auditoría Ningún requisito.

Se deben registrar y monitorear los eventos seguridad.

Se deben registrar y monitorear los eventos seguridad

periódicamente.

Se deben registrar y monitorear los eventos seguridad

diariamente.

Etiquetado medios físicos

No se requiere etiqueta de Seguridad de información.

La etiqueta o símbolo apropiado debe aparecer en cada página.

Etiquetado medios magnéticos

Etiquete el contenedor exterior, comienzo del medio y/o nombre del archivo.

Divulgación interna Ninguna restricción.

Se requiere aprobación de Administrador de Información o Custodio de Información.

Divulgación externa (Incluye información

enviada para copiado, impresión, formateado, u otros

trámites)

Ninguna restricción.

Se requiere aprobación del propietario del activo de

información y acuerdo de no divulgación.

Se requiere autorización del propietario del activo de información o Custodio de Información y acuerdo de no divulgación.

Vía voz Ninguna restricción. Seguir la orientación anterior y verificar que las partes tienen necesidad de conocer.

Seguir la orientación anterior y evitar discutir en público más allá de lo necesario.

Seguir la orientación anterior y evitar leer o discutir en público o

por teléfono (incluyendo mensajes de voz).

Correo electrónico interno

Ninguna restricción. Enviar en texto común vía

sistema de email interno de Xperia.

Se recomienda codificación. Para datos de tarjetahabiente

cubierta por PCI DSS; Se requiere codificación.

Se requiere codificación.

53




Correo electrónico externo

Ninguna restricción. Se recomienda codificación. Se requiere codificación.

Correo interno (Copia impresa)

Ninguna restricción. Dirigir al empleado o receptor

designado de Xperia vía sistema interno de correo.

Sellar en empaque marcado como confidencial y dirigir al

receptor designado vía sistema interno de correo.

No enviar usando sistema de correo interno. Enviar a mano o enviar usando los controles de Correo Externo mencionados

adelante.

Correo externo/Courier

Ninguna restricción. Copia impresa/Medios: Selle en

empaque opaco.

Selle en empaque opaco; no indique la clasificación o la naturaleza de la información contenida en él. Diríjalo a la persona o punto de recepción específico; incluya dirección para devolución; enviar por mensajería de confianza o correo registrado y use mecanismo de

seguimiento. Medios: Codificar a menos que esté exento por aprobación por

escrito de la alta administración.

Transmisión electrónica interna


Recomendado que se transfiera la información por canal codificado o que se va a

codificar antes de la transmisión.

La información debe ser transferida por un canal

codificado o codificada antes de la transmisión.

Transmisión electrónica externa


Se recomienda que la información sea transferida por un canal codificado o codificada

antes de la transmisión.

La información debe ser transferida por un canal codificado o codificada antes de la transmisión.

Transporte/Llevar dentro del país.

Ninguna restricción. Llevar en recipiente cerrado y

nunca dejarlo sin atención.

Llevar en recipiente cerrado y nunca dejarlo sin atención.

Medios: Codificar a menos que esté exento por aprobación por escrito de la alta administración.

La información debe ser llevada en recipiente cerrado y nunca

dejarla sin atención. Medios: Codificar a menos que esté exento por aprobación por escrito de la alta administración.

Transporte o Trasmisión de

Información por Fronteras

Internacionales.

Ninguna restricción. Asegurar el cumplimiento de leyes y regulaciones locales de exportación.

54




Copiado, Impresión o envío

por fax. Ninguna restricción.

Permitido según se necesite para conducir los negocios de Xperia.

Copias: Permiso del propietario del activo de

información o Custodio de Información.

Impresión: Se recomiendan características de impresión

seguras. Para ayudar a controlar su difusión, todas las copias de información restringida también deben

incluir las palabras “No copiar Sin Permiso Explícito del propietario del activo de

información”. Fax: Se recomienda

transmisión con contraseña

Copias: Permiso del propietario del activo de información o Custodio

de Información. Impresión: Se recomiendan características de impresión

seguras. Para ayudar a controlar su difusión, todas las copias de información restringida también deben incluir las palabras “No

copiar Sin Permiso Explícito del propietario del activo de

información”. Fax: Codificar transmisión y

verificar recepción

Almacenamiento Ninguna restricción. Ninguna restricción.

Copia Impresa: Almacene en instalación con llave cuando no esté en uso. Electrónica: Codifique. Nota: No se requiere codificación para la información electrónica en servidores seguros en instalaciones seguras con controles de acceso apropiados pero se deben codificar las cintas de respaldo u otros medios que vayan a salir de las instalaciones.

Destrucción y disposición

Retener de acuerdo con el Programa de retención de Archivos de Xperia y en cumplimiento con la Política de Retención de Archivos. Deshacerse de él después del vencimiento de los periodos de retención a menos de que se haya colocado un “Mantener” por razones legales o de otro tipo.

55




Copia en papel Ninguna

restricción.

Métodos internos de eliminación

Se debe disponer de él con seguridad, por ejemplo, en caja cerrada para disposición o triturado.

Electrónico Ninguna restricción. Destrucción física o proceso de borrado magnético. Referirse a la Norma para Borrado de

Medios para más información.

Fuente: autores

56

5.2.6 Gestión de documentos

5.2.6.1 Íconos representativos. Para la identificación de los documentos se sugiere el siguiente modelo:

Cuadro 11. Íconos representativos

INTERNA: Información moderadamente delicada que requiere controles.

Su divulgación, alteración o destrucción, podría causar daño a Xperia

y/o desventaja competitiva.

CONFIDENCIAL: Información altamente delicada que requiere fuertes

controles. Su divulgación, alteración o destrucción, causa daño serio a

Xperia y/o desventaja competitiva.

RESTRINGIDA: Información extremadamente delicada que requiere los

controles más fuertes. Su divulgación, alteración o destrucción, causa

daño grave a Xperia y/o desventaja competitiva.

Fuente: autores

5.2.6.2 Control de Versiones. Se sugiere la utilización del control del versiones cuando se presente cualquier cambio o modificación de forma o fondo en los documentos.

El cambio de la versión se verá reflejado en:

El nombre del archivo

La tabla de versiones

El nombre del documento en el encabezado de la página

Siempre que haya un cambio dentro del documento se debe modificar la tabla de versiones que se encuentra al inicio diligenciando los siguientes campos para mantener la historia de las modificaciones:

Número de la versión

57

Fecha de la modificación

Nombre de quien elabora el cambio

Nombre de quien aprueba el cambio

Breve descripción del cambio

Para el manejo de control de versiones los documentos se sugiere el siguiente modelo:

Cuadro 12. Control de versiones de documentos

Versión Fecha Descripción Preparado por Aprobado por

1 dd/mm/yyyy (…) (Nombres y Apellido)

(Nombres y Apellido)

Fuente: autores

58

6. CATALOGACIÓN DE LA INFORMACIÓN SEGÚN EL PROCEDIMIENTO PARA LA CLASIFICACIÓN DE ACTIVOS DE LA INFORMACIÓN

6.1 ALCANCE ÁREAS OPERATIVAS DE XPERIATECHNOLOGYCREDIT En el presente proyecto y dentro del alcance propuesto se tendrán en cuenta las siguientes áreas operativas en XperiaTechnologyCredit:

Vicepresidencia de Tecnología

Vicepresidencia Jurídica

Vicepresidencia Credit

Gerencia Estratégica

Dirección de Planeación

Dirección de Operaciones

Dirección de Mercadeo

Dirección Comercial

Segmento Empresas

En el desarrollo del proyecto se contemplaron las siguientes fases para la catalogación de la información recopilada con base en el procedimiento para la clasificación de activos de la información.

6.1.1 Fase 1 – Planeación. Tiene como objetivo realizar una serie de entrevistas convocadas con los líderes de las diferentes áreas operativas mencionadas dentro del alcance del proyecto.

Cada una de estas entrevistas arrojara como resultado un documento (acta de reunión o carta de inicio de proyecto) que se incluyen en el proyecto como anexos a los inventarios en cada una de las áreas operativas en XperiaTechnologyCredit.

El acta de entrevista en su contenido presenta:

Encabezado: Asistentes, fecha y hora de la reunión.

Agenda: Discusión del proceso de inventarios, actividades relacionadas, documentos y entregables, conclusiones finales.

El acta se encuentra firmada por cada uno de los asistentes como aprobación de los puntos discutidos en la reunión para el levantamiento de información de inventario de activos de información en cada una de las áreas operativas.

Estas actas se presentan como anexos al proyecto bajo el estándar “Acta de Proyecto Área Operativa”

59

6.1.2 Fase 2 - Inventario de activos de Información. En la fase 2 se procede con el cumplimiento del cronograma concertado en la fase 1 de planeación, se ejecuta la recolección e inventario de activos de información aprobados por el área en conjunto con los propietarios y custodios de la información. La recolección de estos datos se consigna en el formato de Inventario de activos de información asignado a cada una de las áreas operativas. Estos inventarios se presentan como anexos al proyecto bajo el estándar “Área- Inventario de Activos de Información” 6.1.3 Fase 3 - Etiquetado y rotulación de la información. Posterior al levantamiento de información e inventario de los activos de información en el área que corresponde, se procede con el etiquetado y la rotulación de los activos basados en el procedimiento para la clasificación de activos de la información. El etiquetado y rotulación de la información se consigna en el formato de inventarios de activos de información asociado al inventario realizado en la Fase 2. 6.1.4 Fase 4 – Seguimiento. A lo largo del proceso de levantamiento, clasificación y rotulado de los activos de información, se definen reuniones periódicas donde se realiza seguimiento y validación de los datos consignados en el formato de inventarios en conjunto con el propietario o custodio de la información. Al culminar con cada una de las 4 fases se realizara la entrega de los documentos referenciados en las actas de inicio de proyecto al custodio o propietario de la información.

Procedimiento para el inventario y clasificación de activos de información

Guía de referencia Inventario de Activos de Información

Política de Seguridad Global

60

7. PROPUESTA TECNOLÓGICA PARA LA CONTINUIDAD Y SEGURIDAD DE LOS ACTIVOS DE INFORMACIÓN

7.1 ALCANCE DE LA PROPUESTA

A lo largo del proyecto se desarrolló el procedimiento para la clasificación de activos de información y la ejecución del levantamiento de datos con base en los parámetros establecidos en dicho documento.

Este planteamiento sugiere la implementación de una infraestructura tecnológica que permita dar continuidad al levantamiento de datos dentro del procedimiento para la clasificación de activos de la información, permitiendo así garantizar el cumplimiento de las políticas de seguridad globales y la ejecución de los procedimientos requeridos para esto.

