Activos de información

Son los elementos que no tienen valor para una organización y que no necesitan protección

Son todos los elementos que tienen valor para una organización y que deben ser protegidos, como datos, software, hardware, redes, etc.

Son únicamente los datos almacenados en papel

Incluyen únicamente el hardware de la organización

Los activos de información no son relevantes en la auditoría de sistemas

Los activos de información solo se utilizan para evaluar la calidad del software en auditoría de sistemas

Los activos de información son fundamentales en la auditoría de sistemas para identificar riesgos, evaluar controles de seguridad, detectar vulnerabilidades y garantizar la integridad, confidencialidad y disponibilidad de la información.

La importancia de los activos de información en auditoría de sistemas es secundaria

archivos de música, fotos familiares, recetas de cocina

bases de datos, archivos de configuración, contraseñas, registros de actividad, código fuente de aplicaciones

Activos materiales, activos inmateriales y activos virtuales

Activos financieros, activos físicos y activos digitales

Activos visibles, activos invisibles y activos automatizados

Activos tangibles, activos intangibles y activos humanos

Realizar copias de seguridad una vez al mes

No capacitar al personal en seguridad informática

Implementar controles de acceso, cifrar datos sensibles, realizar copias de seguridad, monitorear y auditar el acceso, capacitar al personal.

No implementar controles de acceso

Los activos de información son responsabilidad exclusiva de los usuarios.

Los activos de información son solo importantes para la velocidad de los sistemas.

Los activos de información no tienen relevancia en seguridad informática.

Los activos de información son los elementos que se deben proteger en seguridad informática para garantizar la confidencialidad, integridad y disponibilidad de los datos, sistemas, redes y aplicaciones.

Fuga de energía, sobrecalentamiento del servidor, error de software

Pérdida de datos, acceso no autorizado, alteración de la información, interrupción del servicio, robo de información confidencial

Enumerar activos, ignorar amenazas, subestimar vulnerabilidades, no calcular riesgo, no tomar medidas de seguridad.

Identificar activos, determinar amenazas, evaluar vulnerabilidades, calcular riesgo, priorizar medidas de seguridad.

Clasificar activos, minimizar amenazas, evaluar vulnerabilidades, estimar riesgo, implementar medidas de seguridad irrelevantes.

Identificar activos, exagerar amenazas, subestimar vulnerabilidades, no calcular riesgo, priorizar medidas de seguridad ineficaces.

Los activos de información tangibles no requieren protección contra ciberataques

Los activos de información tangibles son más fáciles de actualizar que los intangibles

Los activos de información tangibles son más seguros que los intangibles

Los activos de información tangibles tienen una forma física, como servidores, discos duros, etc., mientras que los activos de información intangibles no tienen una forma física, como software, bases de datos, etc.

HIPAA, GDPR, PCI DSS

FISMA, ITIL, HIPAA

ISO/IEC 27001, ISO/IEC 27002, COBIT, NIST SP 800-53

COSO, ITIL, GDPR