Gestión de Activos e Información

Questions and Answers

¿Quiénes pueden acceder a la información confidencial en una corporación?

Solo los empleados nuevos

Cualquier persona con un código de acceso

Solo la alta dirección y empleados de confianza (correct)

Todos los empleados

El acceso a la información clasificada como sensible requiere más de un conjunto de credenciales.

False

¿Qué procedimientos pueden ser necesarios para borrar adecuadamente los datos confidenciales de un medio?

Degaussing o procedimientos de sobrescritura

La información pública puede ser accedida por _____ empleados.

todos

Emparejar los niveles de clasificación con sus características:

Confidencial = Acceso restringido a la alta dirección Sensitivo = Acceso limitado a un grupo medio de empleados Público = Acceso disponible para todos los empleados Auditoría detallada = Resulta monitoreada diariamente

¿Cuál de los siguientes no se considera un activo dentro de una organización?

Tiempo

La información es típicamente el activo más valioso para una organización.

True

¿Qué dos preguntas fundamentales se abordan al discutir la seguridad de los activos?

¿Qué tenemos? y ¿Por qué deberíamos preocuparnos?

Un activo de información puede ser tanto los datos como el dispositivo en el que se __________.

almacenan

Relaciona cada término con su respectiva descripción:

Activos = Cualquier cosa de valor para una organización Clasificación de datos = Proceso de categorizar información según su importancia Ciclo de vida de los datos = Fases por las que pasa la información desde su creación hasta su destrucción Cumplimiento de datos = Requisitos regulatorios sobre el manejo de la información

¿Cuál de las siguientes afirmaciones sobre los activos de información es correcta?

La información debe ser manejada según ciertos requisitos.

La información siempre mantiene su utilidad en una organización.

False

¿Qué se necesita para proteger un activo de información?

Conocimiento sobre su existencia y su importancia.

¿Cuál es el objetivo principal de la clasificación de datos?

Indicar el nivel de confidencialidad, integridad y disponibilidad que se requiere

La crítica de la información se refiere al impacto de la pérdida de datos en los procesos de negocio fundamentales de la organización.

True

¿Qué tipo de medidas de seguridad se deben aplicar en datos críticos?

Medidas de seguridad más extremas y costosas

La falta de protección de datos críticos puede llevar a que una organización __________.

quede fuera del negocio

¿Cuál de las siguientes organizaciones sufrió una pérdida significativa de información?

Todas las anteriores

La protección de datos se trata únicamente de la confidencialidad.

False

¿Qué pasó con Code Spaces en 2014?

La compañía tuvo que cerrar debido a la eliminación de sus repositorios de código.

Relaciona las organizaciones con las consecuencias de la pérdida de datos:

Equifax = Pérdida de confianza Marriott International = Compromiso de datos personales Sina Weibo = Problemas de reputación Code Spaces = Cierre de operaciones

¿Qué tipo de información se considera 'top secret'?

Información que podría causar daño serio a la seguridad nacional si se divulga.

La información clasificada como 'unclassified' es considerada sensible.

False

¿Cuál es la característica principal de la información controlada no clasificada (CUI)?

Es sensible pero no secreta y no se puede hacer pública legalmente.

La información militar que, de ser divulgada, podría causar daño grave a la seguridad nacional se clasifica como ______.

top secret

Empareja los siguientes niveles de clasificación de datos con sus descripciones:

Confidencial = Representa la información más sensible Secreto = Podría causar daño serio a la seguridad nacional Top secret = Podría causar daño grave a la seguridad nacional Unclassified = Información no sensible

¿Cuál de los siguientes se considera información sensible pero no secreta?

Información controlada no clasificada (CUI)

Los datos de salud se clasifican como 'secret'.

False

La clasificación 'sensible' se refiere a información que no puede ser divulgada legalmente, también conocida como ______.

CUI

¿Cuál es un riesgo al usar software no licenciado?

Exposición a responsabilidad financiera

El software puede ser instalado múltiples veces sin problemas de licencia.

False

¿Qué puede suceder si un empleado informa sobre el uso de software no licenciado?

La organización puede ser reportada al proveedor y enfrentar cargos financieros.

El uso de software _______ es peligroso porque puede contener puertas traseras.

pirata

Empareja el tipo de software con su consecuencia:

Software licenciado = Uso legal y conforme Software no licenciado = Riesgo de multas Software pirata = Posibilidad de fugas de datos Actualizaciones de software = Mejora de seguridad

¿Cuál es una práctica recomendada para la gestión de activos de software?

Realizar un inventario regular del software instalado

Toda la información sobre software instalado no necesita ser monitorizada.

False

Menciona una diferencia clave entre el software y el hardware en el contexto de gestión de activos.

El software puede ser copiado o instalado múltiples veces.

Study Notes

Gestión de Activos

• Un activo es todo lo que tiene valor para una organización, incluyendo: personas, socios, equipos, instalaciones, reputación e información.

• La información es a menudo el activo más valioso.

• Es fundamental proteger los activos pues el conocimiento es esencial para la organización.

• Se debe determinar la importancia de los activos.

Tipos de información

• La clasificación de la información ayuda a determinar la seguridad que se necesita.

• La clasificación es similar a la categorización establecida en el Marco de Gestión de Riesgos NIST.

• La clasificación de la información ayuda a categorizar los datos según su sensibilidad.

• La información sensible puede causar daños significativos a la organización si se revela a personas no autorizadas.

• La clasificación de la información también categoriza los datos según su criticidad.

Niveles de clasificación

• La clasificación de información debe tener un sistema de manejo y destrucción según el nivel de clasificación.

• Se utilizan diferentes niveles de clasificación, incluyendo: "No Clasificado", "Controlado", "Secreto", "Top Secret".

• Las organizaciones pueden elegir cualquier nivel de clasificación.

Ejemplos prácticos

• Existen diferencias entre los niveles de clasificación. Se pueden utilizar esquemas específicos como "Confidencial", "Secreto", "Top Secret" u otros nombres.

• Cada organización debe decidir el esquema de clasificación que mejor se adapte a sus necesidades.

• Los esquemas de clasificación pueden determinar diferentes protocolos de manejo y destrucción de la información.

• La información confidencial podría requerir múltiples personas para acceder por medio de códigos. Puede requerir un análisis detallado.

• La información sensible tiene acceso y manejo menos restringido.

• La información pública está disponible para todos.

Inventario de software

• Los activos de software se pueden copiar o instalar múltiples veces.

• Las licencias de software requieren una gestión adecuada para evitar problemas legales.

• El uso de software no licenciado puede generar responsabilidades financieras.

• El uso de software pirateado es ilegal e inseguro.

Description

Este cuestionario explora la gestión de activos y la clasificación de la información en las organizaciones. Aprenderás sobre la importancia de proteger los activos, especialmente la información sensible, y los diferentes niveles y tipos de clasificación necesarios para garantizar la seguridad. Ideal para aquellos que buscan comprender los marcos de gestión de riesgos.