Dentro del alcance de la propuesta se define la tecnología necesaria que cumple a cabalidad con los requisitos funcionales para la prevención en la fuga de datos internos, confidenciales y restringidos de XperiaTechnologyCredit con base en el cuadrante mágico de Gartner para DLP.

7.2 DESARROLLO DE LA PROPUESTA

7.2.1 Requisitos funcionales. En conjunto con el área de la Dirección de Servicio de TI se definieron los siguientes requisitos funcionales para la continuidad en la protección del inventario de activos de la información en XperiaTechnologyCredit.

Detectar riesgos de fuga de información de datos internos, confidenciales y restringidos para las áreas operativas.

Módulo de monitoreo que permita configurar y relacionar parámetros establecidos previamente.

Proteger los datos sin importar su almacenamiento o definición en la escala para la definición de datos,

Gestionar el uso y manipulación de los activos de información, generar métricas y reportes para la alta gerencia.

61

7.2.2 Escenarios Propuestos

7.2.2.1 Planteamiento. Con el fin de garantizar le mejor herramienta tecnológica en el mercado en la actualidad, se realizó un análisis de los requisitos funcionales de XperiaTechnologyCredit con base en el cuadrante mágico de Gartner para el uso de Correo Seguro y la prevención de pérdida de datos salientes. (Figura 4)

Figura 4. Cuadrante mágico de Gartner de correo electrónico seguro

Fuente: Gartner12

12

GARTNER. Cuadrante Mágico de correo electrónico seguro. en línea], consultado el 3 de abril

de 2015 . Disponible en: http://www.gartner.com/technology/reprints.do?id=1-1WK2ZOL&ct= 1407 02&st=sb

http://www.gartner.com/technology/reprints.do?id=1-1WK2ZOL&ct

62

7.2.2.2 Definiciones y criterios del cuadrante mágico de Gartner. Dando continuidad a la propuesta basada en las definiciones y criterios del cuadrante mágico de Gartner, en la Tabla 14 presentada en la siguiente página se muestran las fortalezas y precauciones presentadas en el informe “Cuadrante de Correo electrónico seguro” de las empresas líderes en el mercado

Cuadro 13. Fortalezas y precauciones presentadas en el informe “Cuadrante de correo electrónico seguro

PROVEEDOR FORTALEZAS PRECAUCIONES Costos Licencia

CISCO

OutbreakFilters ofrece protección contra ataques selectiva, que incluye la hora del clic URL del proxy una solución archivo sandboxing basado en la nube llamado Avance de protección contra malware (AMP) y el filtrado.

Filtrado de spam Cisco es altamente dependiente de la reputación, que es menos eficaz para bajo volumen de raquetas de nieve spam.

Novedades en los Componentes:

Monitoreo en tiempo

Real

Monitoreo de transacciones

Monitoreo de aplicación

Costo Mensual.

$ 1,138.20

Costo Anual. US 13.658.40

URLs embebidas pueden ser filtrados de acuerdo con las categorías de URL (es decir, los juegos de azar, juegos, alcohol) para alinearse con las políticas de uso aceptables, así como la reputación de URL.

Oferta de correo electrónico alojado de Cisco tiene sólo cuatro centros de datos en los EE.UU. y Europa hasta ahora.

Capacidades de DLP-contenido consciente con numerosos predefinidos políticas, los diccionarios y los identificadores

PROOFPOINT

El spam y el malware precisión ha sido siempre una fuerza Proofpoint consistente, y la compañía es uno de los pocos que informa públicamente su eficacia anti-spam

Proofpoint sigue teniendo una cuota de mercado y la mente menor fuera de Norteamérica.

Novedades en los Componentes:

EncryptionInsight

Data Insight

Network Discover

Costo Anual.

US 14.100.

La interfaz de gestión basada en la Web sigue siendo uno de los mejores en el mercado, con numerosas innovaciones y características únicas. En particular, como los cuadros de mando totalmente personalizables para cada administrador.

Proofpoint, debido a su enfoque en los clientes corporativos a gran empresariales más exigentes y los altos precios, es un mal ajuste de las organizaciones más pequeñas que no requieren controles avanzados, aunque Proofpoint Básico proporciona una experiencia más simple.

Características de DLP son muy fuertes, e incluyen numerosas políticas prediseñados, diccionarios, identificadores numéricos y encriptación basada en políticas integradas. El desarrollo de políticas es orientado a objetos y similar en todos los spam y DLP. La cuarentena DLP es muy sofisticada para una solución de canal, e incluye la política de violaciones resaltados así como la posibilidad de añadir comentarios a los incidentes.

A pesar de las mejoras en la presentación de informes, Proofpoint aún carece de una capacidad completa de informes ad hoc

Fuente: autores

63

7.3 BENEFICIOS Y RIESGOS EN LA IMPLEMENTACIÓN DE TECNOLOGÍAS ASOCIADAS A LA PREVENCIÓN DE PÉRDIDA DE DATOS

7.3.1 Riesgos. Dentro de los riegos asociados en la no implementación de tecnologías para la prevención de fuga de datos se destacan los siguientes;

Fuga de información interna, restringida y confidencial para XperiaTechnologyCredit

Acceso no autorizado a datos restringidos y confidenciales al interior de las áreas operativas.

Robo de datos considerados sensibles para la compañía.

Divulgación de información interna en las áreas operativas.

7.3.2 Beneficios. Algunos de los beneficios con más relevancia en la implementación de tecnologías asociadas a la prevención de fuga de datos son:

Continuidad al procedimiento para la clasificación de activos de información en XperiaTechnologyCredit.

Control en el flujo y ciclo de vida de la información

Control y cumplimento de normas y regulaciones legales para la protección de datos.

Correlación en documentos e información de negocio para la optimización de procesos al interior de las áreas operativas.

64

8. CONCLUSIONES

Toda organización debe contar con políticas claras, bien definidas sobre cómo debe categorizarse y administrarse los activos de información. Esta administración acertada permite establecer controles y medidas organizativas que produzcan un aseguramiento eficiente de los datos, así como también, administrar y evaluar los riesgos a los que el negocio esté expuesto, garantizando la continuidad del proceso de negocio.

La hipótesis de investigación ¨El mantenimiento y continuidad del inventario y clasificación de activos de información es un elemento fundamental para lograr la optimización de los procesos y procedimientos asociados a la Tecnología Data LossPrevention – DLP en la empresa XperiaTechnologyCredit¨ es verdadera. En este momento las 9 áreas operativas de la empresa cumplen con los parámetros generales de clasificación de información expuestos en las políticas globales de Xperia.

Podría considerarse, que el secreto para mantener la seguridad informática está en contar con soluciones informáticas o herramientas óptimas de seguridad en la información. Sin embargo, aunque esto es necesario, la realidad demuestra que con solo las herramientas no son suficientes, ya que se omiten aspectos imprescindibles para la seguridad de un negocio. Es por ello que es posible minimizar en gran medida los riesgos de seguridad gracias a la combinación de tres elementos claves: la tecnología, la participación de los responsables de la información y la valoración apropiada de la información.

La definición del factor humano como el eslabón más débil de la cadena en el proceso de gestión del riesgo asociado a la administración de activos de información, se puede redefinir empleando mecanismos de capacitación, concientización y el uso adecuado de los recursos físicos y lógicos apoyado de procesos y procedimientos claros en la organización. Las preocupaciones colecticas e individuales pueden ofrecer un enfoque que con el uso de las herramientas y las técnicas apropiadas pueden facilitar la gestión en la Seguridad de la información.

65

9. RECOMENDACIONES E IMPLICACIONES

Se recomienda la implementación de procesos e infraestructura tecnológica que permita dar continuidad y gestión al procedimiento para la clasificación de activos de información en XperiaTechnologyCredit, la no implementación de esta tecnología podría conllevar a los riesgos mencionados en el desarrollo de la propuesta inicial.

Con base en los requerimientos funcionales propuestos por XperiaTechnology Credit se recomienda llevar a cabo la implementación de las tecnologías propuestas (Cisco - Proofpoint) tomando como referencia sus fortalezas y precauciones mencionadas en el cuadrante mágico de Gartner.

En el análisis de la infraestructura tecnología en Xperia se detectaron productos y procesos implementados con el proveedor Cisco que simplificarían la implementación de la Tecnología DLP o Correo Seguro con un costo – beneficio más alto.

66

BIBLIOGRAFÍA

ALAVI, Maryam. y LEIDNER, Dorothy. Knowledge Management Systems: Issues, Challenges, and Benefits. Vol.1, No. 7, p.1-37. USA: Communications of the Association for Information Systems. 1999. 37 p.

A. Ntoko. Mandate and activities in cybersecurity – ITU-D. Reunión temática de la CMSI sobre ciberseguridad. Ginebra: UIT 28 de junio a 1 de julio de 2005

ACKOFF, Russel. From data to wisdom. USA: Journal of Applied Systems Analysis. 1989. p. 15. CANO, J. La guerra fría electrónica y la inseguridad de la información. 2008.

Publicación en Blog. en línea], consultado el 2 de marzo de 2014 . Disponible en: http://www.eltiempo.com/ participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=4197.

CEBRIÁN, R. A. Eleven Paths. 15 de Agosto de 2013. en línea], consultado el 2

de marzo de 2014 . Disponible en: http://blog.elevenpaths.com/2013/08/fuga-de-informacion-en-empresas-lideres.htm

GARTNER. Cuadrante Mágico de correo electrónico seguro. en línea],

consultado el 3 de abril de 2015 . Disponible en: http://www.gartner. com/technology/reprints.do?id=1-1WK2ZOL&ct= 1407 02&st=sb PORTAL ISO/IEC 27002. Tecnologías de Información – Técnicas de Seguridad –

Guía de Prácticas de Controles de Seguridad de la Información. 2013, p. 15. . en

línea], consultado el 2 de marzo de 2014 . Disponible en: www.iso27000.es/iso27000.html

RIVAS, Luís Guillermo. Recursos de información. 1999. en línea], consultado

el 2 de marzo de 2014 . Disponible en: www.eumed.net › Revistas › Tlatemoani SALMADOR, María. Raíces epistemológicas del conocimiento organizativo, estudio de sus dimensiones. En Economía Industrial. 1999. Vol. 1, No. 357, p. 27-

57. en línea], consultado el 2 de marzo de 2014 . Disponible en: www.funlam.edu.co/modules/facultad ciencias/ visit. php?fileid=36

XPERIA, Credit. Políticas y Estándares de Seguridad Global. Enero 2012. en

línea], consultado el 2 de marzo de 2014 . Disponible en: es.wikipedia.org/wiki/ Near_field_communication.



http://www.funlam.edu.co/modules/facultad%20ciencias/

67

ANEXOS

68

Anexo 1. Inventario de Activos de Información

69

Anexo 1. Inventario de Activos de Información (Continuación)

