Diseño, Desarrollo e Implementación para la Seguridad en la Tecnología

ACTIVIDAD 1.-PRIORIDAD DE CONFIDENCIALIDAD

Dra. Irma Yolanda Díaz

Maestría en Ciberseguridad

Presentan:

Ing. Isis Sarai Espinosa Lozano

Colima, col. A 10 de diciembre de 2022

Actividad 1.-Escoja tres áreas de su empresa y realice un listado de la
información que maneja (asociada a clientes, productos, personal, mercado,
producción, etc. y organícelas de acuerdo a su prioridad de confidencialidad.

“La confidencialidad es la garantía de que la información personal será protegida

para que no sea divulgada sin consentimiento de la persona. Dicha garantía se lleva
a cabo por medio de un grupo de reglas que limitan el acceso a ésta información.
“(Dirección de Investigación, 2017)

La clasificación de la información según ISO 27001 es un proceso en el que la

organización evalúa los datos que posee y el nivel de protección que cada uno
requiere. (ESCUELA EUROPEA DE EXCELENCIA, 2017)

Proceso para clasificar la información según ISO 27001

Para realizar una buena gestión de la información a clasificar, es necesario que se

lleve a cabo el siguiente proceso de cuatro pasos:

Paso 1.-Incluir la información en el Inventario de Activos.

El primer paso consiste en recopilar la información en un inventario y conocer a la
perfección el tipo de información que disponemos así como el responsable de la
misma.
Otro aspecto a conocer es el formato o medio de la información, ya sean bases de
datos, documentos en formato papel, correos electrónicos y otros medios de
almacenamiento.

Paso 2.-Clasificar la información.

La norma ISO 27001 no establece niveles de clasificación concretos, sino que, cada
empresa, en base a sus criterios particulares y las generalidades de las
características de su industria tiene que definir sus criterios de clasificación, los
cuales deberían incluir los siguientes niveles:
Confidencial: cuando el nivel de confidencialidad de la información se incremente.
Acceso restringido a la alta dirección
Restringido: para niveles medios de confidencialidad. Directores de área y
empleados clave tienen acceso.
Uso interno: información con un nivel bajo de confidencialidad. Relativo a la
información accesible solo los miembros de la organización, pero en cualquier nivel.
Público: cuando todas las personas, dentro y fuera de la organización, pueden ver
la información.

3. Etiquetar la información
Una vez que se haya clasificado la información, el propietario del activo debe crear
un sistema para que esta sea etiquetada. Dado que la norma ISO 27001 no es
prescriptiva en cuanto al etiquetado, la empresa definirá una serie de pautas a
seguir para cada tipo de activo de información.
Un ejemplo puede ser etiquetar la portada de los documentos en papel, o enumerar
en una columna especial para la información que se encuentre en la base de datos.
4. Manejo y tratamiento seguro de la información
Finalmente, se deben establecer una serie de reglas sobre cómo proteger cada tipo
de información en función de su confidencialidad y formato.
Por lo que se definirá la ubicación de esta y los accesos correspondientes.

Áreas a trabajar

Para la realización de esta actividad se seleccionaron tres áreas de una institución

educativa, se realizó una pequeña entrevista para tener conocimiento sobre el
proceso que se realiza y así tener una mejor prioridad de confidencialidad.

Área: Oficina de adquisiciones.

El proceso comienza en la elaboración de la requisición, posteriormente pasa a la
autorización de la misma por parte de los directivos correspondientes.
Una vez autorizada se pasa al departamento de compras para la cotización con tres
proveedores y realizar un análisis para definir al que mejor convenga, se realiza la
compra, así como la facturación y entrega de producto.
El departamento de adquisiciones realiza la Nota de Entrada y Salida respectiva.
Finalmente se pasan los datos al área de financieros para la realización del pago al
proveedor.
La requisición contiene los siguientes datos: Fecha de elaboración, folio de
requisición, departamento que realiza la compra, clave presupuestal, cantidad,
servicio, descripción, firmas

Área: Oficina de Organización Bibliográfica.

Esta oficina se encarga de procesar los libros para su entrada al centro de
Información.
El proceso comienza con la llegada de libros de parte del departamento de compras.
Se entregan los libros junto con la Nota de Entrada y Salida emitida por el
departamento de adquisiciones.
Se proceden a dar de alta los datos del libro en un documento de Excel, se prosigue
a copiarlos a una base de datos en Access para después pasarlos al sistema.
Una vez en sistema se sellan los libros con los números de adquisición y sellos
oficiales.
Finalmente se realiza la relación de libros procesados y se consiguen las firmas de
los jefes del Departamento de Recursos de Materiales Y Servicios así como el de
Centro de Información.
Los datos que se utilizan durante el proceso son: fecha de adquisición, código de
área, información del libro (título del libro, número de edición, autor, editorial, ISBN,
fecha de edición, lugar de edición, número de páginas) número de libro, número de
etiqueta, si el material es comprado o donado, la clasificación asignada, Número de
Entrada y Salida, precio.

Área: Docencia.
El docente se encarga de realizar la planeación de su clase, prepararla, impartirla y
realizar las evaluaciones correspondientes.
En este caso nos centraremos en la información que el docente necesitará para dar
de alta las calificaciones en el sistema, los datos son: Nombre completo, numero de
control, carrera, materia, calificación por actividad, calificación final de la unidad,
observaciones.

Área: Atención médica.

Adicionalmente, los estudiantes y trabajadores cuentan con atención médica dentro
de las instalaciones.
En este caso nos centraremos en la información que el doctor necesitará para
brindar atención médica, los datos son: Nombre completo, número de control,
carrera, alergias, síntomas y diagnóstico.

Se realizó la siguiente clasificación de prioridad:

Oficina de Oficina de Docencia. Atención

adquisiciones. Organización médica.
Bibliográfica
1 Departamento que Precio Nombre Nombre
realiza compra Completo completo
2 Servicio/Producto Fecha de Calificación final Alergias
adquisición
3 Cantidad Comprado o donado Observaciones Síntomas
4 Clave presupuestal Número de Entrada Calificación por Diagnostico
y Salida unidad
5 Fecha de Información del libro Calificación por Número
Elaboración actividad control
6 Descripción Clasificación Materia Carrera
asignada
7 Folio de Número de Libro Numero de
Requisición control
8 Firmas de Numero de etiqueta Carrera
autorización

Conclusión

La Norma ISO 27001 permite a las empresas una clasificación de la información

basado en sus necesidades, pero sí se requiere que exista la comunicación entre
las diversas áreas o departamentos para crear una política de clasificación que
todos entiendan y sea funcional.
 Referencias

Dirección de Investigación. (28 de Diciembre de 2017). Confidencialidad de la

información. Obtenido de
https://www.incmnsz.mx/opencms/contenido/investigacion/comiteEtica/confi
dencialidadInformacion.html#:~:text=La%20confidencialidad%20es%20la%
20garant%C3%ADa,Porqu%C3%A9%20es%20importante%20la%20confid
encialidad%3F

ESCUELA EUROPEA DE EXCELENCIA. (27 de AGOSTO de 2017). Clasificación

de la información según ISO 27001. Obtenido de
https://www.escuelaeuropeaexcelencia.com/2019/08/clasificacion-de-la-
informacion-segun-iso-27001/