Documentación del Sistema Diagramas Topologias de Red de Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 3-Medio 4-Alto

Documentación del Sistema Inventarios de servidores Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto

Documentación del Sistema Diagramas de Ubicación Fisica - Rack Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

Documentación del Sistema Inventario de Licencias Director de Infraestructura Tecnologica Interno 5-Muy alto 4-Alto 3-Medio 4-Alto

Documentación del Sistema Documentación Storage Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto

Documentación del Sistema Documentación Backup Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto

Procedimientos de Operación o de Apoyo Procesos de la Gerencia de Infraestructura Tecnológica Gerente de infraestructura tecnologica Interno 3-Medio 3-Medio 3-Medio 3-Medio

Manuales de UsuarioDocumentación Suministrada por Proveedores Con

Especificaciones Exclusivas para DatacreditoDirector de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 3-Medio 4-Alto

Manuales de Usuario Instructivo Creación de Usuarios del Sistema Director de Infraestructura Tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto

Manuales de UsuarioManuales de Usuario y de admiistración de aplicaciones del

sistema, con especificaciones exclusivas para DataCréditoDirector de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Procedimientos de Operación o de Apoyo Documentos - Políticas - GIT Gerente de infraestructura tecnologica Interno 4-Alto 4-Alto 3-Medio 4-Alto

Procedimientos de Operación o de ApoyoFormatos - de apoyo a procesos de Infraestructura

TecnológicaDirector de Infraestructura Tecnologica Interno 3-Medio 4-Alto 4-Alto 4-Alto

Procedimientos de Operación o de ApoyoEstadísticas e indicadores de la Dirección Infraestructura

Tecnologica - DatacreditoDirector de Infraestructura Tecnologica Interno 3-Medio 3-Medio 2-Baja 3-Medio

Procedimientos de Recuperación Documentos - Gestión de Crisis Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

Archivos Almacenados en ComputadoresDocumentos - Computador Director de Infraestructura

Tecnologica - DatacreditoDirector de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en ComputadoresDocumentos - Computador - Administradores de Plataforma

Tecnologica - Datacredito (3)Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en ComputadoresDocumentos - Computador - Administrador de Infraestructura

de Portal - Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en ComputadoresDocumentos - Computador - Administrador de Bases de

Datos - Datacredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en ComputadoresDocumentos - Computador - Analista de Proyectos -

DataCredito Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en ComputadoresArchivos de buzón de correo PST Outlook de los integrantes

de la Dirección de Infraestructura Tecnológica.Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Material de Capacitación Presentaciones - Capacitación Herramientas Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

Archivos o Documentos en PapelDocumentos - Director de Infraestructura Tecnologica -

DatacreditoDirector de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

Software Utilitario Software instalado en servidores Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Documentación del Sistema Documentos License Key Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Documentación del Sistema Documentos Soporte Renovación y Mantenimiento. Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores Producción Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores Demo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores DRP Gerente de infraestructura tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores Desarrollo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores Pruebas Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Servidores Apoyo Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Appliance Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo de Cómputo: CPU Storage Director de Infraestructura Tecnologica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Medios de

Comunicación

Gabinete de la Dirección de Infraestructura Tecnologica

- Se almacenan documentos en papel.

- Medios Magnéticos.

Director de Infraestructura Tecnologica Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Registrar nombre completo del cargo en la siguiente columna Administrador de Plataforma Tecnologica - Datacredito (3) Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Registrar nombre completo del cargo en la siguiente columna Administrador de Infraestructura de Portal - Datacredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Registrar nombre completo del cargo en la siguiente columna Administrador de Bases de Datos - Datacredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Registrar nombre completo del cargo en la siguiente columna Analista de Proyectos - DataCredito Director de Infraestructura Tecnologica Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Medios Opticos: CD CD - Utilidades Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

Medios Opticos: DVD DVD - Medios de Instalación Director de Infraestructura Tecnologica Interno 3-Medio 4-Alto 3-Medio 4-Alto

70

Anexo 1. Inventario de Activos de Información (Continuación)

Fuente: autores

Manuales de Usuario Manuales de Usuario de herramientas Rational Gerente de infraestructura tecnologica Interno 3-Medio 2-Baja 2-Baja 2-Baja

Documentación del SistemaManuales de instalación a la medida de DataCrédito de

herramientas RationalGerente de infraestructura tecnologica Interno 3-Medio 2-Baja 3-Medio 3-Medio

Material de CapacitaciónPresentaciones de capacitación sobre los procesos y

funcionalidades implementadas en las herramientas RationalGerente de infraestructura tecnologica Interno 3-Medio 2-Baja 3-Medio 3-Medio

Documentación del Sistema Plan Integral Backup ClearCase Gerente de infraestructura tecnologica Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Procedimientos de Operación o de Apoyo Documento Criterios Calidad Proceso PQA Gerente de infraestructura tecnologica Interno 2-Baja 2-Baja 2-Baja 2-Baja

Procedimientos de Operación o de ApoyoDocumentos Actividades Administrativas del Administrador

de Procesos de TcenologíaGerente de infraestructura tecnologica Confidencial 2-Baja 2-Baja 2-Baja 2-Baja

Procedimientos de Operación o de Apoyo Registro de revisiones PQA y estadísticas. Gerente de infraestructura tecnologica Interno 3-Medio 2-Baja 2-Baja 3-Medio

Manuales de UsuarioInstructivos de operación de todos los procesos del Área de

procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Procedimientos de Operación o de ApoyoProcesos del Área de Procesamiento y documentación de

los mismos, publicados en AlfrescoDirector de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Procedimientos de Operación o de Apoyo Plan de procesamiento Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 3-Medio

Procedimientos de Operación o de Apoyo Estadísticas e indicadores de la Dirección de Procesamiento Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 3-Medio

Documentación del Sistema

Documentación Políticas de Respaldo y Restauración.

Contiene los archivos con los inventarios de backups y las

políticas de ejecución de backups de contingencia.

Director de Procesamiento Interno 4-Alto 4-Alto 4-Alto 4-Alto

Documentación del SistemaDocumentación Entrega de Información - Secure Transport,

publicado en AlfrescoDirector de Procesamiento Interno 3-Medio 3-Medio 3-Medio 3-Medio

Procedimientos de Operación o de Apoyo

Formatos utilizados en la dirección como órdenes de

proceso, registro de control de procesamiento, solicitud de

backups y restauración.

Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 2-Baja

Procedimientos de Operación o de Apoyo Políticas de Procesamiento. Director de Procesamiento Interno 3-Medio 3-Medio 2-Baja 2-Baja

Información Almacenada

Información almacenada en los servidores de producción:

batch y procesos especiales DRP utilizada para la ejecución

de los procesos

Director de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 3-Medio 4-Alto

Información AlmacenadaInformación almacenada en el servidor de producción línea

DRPDirector de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Información AlmacenadaInformación almacenada en el servidor de producción línea

ColombiaDirector de Procesamiento - Custodio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Información Almacenada

Información almacenada en los servidores de producción:

batch y procesos especiales Colombia utilizada para la

ejecución de los procesos

Director de Procesamiento - Custodio Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Archivos Almacenados en Computadores

Documentación de instructivos, procesos, políticas, formatos,

inventario de backups. Almacenados en PC del Director del

Área

Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Archivos Almacenados en Computadores Documentos en PC dl Supervisor de Procesamiento. Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Archivos Almacenados en ComputadoresInventario de backups en PC de Producción a cargo de

operador de procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Archivos Almacenados en Computadores PST Outlook. Almacenados en PC del Director del Área Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Archivos Almacenados en ComputadoresPST Outlook. Almacenados en PC dl Supervisor de

Procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Archivos Almacenados en ComputadoresPST Outlook. Almacenados en PC de Producción a cargo de

operador de procesamiento.Director de Procesamiento Interno 3-Medio 2-Baja 2-Baja 2-Baja

Medios Opticos: DVD115 DVD con recogidas de datos históricos de facturación,

DB2 Datauditor, DBF (Byington)Director de Procesamiento Confidencial 2-Baja 4-Alto 3-Medio 4-Alto

Medios Opticos: CD145 CD con recogidas de datos históricos de facturación,

Datauditor Director de Procesamiento Confidencial 2-Baja 4-Alto 4-Alto 4-Alto

Medios Magnéticos: Cintas

250 Cartridges LT03 y 30 LTO4 con recogidas de datos

históricos mensuales, retención infinita en centro de cómputo

y 20 en LTO4 en custodia externa que van rotando para

custodia en C.C.

Director de Procesamiento Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Medios Magnéticos: Cintas Cartridges LTO3 y LTO4 vacíos en stock Director de Procesamiento Interno 4-Alto 2-Baja 4-Alto 2-Baja

Registrar nombre completo del cargo en la siguiente columna Operador de Procesamiento - 7 personas Director de Procesamiento Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Registrar nombre completo del cargo en la siguiente columna Supervisor de Procesamiento Director de Procesamiento Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

71

Anexo 2. Operaciones- Inventario de Activos de Información

72

Anexo 2. Operaciones- Inventario de Activos de Información (Continuación)

Activos de Información Archivos Almacenados en Computadores 7.Cancelación Incremento Anual DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores 8.Anulación Vinculación DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores 9.Cancelación por Liquidación DIRECTOR SERVICIO AL SUSCRIPTOR Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores PST Correo- Almacenado Computador Agente Servicio al Cliente. DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST Correo- Almacenados Computador Director - Servicio al

Cliente.DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Documentación del Sistema Documentos Informativos con las politicas de acuerdo al Proceso. DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo de Cómputo: CPU Computador -Dirección Servicio al Suscriptor DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Otros medios Equipos de Telecomunicaciones (BlacK Berry 3) DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Medios Magnéticos: Discos Discos - Backup Facturación DIRECTOR SERVICIO AL SUSCRIPTOR Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo - Dirección de Servicio al Suscriptor - DataCredito Cargo- Vp de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo- Coordinador de Servicio al Sucriptor Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo-Analistas de Servicio al Suscriptor (4) Cargo-Coordinador de Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo- Analista de Facturación Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo -Analista de Cobranza Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo - Analista Senior de Servico al suscriptor (2) Cargo-Coordinador de Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Cargo -Agentes de servicio al Sucriptor (3) Cargo -Dirección Servicio al Suscriptor Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST almacenados en los Equipos de cada Usuario

correspondientes a los años 2010,2011,2012Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de Apoyo Macro crear archivo de prender y apagar campos Vicepresidencia de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de Apoyo Macro para conversión de archivo plano a Excel Vicepresidencia de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Procedimientos de Operación o de Apoyo Macro de Errores Facilidat Vicepresidencia de Operaciones-Propietarios ConfidenciaL 2-Baja 3-Medio 2-Baja 2-Baja

Activos de Información Procedimientos de Operación o de ApoyoMacros de Conversión archivos de modificación de endeudamiento

trimestralVicepresidencia de Operaciones-Propietarios ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Procedimientos de Operación o de Apoyo Macro "Planilla Consolidados" Vicepresidencia de Operaciones-Propia ConfidenciaL 1-Muy bajo 1-Muy bajo 2-Baja 2-Baja

Activos de Información Procedimientos de Operación o de Apoyo Alistamiento diario (Planillas) Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de Apoyo Archivo para validación de códigos Vicepresidencia de Operaciones-Propia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Procedimientos de Operación o de Apoyo Archivo de prender y apagar campos diario Vicepresidencia de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de ApoyoArchivos de entrada y salida de los procesos de calidad (Todos los

segmentos)Vicepresidencia de Operaciones-Custodios ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Manuales de Usuario Manuales varios de entrega de información Vicepresidencia de Operaciones ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Bases de Datos contactos de clientes Vicepresidencia de Operaciones-Propias ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en Computadores Relación de usuarios ST y RAI Vicepresidencia de Operaciones ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos o Documentos en Papel Formatos varios para solicitud de claves Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos o Documentos en Papel formatos entrega de correspondencia Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en Computadores comparativos mensuales de cierre Vicepresidencia de Operaciones-Propio Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de Apoyo Formato Validar Certificaciones de Estructura General Vicepresidencia de Operaciones-Propios ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos o Documentos en Papel Documentos Físicos enviados por entidades Vicepresidencia de Operaciones-Custodia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Procedimientos de Operación o de ApoyoFORMATO FINAL - MAESTRO DE CARTERA - PRUEBAS

FACILIDAT A PLANOVicepresidencia de Operaciones-Propios Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en Computadores Resultados Nueva Estructura Vicepresidencia de Operaciones ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Manuales de Usuario Estructuras manuales cifin / procesos de conversión Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Información Almacenada Archivos HSBC Vicepresidencia de Operaciones-Custodia ConfidenciaL 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Procedimientos de Operación o de ApoyoBase de Datos Acces para generación de informes y administración

de Información de calidadVicepresidencia de Operaciones-Propio Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Procedimientos de Operación o de Apoyo Archivos de Validación Extracupos VISA y MASTERCARD Vicepresidencia de Operaciones-custodia ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Software Software Utilitario Validador de archivos para certificaciones Vicepresidencia de Operaciones Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Personas Registrar nombre completo del cargo en la siguiente columna Director de Calidad e Implementaciones Vicepresidencia de Operaciones ConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de Calidad de la información Director de Calidad de Información e

implementacionesConfidenciaL 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columnaEjecutivos de soporte y Servicio Regional ( Cali, Barranquilla,

Medellin, Bogotá) en total son 5

Director de Calidad de Información e


Personas Registrar nombre completo del cargo en la siguiente columna Analista de calidad SéniorDirector de Calidad de Información e


Personas Registrar nombre completo del cargo en la siguiente columna Analista de calidad Director de Calidad de Información e


Personas Registrar nombre completo del cargo en la siguiente columna Analistas de implementaciones 3Director de Calidad de Información e


Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de implementaciones 1Director de Calidad de Información e


Activos de Información Archivos Almacenados en Computadores archivos con claves de produccion encriptadas 136VP OPERACIONES - DIR. CALIDAD E

IMPLEMENTACIONES - CustodioRestringido 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores archivos con claves produccion FTP encriptadas 18VP OPERACIONES - DIR. CALIDAD E

IMPLEMENTACIONES - CustodioRestringido 2-Baja 2-Baja 2-Baja 2-Baja

73


Activos de Información Archivos Almacenados en Computadores Archivos con Planillas de proyectos 38VP OPERACIONES - DIR. CALIDAD E

IMPLEMENTACIONES - CustodioConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores archivos de informes de seguimiento y controlVP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en Computadores Archivos Bases de identificaicones en ambiente de pruebasVP OPERACIONES - DIR. CALIDAD E

IMPLEMENTACIONES - CustodioInterno 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Formatos Actas de incio de Proyectos 101VP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en Computadores Formatos configuracion VPN de cliente 77VP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en Computadores formatos de certificacion de proyectos clientes 373VP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en Computadores Formatos de contratacion de canales con clientes 18VP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en Computadores Formatos de Evaluacion de DesempeñoVP OPERACIONES - DIR. CALIDAD E


Activos de Información Archivos Almacenados en ComputadoresFormatos de Parametrizaciones DCIFRA-DECISOR-EVIDENTE-

WAP

VP OPERACIONES - DIR. CALIDAD E


Activos de Información Manuales de Usuario manuales de implementacion de proyectos y productos 34VP OPERACIONES - DIR. CALIDAD E


Activos de Información Manuales de UsuarioManuales desarrollo Web Service y Datahost diferentes versiones

174

VP OPERACIONES - DIR. CALIDAD E


Activos de Información Material de Capacitación Presentaciones de servicios y productos 43VP OPERACIONES - DIR. CALIDAD E

IMPLEMENTACIONES ConfidenciaL 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en ComputadoresCall center - guarda información de registro de los usuarios que se

comunican por la linea inbound

Vicepresidencia de Operaciones - Dirección de

Servicio al Ciudadano Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Manuales de UsuarioCall center - acceso a la intranet de operaciones - documentacion

completa de procesos



Activos de Información Material de Capacitación Call center - presentaciones descripcion de productos y serviciosVicepresidencia de Operaciones - Dirección de


Activos de Información Información AlmacenadaCall center - informacion de clientes - historico de llamadas -

grabaciones



Activos de Información Información AlmacenadaCall center - bases de datos con informacion de clientes utilizada en

campañas out bound


Servicio al Ciudadano Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Procedimientos de Operación o de ApoyoCall center - Correo electronico - SCIU es el responsable de la

cuenta - pero la administración esta a cargo de Atento



Activos de Información Archivos o Documentos en PapelCAS - soportes de consultas realizadas por terceros - planillas

relacion de documentos



Activos de Información Archivos Almacenados en Computadores

PST correo Computador – Dirección Servicio al Ciudadano CAS -

Archivos con documentacion escaneada por soportes de derechos

de petición y TUTELAS - correo elecronico



Activos Físicos Medios Opticos: CDDiscos CD contenido grabacion de llamadas / guardados en

escritorio



Activos de Software Software UtilitarioCAS - Sistema biometrico - informacion almacenada Direccion de

infraestructura tecnologica



Activos Físicos Medios Opticos: DVD Dispositivos Biometricos Vicepresidencia de Operaciones - Dirección de


Activos de Información Archivos Almacenados en Computadores Respuestas a solicitudes de información por entidades estatalesVicepresidencia de Operaciones - Dirección de


Activos de Información Archivos Almacenados en Computadores Respuestas a solicitudes de clientes Vicepresidencia de Operaciones Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Procedimientos de Operación o de Apoyo Informes de Servicio Vicepresidencia de Operaciones Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Archivos pagos por consignación vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Archivo Pólizas antifraude vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Matrices de Servicio Vicepresidencia de Operaciones Confidencial 4-Alto 3-Medio 3-Medio 3-Medio

Activos de Información Archivos o Documentos en Papel Procesos Servicio al Cliente Midatacredito Vicepresidencia de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Cancelaciones pagos recurrentes vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos o Documentos en Papel Comunicaciones clientes escritas vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Guiones Clientes vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Reversión de pagos vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Casos de fraude vicepresidencia de Operaciones - custodios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Gestión de Bienvenida vicepresidencia de Operaciones - custodios Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – Dirección Servicio al Ciudadano Vicepresidencia Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Software Software Utilitario Aplicativo Novedat Vicepresidencia de Operaciones - Dirección de

Servicio al Ciudadano Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos o Documentos en Papel Formatos soportes de solicitudesVicepresidencia de Operaciones - Dirección de

Servicio al Ciudadano Interno 1-Muy bajo 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – Dirección Servicio al Ciudadano -

[email protected] y funcionarios del Back CAS



74


Fuente: autores

Activos Físicos Equipo de Cómputo: CPUEquipos asignados para uso exclusivo de cada usuario autorizado

en el area



Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete para los insumos requeridos para la operaciónVicepresidencia de Operaciones - Dirección de

Servicio al Ciudadano Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Medios Opticos: CD Información Entregada por proveedores Vicepresidencia de Operaciones - Dirección de


Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinete para almacenamiento de documentos fisicos tramitados

por el area


Servicio al Ciudadano Interno 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Software Software Utilitario Bizagi - Comunicaciones escritas Vicepresidencia de Operaciones - custodio Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Software Software Base Flujo de Trabajo programado a través de SharepointVicepresidencia Operaciones / Dirección

Servicios PersonalizadosRestringido 5-Muy alto 5-Muy alto 3-Medio 4-Alto

Activos de Software Software de Seguridad PGP Dirección Servicios Personalizados Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 4-Alto

Activos de Software Software Base Secure Transport Dirección Servicios Personalizados (Custodio) Restringido 4-Alto 4-Alto 2-Baja 4-Alto

Activos de Información Archivos Almacenados en Computadores Información enviada por los suscriptores para procesar Dirección Servicios Personalizados (Custodio) Restringido 5-Muy alto 5-Muy alto 2-Baja 4-Alto

Activos de Software Software UtilitarioMacro, plantillas y bases de datos existentes para generar

procesos (in house) PAMDirección Servicios Personalizados Confidencial 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto

Activos de Información Información Almacenada Información procesada y enviada a los clientes Dirección Servicios Personalizados Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto

Activos Físicos Medios Opticos: CDPreparación de CD'S para la entrega de información a los

suscriptoresDirección Servicios Personalizados (Custodio) Confidencial 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto

Activos de Información Archivos o Documentos en PapelTodos los requerimientos que nos llegan por parte de los clientes

para nuevos scores o ajuste de los mismosDirección Servicios Personalizados (Custodio) Restringido 5-Muy alto 5-Muy alto 1-Muy bajo 5-Muy alto

Activos de Información Otros medios

Documentos realizados para subir a la Intranet para conocimiento

general de la gente que tiene acceso a la parte de Scores en Linea

de intranet de la empresa

Dirección Servicios Personalizados Confidencial 5-Muy alto 5-Muy alto 3-Medio 2-Baja

Activos de Software Software Utilitario Software (in house) hecho tanto PE y PAM para pruebas de clientes Dirección Servicios Personalizados Restringido 3-Medio 3-Medio 2-Baja 2-Baja

Activos de Información Archivos Almacenados en ComputadoresRequerimientos, scripts de pruebas, archivos de resultados,

soportes, investigaciones y extraccionesDirección Servicios Personalizados Interno 3-Medio 4-Alto 2-Baja 2-Baja

Activos de Información Archivos Almacenados en ComputadoresEquipo de Dirección de Servicios Personalizados (información de

Clientes)Dirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores PST correos de la Dirección de Servicios Personalizados Dirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja

Activos de Información Archivos Almacenados en ComputadoresPST correos de coordinadores y analistas de la Dirección de

Servicios PersonalizadosDirección Servicios Personalizados Confidencial 3-Medio 4-Alto 2-Baja 2-Baja

Personas Registrar nombre completo del cargo en la siguiente columna Directora de Servicios Personalizados Vicepresidencia de Operaciones Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Coordinadora de Procesos Estandar Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Analistas (2) de Procesos Estandar Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Coordinador de PAM Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Analistas (2) PAM Directora de Servicios Personalizados Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

75

Anexo 3. Mercadeo- Inventario de Activos de Información

76

Anexo 3. Mercadeo- Inventario de Activos de Información (Continuación)

Activos de Información Manuales de Usuario Manuales productos Batch Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Material de CapacitaciónPresentaciones genericas para capacitaciones de productos

batchGerente Inteligencia de Negocios Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Información Almacenada PST del correo Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Bases de Camara de Comercio y supersociedadesGerente Inteligencia de Negocios -

CustodioConfidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresArchivos de presupuesto y planeación entregados a la

Vicepresidencia de Mercadeo.

Gerente Inteligencia de Negocios -

CustodioConfidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosArchivo de presentaciones impresas que hacen referencia a

Estudios y productos.Gerente Inteligencia de Negocios Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento batch y almacenamiento de

información a cargo del Análisita Batch.Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto

Activos Físicos Equipo de Cómputo: CPUEquipo de procesamiento y almacenamiento de información a

cargo del Gerente de Inteligencia de negocios.Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto


cargo de Director de Inteligencia de negocios.Gerente Inteligencia de Negocios Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto


cargo de Análista de Inteligencia de negocios.Gerente Inteligencia de Negocios Confidencial 3-Medio 3-Medio 3-Medio 3-Medio


cargo de Análista de Inteligencia de negocios.Gerente de Inteligencia de Negocios Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Gerente Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Analista Batch Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Director Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Analista Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Analista Inteligencia de Negocios Gerencia Inteligencia de Negocios. Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Software Software del CORE Copias programas/rutinas desarrolladas o en desarrollo Gerente de innovación Confidencial 3-Medio 3-Medio 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en ComputadoresCopia de archivos del core utilizados para análisis desarrollos

o investigacionesGerente de innovación Confidencial 3-Medio 3-Medio 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en ComputadoresInformacion en general de gestion como gerencia de

tecnología hasta 2007Gerente de innovación Interno 2-Baja 3-Medio 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en ComputadoresControl de cumplimeinto de SGDs, propuesta,evaluacion,

informacion involucrada en el cumplimeinto de objetivosGerente de innovación Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del gerente de innovacion Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio

Activos de Información Otros medios Blackberry - Gerente de innovacion Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la gerencia de innovacion Gerente de innovación Confidencial 3-Medio 4-Alto 2-Baja 2-Baja

Activos Físicos Equipo de Cómputo: CPU Computador de la gerencia de innovación Gerente de innovación Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en ComputadoresBackup gerencia de innovación realizada por sistemas

internos automáticamenteGerente de innovación Confidencial 4-Alto 3-Medio 3-Medio 2-Baja

Activos de Información Archivos Almacenados en ComputadoresDocumentos de soporte de la metodología del área de

desarrollo de NegocioGerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentos de especificación de soluciones por cliente Gerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentos de especificación de soluciones por cliente Director de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentación de soporte de los proyectos Gerente de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentación de soporte de los proyectos Director de Desarrollo de Negocio Interno 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Material de CapacitaciónMetodología de Desarrollo de Negocio (presentación en

Power Point)Gerente de Desarrollo de Negocio Interno 3-Medio 3-Medio 4-Alto 3-Medio

Activos de Información Material de CapacitaciónEsquemas de soluciones para Adquisición, Mantenimiento y

Cobranzas (presentación en Power Point)Gerente de Desarrollo de Negocio Interno 3-Medio 3-Medio 4-Alto 3-Medio

Activos Físicos Equipo de Cómputo: CPU Computador DELL Director de Desarrollo de Negocio (2) Director de Desarrollo de Negocio (2) Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos Físicos Equipo de Cómputo: CPUComputador Renta Sistemas Gerente de Desarrollo de

NegocioGerente de Desarrollo de Negocio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Escritorio y Gabinete Gerente de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Escritorio y Gabinete Director de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Director de Desarrollo de Negocio (2) Gerente de Desarrollo de Negocio Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna Gerente de Desarrollo de Negocio Vicepresidente de Mercadeo Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Otros medios Blackberry - Gerentes Mercadeo Scores Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Gerente de Desarrollo

de NegocioVicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

77


Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Director de Desarrollo

de NegocioGerente de Desarrollo de Negocio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Inventario de campañas Dirección de comunicaciones Público 3-Medio 2-Baja 2-Baja 2-Baja

Activos de Información Manuales de Usuario Manual de marca DataCrédito Dirección de comunicaciones Interno 4-Alto 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Documentación cambio de marca Experian Dirección de comunicaciones Interno 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Archivos Almacenados en Computadores Briefs de campaña Dirección de comunicaciones Público 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Archivos Almacenados en Computadores Investigaciones servicio, marca y producto Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Logotipos de producto Gerentes de producto Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Información Almacenada Informes consolidados de capacitación virtual Dirección de comunicaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Software Software Utilitario Plataforma cisco weebex Dirección de comunicaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Información Almacenada Informacion consolidada inteligencia competitiva Dirección de comunicaciones Interno 4-Alto 3-Medio 2-Baja 3-Medio

Activos de Información Archivos Almacenados en Computadores Base de datos email marketing Dirección de comunicaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Información Almacenada Actualizacion de contenidos pagina web DataCrédito Dirección de comunicaciones Interno 3-Medio 2-Baja 3-Medio 3-Medio

Activos de Información Otros medios Material promocional marcas Dirección de comunicaciones Interno 3-Medio 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Inventarios de eventos Dirección de comunicaciones Interno 3-Medio 2-Baja 2-Baja 2-Baja

Personas Registrar nombre completo del cargo en la siguiente columna Analista de comunicaciones Dirección de comunicaciones Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Otros medios Blackberry Dirección de comunicaciones Confidencial 3-Medio 2-Baja 3-Medio 2-Baja

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete Dirección de comunicaciones Confidencial 2-Baja 2-Baja 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPU Computador Dirección de comunicaciones Confidencial 3-Medio 4-Alto 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete Dirección de comunicaciones Confidencial 2-Baja 2-Baja 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPU Computador Dirección de comunicaciones Confidencial 3-Medio 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo Dirección de comunicaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Estructura de personal y compensación Dirección Scores Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Indicadores Seguimiento mensual Productos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Manuales de Usuario Manuales de Productos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Material de Capacitación Presentaciones de Productos Director Mercadeo Scores Público 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Requerimientos para Operaciones Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Planes de Inversión Proyectos de Dllo de Nuevos Pdtos Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresDocumentación Dllo Pdtos para Aceptación e

Implementación (recibida a Decision Analytics)Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos Físicos Medios Opticos: DVDDVD con Documentación Final de Dllo Pdtos (recibida a

Decision Analytics)Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Formatos para Operación de Nuevos productos Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en ComputadoresCronogramas y seguimiento a Proyectos de Dllo de Nuevos

PdtosDirector Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Actas seguimiento Proyectos de Dllo de Nuevos Pdtos Director Mercadeo Scores Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Material de Capacitación Presentaciones Pdtos con análisis información clientes Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Tablas de Validación Genéricas de Seguimiento Director Mercadeo Scores (Custodio) Público 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Tablas de Validación Clientes Director Mercadeo Scores (Custodio) Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Bases para calificación Scores de clientes Director Mercadeo Scores (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Archivos con análisis y estudios clientes Director Mercadeo Scores Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Director Mercadeo Scores Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Director Mercadeo

ScoresVicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

78


Fuente: autores

Activos de Información Archivos Almacenados en ComputadoresEstructura de personal y compensación Gerente Producto

Decisor+Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Indicadores Seguimiento mensual Productos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Manuales de Usuario Manuales de Productos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Material de Capacitación Presentaciones de Productos Gerente Producto Mercadeo Decisor+ Público 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Requerimientos para Operaciones Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Requerimientos para IT Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Planes de Inversión Proyectos de Dllo de Nuevos Pdtos Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresDocumentación Dllo Pdtos para Aceptación e

ImplementaciónGerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Formatos para Operación de Nuevos productos Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en ComputadoresCronogramas y seguimiento a Proyectos de Dllo de Nuevos

PdtosGerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Actas seguimiento Proyectos de Dllo de Nuevos Pdtos Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Politicas de Clientes para desarrollo de estrategias Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en ComputadoresArchivos de pruebas y formatos de ceritificación paso a

producción Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo del Gerente de Producto

Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Otros medios Blackberry - Gerente Producto Mercadeo Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente Producto Mercadeo Decisor+ Gerente Producto Mercadeo Decisor+ Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columnaGerente Producto Mercadeo Decisor+

Director Mercadeo Prodcuto Decisor+Gerente Producto Mercadeo Decisor+ Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Requisicion analista producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Soporte y presentaciones seguimiento mensual Producto Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Manuales de Usuario Manuales de Productos Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Material de Capacitación Presentaciones de Productos Gerente Producto Evidente Público 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Manuales de Usuario Manual de WS Gerente Producto Evidente (Custodio) Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Procedimientos de Operación o de Apoyo Instructivos internos de funcionamiento del producto Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Requerimientos para Tecnologia Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresDocumentación de Scripts de pruebas realizadas para

certificacionGerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Formatos Parametrizacion Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Actas seguimiento revision de producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Material de Capacitación Tips de uso de evidente Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresTablas de Validación Genéricas de Evidente Financiero y

TelcosGerente Producto Evidente (Custodio) Público 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Informes de seguimiento a clientes Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Base de Fraude Gerente Producto Evidente Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Gerente de producto Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Analista de producto Gerente Producto Evidente Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del Gerente de Producto Vicepresidente de Mercadeo Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Archivos PST de buzón de correo del Analista de Producto Gerente Producto Evidente Confidencial 4-Alto 3-Medio 3-Medio 3-Medio

Activos de Información Otros medios Blackberry - Gerente Producto Evidente Gerente Producto Evidente Confidencial 4-Alto 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosInformacion de analisis e investigaciones almacenados en

Cajas de carton en la oficina (no hay gabinetes disponibles)Gerente Producto Evidente Interno 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Archivos Almacenados en Computadores Informacion de planeacion de la gerencia Gerente Producto Evidente Confidencial 5-Muy alto 1-Muy bajo 4-Alto 4-Alto

79

Anexo 4. Estratégicos - Inventario de Activos de Información

80

Anexo 4. Estratégicos - Inventario de Activos de Información (Continuación)

Activos de Información Material de Capacitación Presentacion con info confidencial clientes Gerente Regional Antioquia Confidencial 5-Muy alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Manuales de Usuario Manuales de productos Gerente Regional Antioquia Custodio Público 4-Alto 2-Baja 3-Medio 3-Medio

Activos de Información Archivos o Documentos en Papel Correspondencia enviada y recibida de clientes Gerente Regional Antioquia Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Software Software de Consulta No Facturables Clave de consultas para demostracion a clientes Gerente Regional Antioquia Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos Físicos Equipo de Cómputo: CPU Equipo personal y de la Regional Gerente Regional Antioquia Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Key Account Manager (2) Gerente Regional Antioquia Interno 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar Administrativa Gerente Regional Antioquia Interno 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar CAS Gerente Regional Antioquia Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST Correo Computador Gerente Regional Antioquia Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores PST Correo Computador Key Account Manager (2) Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores PST Correo Computador Auxiliar Administrativa Gerente Regional Antioquia Confidencial 4-Alto 5-Muy alto 3-Medio 4-Alto

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Gerente Regional Antioquia Gerente Regional Antioquia Interno 2-Baja 4-Alto 4-Alto 3-Medio

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberrys Key Account Managers (2) Gerente Regional Antioquia Interno 2-Baja 4-Alto 4-Alto 3-Medio

Activos de Información Archivos o Documentos en Papel Documentos - respuestas a clientes Gerente Regional Antioquia Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Archivos Almacenados en ComputadoresFormato propuesta de vinculacion clientes, formatos de

vinculacion de clientes, hojas de ruta, Director Regional Costa y Oriente- Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio


Solicitudes procesos clientes, copia archivo de salida de

productos, bases de datos de los procesos solicitados por

clientes, informacion confidencial desarrollo Filtros de

Politicas de clientes,

Director Regional Costa y Oriente- Custodio Confidencial 5-Muy alto 5-Muy alto 3-Medio 5-Muy alto

Activos de Información Material de CapacitaciónPresentaciones de capacitación sobre producto especificos

para clientesDirector Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Manuales de UsuarioManuales de productos, Supervisor WAP, Decisor, entre

otros.Director Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos o Documentos en PapelFolderes con copia de las hojas de vida de los funcionarios,

temas administrativos de la Regional. Director Regional Costa y Oriente- Custodio Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: Portátiles Equipo de computador asignado a la Regional Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado al KAM Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado al cargo. Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo de Cómputo: CPU Equipo de computador asignado a la Auxiliar Administrativa Director Regional Costa y Oriente Interno

Activos Físicos Equipos de Comunicaciones: ConmutadoresEquipo de Blackberry asignado a la Directora Regional y a la

KAM NorteDirector Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Director Regional Costa y Oriente Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Kam Norte Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Auxiliar Administrativo Regional Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresArchivos PST de buzón de correo de los Computadores –

Integrantes Regional Costa y OrienteDirector Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Documentos copias de contratos clientes Director Regional Costa y Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Directora Regional Eje Cafetero Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Otros mediosCorreo Web correspondiente a Oficina Virtual de la Dirección

Regional Eje CafeteroDirectora Regional Eje Cafetero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Presentación de productos Directora Regional Eje Cafetero - Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: Portátiles Portatil e Impresora asignado al cargo Directora Regional Eje Cafetero - Custodio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Directora Regional Eje Cafetero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Directora Regional Eje Cafetero Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Presentación de productos Directora Regional Oriente - Custodio Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Otros mediosCorreo Web correspondiente a oficina virtual Directora

Regional OrienteDirectora Regional Oriente - Custodio Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Directora Regional Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Directora Regional Oriente Vicepresidente Segmento Estratégico Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna key Account Manager Directora Regional Oriente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

81

Anexo 4. Estratégicos - Inventario de Activos de Información (Continuación)

Fuente: autores

Activos de Información Material de Capacitación Presentacion a clientes de los productos Gerente Regional Occidente Interno 3-Medio 2-Baja 3-Medio 4-Alto

Activos Físicos Equipo de Cómputo: CPU Equipo de Computo CPU asignado a la Gerencia Regional Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- Asignado a la Gerencia Regional Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Presupuesto vs. Cumplimiento de metas Vp de Segmento estrategico Interno 3-Medio 3-Medio 2-Baja 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Gerente Regional Occidente Vp de Segmento estrategico Confidencial 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – Gerente Regional Occidente Gerente Regional Occidente Confidencial 3-Medio 4-Alto 3-Medio 4-Alto

Activos Físicos Equipo de Cómputo: PortátilesComputador portatil para uso de todos los funcionarios de la

RegionalGerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 2-Baja

Activos de Información Archivos Almacenados en Computadores Presentacion propuestas especificas a clientes Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete de la Gerencia Regional Occidente Gerente Regional Occidente Confidencial 2-Baja 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Gerente Regional Occidente Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Material de Capacitación Presentación de productos Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPU computador - KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Material de Capacitación Manuales de los productos Gerente Regional Occidente Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST CORREO COMPUTADOR-KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Formato propuesta de vinculacion clientes Gerente Regional Occidente Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Material de Capacitación Presentación de productos Gerente Regional Occidente Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPU computador - KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry- KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Material de Capacitación Manuales de los productos Gerente Regional Occidente Interno 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST CORREO COMPUTADOR-KAM Gerente Regional Occidente Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

82

Anexo 5. Empresas- Inventario de Activos de Información

83

Anexo 5. Empresas- Inventario de Activos de Información (Continuación)

Activos de Información Archivos Almacenados en Computadores Consolidado de Acuerdos Comerciales GERENTE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Consolidado de CancelacionesGERENTE DE DESARROLLO DE CLIENTES

Interno de Experian 2-Baja 2-Baja 2-Baja 4-Alto

Activos de Información Archivos Almacenados en Computadores Contratos con proveedoresVICEPRESIDENCIA JURIDICA

GERENTE DE VENTAS (Custodio)Interno de Experian 4-Alto 2-Baja 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Control de envío y firma de contratos de clientes GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Control de excepciones por mes GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Control de gastos del Segmento VICEPRESIDENCIA DE PLANEACIÓN Interno de Experian 4-Alto 4-Alto 4-Alto 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna COORDINADOR REGIONAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna DIRECTOR DESARROLLO CLIENTES VICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentación soporte Vinculaciones GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documento Mejoras Bizagi DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documento Mejoras Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documento Mejoras SAP DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentos Procesos del Segmento DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentos soporte de cambios de planes tarifarios GERENTE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna EJECUTIVO DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Estructura de archivos de prospección y otras de Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Formatos de autorización de Novedat VICEPRESIDENCIA SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 3-Medio

Activos de Información Archivos Almacenados en Computadores Formatos modelo de VinculacionesGERENTE DE VENTAS

COORDINADOR REGIONAL - (Custodio)Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – GERENTE DE VENTAS GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – COORDINADOR REGIONAL GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – DIRECTOR DESARROLLO

COMERCIALDIRECTOR DE DESARROLLO COMERCIAL Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – GERENTE DE DESARROLLO

COMERCIALGERENTE DE DESARROLLO COMERCIAL Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – VICEPRESIDENTE SEGMENTO

EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Personas Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de almacenamiento – GERENTE DE VENTAS VICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

Personas Equipo Técnico: Gabinetes y Lugares de Almacenamiento de DocumentosGabinetes de almacenamiento – GERENTE DESARROLLO

CLIENTESVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresGestión de casas de cobranzas

VICEPRESIDENCIA ADMINISTRATIVA Y

FINANCIERA Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Material de Capacitación Guiones de Venta GERENTE DE VENTAS Interno de Experian 4-Alto 2-Baja 2-Baja 3-Medio

Activos de Información Archivos Almacenados en ComputadoresHojas de vida de ejecutivos y candidatos

GERENTE DE VENTAS Interno de Experian 3-Medio 4-Alto 3-Medio 2-Baja

Activos de Información Archivos Almacenados en ComputadoresImágenes de Campañas

VICEPRESIDENCIA DE MERCADEO

GERENTE DESARROLLO DE CLIENTES

(Custodio)

Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en ComputadoresInformación Comités de Gerentes

VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Información de lineamientos comerciales, campañas y políticas GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Archivos Almacenados en ComputadoresInformación de Notas Crédito

VICEPRESIDENCIA ADMINISTRATIVA Y

FINANCIERA - SAP Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Información de presupuesto del Segmento VICEPRESIDENCIA DE PLANEACIÓN Interno de Experian 4-Alto 4-Alto 4-Alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Información de SGD VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Información histórica de Legalizaciones de Contratos GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Información histórica de productividad en ventas GERENTE DE VENTAS Interno de Experian 3-Medio 2-Baja 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Informes de Verificación de Clientes (IVE) GERENTE DE VENTAS Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Material de Capacitación Instructivo Ayuda VentasGERENTE DE VENTAS

Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Inventario de Activos de Información DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Material de Capacitación Manual de uso Data Loader DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 3-Medio 3-Medio

84

Anexo 5. Empresas- Inventario de Activos de Información (Continuación)

Fuente: autores

Activos de Información Material de Capacitación Manual de usuario Sales Force DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 4-Alto 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Modelo de Operación Canal masivo DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Modelo financiero de nuevos proyectos GERENTE DE VENTAS Interno de Experian 4-Alto 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Modelos de oferta comercial GERENTE DE VENTAS Confidencial de Experian 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Ofertas Comerciales para el clienteGERENTE DE VENTAS - Bizagi

COORDINADOR REGIONAL - (Custodio)Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Planeación Estratégica VICEPRESIDENTE SEGMENTO EMPRESAS Interno de Experian 5-Muy alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Política de administración de clientes GERENTE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Política de Cambios de Estado VICEPRESIDENCIA DE OPERACIONES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Política de cancelaciones VICEPRESIDENCIA DE OPERACIONES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Política de Entrega de InformaciónVICEPRESIDENCIA DE OPERACIONES

Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Política de ventas GERENTE DE VENTAS Interno de Experian 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Material de Capacitación Presentación Comités de Operaciones DIRECTOR DE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Presupuesto de VentasGERENTE DE VENTAS

Interno de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – ANALISTA COMERCIAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – ANALISTA SENIOR SEGMENTO

EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – COORDINADOR REGIONAL GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – DIRECTOR DESARROLLO

COMERCIALDIRECTOR DE DESARROLLO COMERCIAL Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – EJECUTIVO DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – GERENTE DE DESARROLLO

COMERCIALGERENTE DE DESARROLLO COMERCIAL Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PST correo Computador – GERENTE DE VENTAS GERENTE DE VENTAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST correo Computador – VICEPRESIDENTE SEGMENTO

EMPRESASVICEPRESIDENTE SEGMENTO EMPRESAS Confidencial de Experian 4-Alto 3-Medio 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Reporte de InformaciónVICEPRESIDENTE SEGMENTO EMPRESAS

Confidencial de Experian 4-Alto 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Tableros de control - Prospección y ventasGERENTE DE VENTAS


Activos de Información Archivos Almacenados en Computadores Tableros de control Cambios de EstadoGERENTE DESARROLLO DE CLIENTES

Interno de Experian 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Tableros de control de Desarrollo de Clientes GERENTE DESARROLLO DE CLIENTES Interno de Experian 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Archivos Almacenados en Computadores Tableros de Control del SegmentoVICEPRESIDENTE SEGMENTO EMPRESAS


Personas Registrar nombre completo del cargo en la siguiente columna VICEPRESIDENTE SEGMENTO EMPRESAS VICEPRESIDENTE DATACREDITO Confidencial de Experian 4-Alto 4-Alto 4-Alto 4-Alto

85

Anexo 6. MIDA- Inventario de Activos de Información

86

Anexo 6. MIDA- Inventario de Activos de Información (Continuación)

Activos de Información Información AlmacenadaDocumenta los casos de investifgación y soporte que se le

evían al porveedor de desarrollo.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Información AlmacenadaContrato con proveedor al cual se le hicieron observaciones y

comentarios relacionados con tecnología.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Procedimientos de Operación o de ApoyoPrueba las fórmulas de los simuladores de Capacidad de

Endeudamiento.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Procedimientos de Operación o de ApoyoFormato de describe los cambios de configuración que se

solicitan a Infraestructura.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Información AlmacenadaDescripción funcional propuesta del nuvo flujo de ingreso a

MiDC.Gerente midatacredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Documentación del SistemaDescripción de la funcionalidad de Renovación Automática en

la página de MiDC y el Módulo Administrativo.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Documentación del SistemaScript que inserta notificaciones a un identificación en el

ambiente de desarrollo para pruebas.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Información AlmacenadaDescripción del proyecto de implementación de nuevo firewall

VSX para MiDC.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Documentación del Sistema Números de tarjetas de prueba de Pagos OnLine. Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Procedimientos de Operación o de Apoyo Formato de orden de proceso para Procesamiento. Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Información AlmacenadaResultado de las pruebas post catalogación de una puesta

en producción asociada a un CQ determinado.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Información Almacenada

Resultado de las pruebas funcionales de MiDC después de

una ventana de mantenimiento ejecutada en una fecha

determinada.

Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto


Script de pruebas de sistema ejecutadas por el desarrollador,

asociadas a un CQ determinado y que se deben adjuntar

como parte de la documentación.



Script de pruebas funcionales ejecutadas por el usuario,

asociadas a un CQ determinado y que se deben adjuntar

como parte de la documentación.



Formato de reporte y seguimiento de incidentes que se

presenta en el Comité Operativo con cierre a un afecha

determinada.


Activos de Información Procedimientos de Operación o de Apoyo Reportes Mensuales de Negocio Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 2-Baja

Activos de Información Procedimientos de Operación o de Apoyo Reportes Diarios de Negocio Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 2-Baja

Activos de Información Procedimientos de Operación o de Apoyo Estudios de Mercadeo Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de Apoyo Modelo Segmentación de Clientes Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 4-Alto

Activos de Información Información Almacenada Back-up Bases de campañas Gerente midatacredito Confidencial 4-Alto 4-Alto 2-Baja 2-Baja

Activos de Información Información Almacenada Presupuesto 2012-2016 Gerente midatacredito Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Procedimientos de Operación o de ApoyoDiseño de Producto: herramientas, contenido, análisis,

diseño gráfico.Gerente midatacredito Confidencial 4-Alto 4-Alto 3-Medio 3-Medio

Activos de Información Información AlmacenadaInformación de Proveedores: acuerdos de confidencialidad,

cotizaciones, ordenes de compra.Gerente midatacredito Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Conversaciones de Chat midatacredito Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Correos recibidos de clientes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Encuestas de servicio Gerente midatacredito Confidencial 4-Alto 2-Baja 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Archivos pagos por consignación Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Archivo Pólizas antifraude Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Cancelaciones pagos recurrentes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos o Documentos en Papel Comunicaciones escritas clientes Midatacredito Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Guiones Clientes Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Reversión de pagos Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Casos de fraude Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Gestión de Bienvenida Gerente midatacredito Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

87

Anexo 7. Jurídica - Inventario de Activos de Información

88

Anexo 7. Jurídica - Inventario de Activos de Información (Continuación)

Activos de Información Archivos Almacenados en Computadores Computador CPU – VP Personas Juridicas VP Personas Juridicas Confidencial 4-Alto 3-Medio 5-Muy alto 5-Muy alto

Activos Físicos Equipo de Cómputo: Portátiles Componentes Infraestructura Tecnológica (2) Analista Proyectos Internos Expert Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos Físicos Medios Opticos: CD CD - Utilidades Analista Proyectos Internos Expert Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 5-Muy alto

Activos Físicos Medios Opticos: DVD DVD - Instalación Sistema Operativo Analista Proyectos Internos Expert Interno 1-Muy bajo 1-Muy bajo 1-Muy bajo 5-Muy alto

Activos Físicos Medios Magnéticos: Discos Discos - Backup Analista Proyectos Internos Expert Confidencial 5-Muy alto 5-Muy alto 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos A-Z Contabilidad Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Contratos de Clientes y Proveedores Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Carpetas de Informes Gerente Administrativa y de Operaciones Interno 2-Baja 2-Baja 2-Baja 2-Baja

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Vicepresidente de Personas Juridicas VP Datacredito Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Gerente Administrativa y de Operaciones - Byington VicePresidente de Personas Juridicas Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo -Gerente de Ventas - Byington VicePresidente de Personas Juridicas Confidencial 5-Muy alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Analistas de sistemas - Byington VicePresidente de Personas Juridicas Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Contadora - Byington Gerente Administrativa y de Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Asistente Administrativa - Byington Gerente Administrativa y de Operaciones Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columnaPerfil Cargo - Coordinadoras (Investigacion y Analisis, Camara, Control de

Calidad) - ByingtonGerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Analistas (Investigacion, Digitación) - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Referencistas - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Asistentes (Calidad y Envios, Radicacion) - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Traductora - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Directorio - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Mensajero - Byington Gerente Administrativa y de Operaciones Interno 3-Medio 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Coordinadora Nal. de Servicio al Cliente - Byington Gerente Comercial Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Ejecutivos de Cuenta SIE - Byington Gerente Comercial Interno 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Perfil Cargo - Ejecutivos de Cuenta PEC - Byington Gerente Comercial Interno 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Información Mercadeo Datacredito 2008-2011 VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Informes de seguimiento de desempeño semanal y mensual VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Planeación VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Presupuestos VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Información de RRHH VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Información de Byington VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores PJ: Información de negociaciones con Camaras VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Seguimiento mensuales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Comunicaciones VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Información relacionada a Experian VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores PJ: Investigaciones de Mercado VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores PJ: Junta Directiva Personas Jurídicas VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores PJ: Junta Filiales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Presentaciones mensuales VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Información de productos VP Persona Juridica Confidencial 5-Muy alto 5-Muy alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en Computadores PJ: Propuestas a clientes VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Información de segmentos VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores PJ: Seguimientos a actividades de la unidad VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Documentos internos VP Persona Juridica VP Persona Juridica Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Vicepresidente Personas Jurídicas Vicepresidente Personas Jurídicas Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente Administrativa y Operaciones Gerente Administrativa y Operaciones Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinete del Gerente de Ventas - Byington Gerente de Ventas - Byington Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

89

Anexo 8. Comercial- Inventario de Activos de Información

90

Anexo 8. Comercial- Inventario de Activos de Información (Continuación)

Fuente: autores

Activos Físicos Equipo de Cómputo: Portátiles Blackberry - Director Comercial Sector Financiero Director comercial Sector financiero Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en Computadores Listas de contactos de clientes Director comercial Sector financiero Confidencial 4-Alto 5-Muy alto 2-Baja 4-Alto

Activos de Información Archivos Almacenados en Computadores Copias de contratos y cartas de tarifas Director comercial Sector financiero Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna Director comercial Sector financiero VP Comercial Confidencial 5-Muy alto 5-Muy alto 4-Alto 5-Muy alto

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la Dirección Comercial del Sector Financiero Director comercial Sector financiero Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo Técnico: Gabinetes y Lugares de Almacenamiento de Documentos Gabinetes de la Gerencia Comercial del Sector Financiero Gerente comercial Sector financiero Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos de Información Archivos Almacenados en Computadores Archivo PST Buzón de Correo Telcos Gerente Comercial Telcos Confidencial 4-Alto 4-Alto 3-Medio 4-Alto

Activos de Información Material de CapacitaciónPresentaciones Comerciales y Capacitaciones especídicas

para los clientesGerente Comercial Telcos Confidencial 2-Baja 2-Baja 3-Medio 4-Alto

Activos de Información Otros medios Propuestas Comerciales Gerente Comercial Telcos Confidencial 4-Alto 5-Muy alto 4-Alto 4-Alto

Activos de Información Otros medios Informes de Resultados a la VP Comercial Gerente Comercial Telcos Confidencial 3-Medio 3-Medio 3-Medio 3-Medio

Activos Físicos Equipo de Cómputo: CPU Computador Gerente Comercial Telcos Confidencial 4-Alto 3-Medio 4-Alto 4-Alto

Activos Físicos Equipo de Cómputo: Portátiles Blackberry Gerente Comercial Telcos Confidencial 2-Baja 3-Medio 2-Baja 2-Baja

Personas Registrar nombre completo del cargo en la siguiente columna Gerente Comercial Telcos VP Comercial Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna Directora Comercial Gerente Comercial Telcos Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto

Personas Registrar nombre completo del cargo en la siguiente columna Key Account Manager Gerente Comercial Telcos Confidencial 5-Muy alto 4-Alto 3-Medio 5-Muy alto

Activos de Información Archivos Almacenados en Computadores Documentos de planeacion Gerente Regional Sector Finaciero Interno 3-Medio 3-Medio 2-Baja 3-Medio

Activos de Información Manuales de Usuario Manuales de Producto DataCréditoGerente Regional Sector Finaciero -

CustodioInterno 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Material de Capacitación Presentaciones publicas de productos DataCréditoGerente Regional Sector Finaciero -

CustodioPúblico 1-Muy bajo 1-Muy bajo 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en Computadores Propuestas comerciales Gerente Regional Sector Finaciero Interno 2-Baja 3-Medio 2-Baja 2-Baja

Activos de Información Archivos Almacenados en Computadores Informacion transaccional de clientes Gerente Regional Sector Finaciero Interno 1-Muy bajo 2-Baja 1-Muy bajo 1-Muy bajo

Activos de Información Archivos Almacenados en Computadores PST correo computador Gerente Regional Sector Finaciero Confidencial 4-Alto 3-Medio 3-Medio 3-Medio

Activos Físicos Equipos de Comunicaciones: Conmutadores Blackberry Gerente Regional Sector Finaciero Confidencial 2-Baja 3-Medio 3-Medio 3-Medio

Personas Registrar nombre completo del cargo en la siguiente columna Gerente Regional Sector Finaciero Vicepresidencia Comercial Confidencial 3-Medio 3-Medio 1-Muy bajo 2-Baja

91

Anexo 9. Planeación - Inventario de Activos de Información

92

Anexo 9. Planeación - Inventario de Activos de Información (Continuación)

Fuente: autores

Activos de Información Información Almacenada GAP Report + ExperianVicepresidente de Planeación

DataCreditoConfidencial 4-Alto 5-Muy alto 3-Medio 4-Alto

Activos de Información Información Almacenada CS GBL - ExperianVicepresidente de Planeación


Activos de Información Información Almacenada Presentaciones e informes a ExperianVicepresidente de Planeación


Activos de Información Información Almacenada Cierres de Ingresos Mi DataCréditoVicepresidente de Planeación


Activos de Información Información Almacenada Proyección Ingreso Diferido Mi DataCréditoVicepresidente de Planeación


Activos de Información Información Almacenada Planeación Estratégica (FY14 - 16)Vicepresidente de Planeación


Activos de Información Información Almacenada Amortizaciones Segmento EmpresasVicepresidente de Planeación


Activos de Información Información Almacenada Precierres de DataCréditoVicepresidente de Planeación

DataCreditoConfidencial 3-Medio 5-Muy alto 4-Alto 5-Muy alto

Activos de Información Información Almacenada Control de Notas CréditoVicepresidente de Planeación

DataCreditoInterno 3-Medio 3-Medio 4-Alto 5-Muy alto

Activos de Información Información Almacenada Contratos con proveedoresVicepresidente de Planeación

DataCreditoInterno 4-Alto 4-Alto 5-Muy alto 4-Alto

Activos de Información Información Almacenada Cierres de Rotacion de carteraVicepresidente de Planeación

DataCreditoConfidencial 4-Alto 3-Medio 5-Muy alto 4-Alto

Activos de Información Información Almacenada Presupuesto de gastos de DataCréditoVicepresidente de Planeación

DataCreditoInterno 4-Alto 4-Alto 5-Muy alto 5-Muy alto

Activos de Información Archivos Almacenados en ComputadoresPST correo computador - Analista de Gastos

Datacredito

Vicepresidente de Planeación

DataCreditoConfidencial 4-Alto 4-Alto 4-Alto 4-Alto

Activos de Información Archivos Almacenados en ComputadoresPST correo computador - Analista de Planeacion Estrategica

Datacredito




PST correo computador - Coodinador Sales Force Datacredito

120612.pst, ASotomayor_2007.pst, ASotomayor.pst,

ASotomayor_hasta_09Sep2006.pst, Correo07072010.pst




PST correo Computador - Vicepresidente de Planeación

DataCredito

Años: 2010, 2011, 2012



Personas Registrar nombre completo del cargo en la siguiente columnaVicepresidente de Planeación

DataCreditoVicepresidente DataCredito Confidencial 4-Alto 4-Alto 4-Alto 4-Alto

Personas Registrar nombre completo del cargo en la siguiente columna Analista de Planeacion Estrategica DatacreditoVicepresidente de Planeación


Personas Registrar nombre completo del cargo en la siguiente columna Analista de Gastos DatacreditoVicepresidente de Planeación


Personas Registrar nombre completo del cargo en la siguiente columna Coodinador Sales Force DatacreditoVicepresidente de Planeación


93

Anexo 10. Guía de referencia inventario de activos de información

GUÍA DE REFERENCIA DE INVENTARIO DE ACTIVOS

Activos:

Lo que tiene valor para la organización. Tipos de activos, entre ellos:

Activos de información: bases de datos y archivos almacenados en los computadores, documentación del sistema, manuales de usuario, material de capacitación, procedimientos de operación o de apoyo, planes de contingencia, procedimientos de recuperación, información almacenada, archivos o documentos en papel o en otros medios.

Activos de software: aplicaciones, sistemas, herramientas de desarrollo y utilitarios.

Activos físicos: equipo de cómputo (CPU, monitores, portátiles, módems), equipos de comunicaciones (routers, conmutadores, fax, contestadores automáticos), medios magnéticos (cintas y discos), equipo técnico (UPS, aire acondicionado), gabinetes y lugares de almacenamiento de documentos y medios de comunicación, medios ópticos (CD, DVD).

Intangibles: activos intangibles como la reputación y la imagen de la organización.

Personas: las personas, incluyendo sus cualidades, habilidades y experiencia.

Servicios: Los servicios de computación y comunicaciones, servicios generales, tales como calefacción, iluminación, electricidad y refrigeración. Nivel de importancia del activo en el proceso

Muy Alto: El activo es esencial para el proceso. El compromiso de confidencialidad y / o la integridad y/o la disponibilidad de los activos es muy crítico y detiene el proceso, comprometiendo la calidad, la seguridad, la realización de negocios y la imagen de la empresa, por lo que debe ser corregida tan pronto como sea posible.

Alto: El activo se requiere para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad de los activos es crítica y puede interrumpir el proceso, poner en peligro la realización de negocios e imagen de marca. El activo y el proceso pueden no estar disponibles. El proceso continúa sin que por

94

un corto tiempo y/o de baja calidad, por lo que debe ser corregida tan pronto como sea posible.

Media: El activo es importante para el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo puede ser crítico, pero el proceso continúa hasta que el mismo se vea comprometido, por tiempo indefinido, sin comprometer la calidad y la seguridad. o Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa, pero debe ser corregido.

Baja: El activo tiene poca importancia en el proceso. El compromiso de la confidencialidad, integridad y / o la disponibilidad del activo no es crítica, pero el proceso continúa hasta que el mismo se vea comprometido, sin comprometer la calidad y la seguridad. o Este compromiso no interrumpe el proceso, no afecta la continuidad del negocio y la imagen de la empresa y la imagen de la empresa.

Muy bajo: El activo tiene una importancia muy baja en el proceso. El compromiso de confidencialidad y / o la integridad y / o la disponibilidad del activo no es crítico para el proceso, ni para el activo en cuestión. Este compromiso no interrumpe en cualquier momento, el proceso ya que el proceso se opera sin el activo. No hay necesidad de protección y cuidados especiales. Nivel de sensibilidad de la propiedad de la información.

1. Confidencialidad: Muy alto: Si la confidencialidad está en peligro, se producirá:




Pérdida de ventaja competitiva sobre la competencia. Las consecuencias pueden ser accesibles en virtud del derecho internacional, nacional, estatal, regional y local. Alto: Si la confidencialidad está en peligro, puede ocurrir:

Pérdida financiera



95

Pérdida de ventaja competitiva sobre la competencia Todo esto se debe en parte manejable. Las consecuencias pueden ser accesibles a los niveles nacional, estatal, regional y local. Medio: Si la confidencialidad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera



Pérdida de ventaja competitiva sobre la competencia. Todo esto está sujeto al propietario. Las consecuencias pueden ser accesibles en los niveles estatales, regionales y locales.

Bajo: Si la confidencialidad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera




Todo esto es fácilmente manejable.

Las consecuencias pueden ser accesibles en la empresa nacional.

Muy baja: Si la confidencialidad está en peligro, no hay consecuencias para la empresa y en cualquier proceso de negocio.

2. Disponibilidad

Muy alto: Si la disponibilidad se ve comprometida, se producirá:






96

Alto: Si la disponibilidad se ve comprometida, puede ocurrir:

Pérdida financiera




Todo esto es parcialmente manejable.


Medio: Si la disponibilidad se ve comprometida, en algunos casos puede ocurrir:

Pérdida financiera




Todo esto está sujeto al propietario.

Las consecuencias de la falta de disponibilidad repercuten a nivel estatal, regional y local.

Bajo: Si la disponibilidad se ve comprometida, en pocos casos puede ocurrir:

Pérdida financiera




Todo esto es fácilmente manejable. Las consecuencias de la inactividad impactando enfoque interno.

Muy baja: Si la disponibilidad se ve comprometida, no hay consecuencias para la empresa y en cualquier proceso de negocio.

3. Integridad:

Muy alto: Si la integridad se ve comprometida, se producirá:




97


Las consecuencias de la pérdida de la integridad repercuten a nivel internacional, nacional, estatal, regional y local.

La credibilidad del proceso en que opere el activo, se ve muy afectada.

Alto: Si la integridad está en peligro, puede ocurrir:

Pérdida financiera




Todo esto es parcialmente manejable.

Las consecuencias de la pérdida de la integridad repercuten a nivel nacional, estatal, regional y local.

La credibilidad del proceso en que opere el activo, se ve afectada.

Medio: Si la integridad está en peligro, en algunos casos puede ocurrir:

Pérdida financiera




Todo esto está sujeto al propietario.

Las consecuencias de la pérdida de la integridad repercuten a nivel estatal, regional y local.

La credibilidad del proceso en que opere el activo, puede verse afectada.

Bajo: Si la integridad está en peligro, pueden ocurrir en algunos casos:

Pérdida financiera




Las consecuencias de la pérdida de la integridad repercuten a nivel interno de la empresa.

98

La credibilidad del proceso en que opere el activo puede verse afectado en algunos casos.

Muy baja: Si la integridad está en peligro, no hay consecuencias para la empresa y para cualquier proceso de negocio.

Anexo 11. Acta de Proyecto TI

Anexo 11. Acta de proyecto TI (Continuación)

Anexo 12. Acta de Proyecto Operaciones

Anexo 12. Acta de Proyecto Operaciones (Continuación)

Anexo 13. Acta de Proyecto Mercadeo

.

Anexo 13. Acta de Proyecto Mercadeo (Continuación)

Anexo 14. Acta de Proyecto Estratégicos

Anexo 14. Acta de Proyecto Estratégicos (Continuación)

Anexo 15. Acta de Proyecto Empresas

Anexo 15. Acta de Proyecto Empresas (Continuación)

Anexo 16. Acta de Proyecto Credit

Anexo 16. Acta de Proyecto Credit. (Continuación)

Anexo 17. Acta de Proyecto Jurídica

Anexo 17. Acta de Proyecto Jurídica (Continuación)

Anexo 18. Acta de Proyecto Comercial

Anexo 18. Acta de Proyecto Comercial (Continuación)

Anexo 19. Acta de Proyecto Planeación

.

Anexo 19. Acta de Proyecto Planeación (Continuación)

inventario y clasificaciÓn de activos de …

Documents