1 / 285

PROYECTO DE INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Agosto 30 de 2013

PROYECTO DE INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Agosto 30 de 2013 . Contenido. Objetivo .

pooky
Download Presentation

PROYECTO DE INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Agosto 30 de 2013

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PROYECTO DE INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Agosto 30 de 2013

  2. Contenido

  3. Objetivo Construir la matriz de clasificación de los activos de información de acuerdo con los requerimientos de confidencialidad definidos y formular el plan de acción para su protección con las soluciones tecnológicas existentes en la ANH

  4. Objetivos Específicos • Definir las escalas y criterios de clasificación de la confidencialidad de la información • Realizar el inventario y clasificar los activos de información. • Establecer el flujo y los métodos de intercambio de información entre áreas internas y con terceros. • Identificar los métodos de almacenamiento de la información sensible de La ANH y los mecanismos de protección tanto existentes como recomendados. • Identificar apropiadamente los propietarios – responsables – por la protección de la información sensible de La ANH. • Revisión de los niveles de acceso existentes sobre los activos críticos de información y recomendaciones sobre los mismos. • Revisión y actualización de la política de seguridad relativa a la prevención y control de Fugas de Información. • Definición de las estrategias de prevención y control de fuga de información. • Afinamiento de los mecanismos de protección en las herramientas de seguridad con que cuenta La ANH.

  5. Metodología • Entrevistas con líderes de las áreas de la ANH • Diligenciamiento del formato de personal autorizado a acceder a carpetas compartidas • Revisión del Catálogo de Información y de Aplicaciones documentado por PWC • Revisión de permisos sobre carpetas de segundo nivel con el Administrador de Servidores • Levantamiento de atributos de la información localizada en los servidores de almacenamiento • Análisis y tabulación de la información recolectada

  6. Resultados • Se cuenta con la matriz de Procesos – Sistemas – Bases de Datos – Servidores • Matriz de accesos a las carpetas compartidas en la red • Estadísticas de uso de carpetas compartidas en cinco (5) grandes directorios: SFILE, SSERVICIOS, LITOTECA, SVDATAFILE Y PETROTECNICA • Cruce del catalogo de información contra ubicación en carpetas compartidas en la red • Anexo de políticas de seguridad para terceros proveedores de servicios de la ANH

  7. USO ACTUAL DEL ALMACENAMIENTO

  8. Destinación prevista para Servidores de Archivos • SFILE:Almacena archivos de usuarios de la ANH. • SFILE\ SPERFILES: Directorios Mis Documentos y Escritorio de todos los usuarios (618 carpetas). • SSERVICIOS: Almacena información de los aplicativos y Áreas de la ANH. • SVDATAFILE: Almacenalos archivos de correo de los usuarios(pst) • LITOTECA: Almacena la información correspondiente a la Litoteca de Bucaramanga. • PETROTECNICA: Almacena la información del área técnica.

  9. Estadística por tipo de archivos SFILE * Las estadísticas son aproximadas por cálculo manual debido a que el tamaño de la carpeta impidió la ejecución de herramientas.

  10. Estadística por tipo de archivos SSERVICIOS

  11. Estadística por tipo de archivos SVDATAFILE

  12. Estadística por tipo de archivos LITOTECA

  13. Estadística por tipo de archivos PETROTECNICA

  14. Resumen Almacenamiento

  15. EscalasDefinidas en la ANH para la Clasificación de la Confidencialidad FUENTE: ANH-AI-PR01 CLASIFICACION, ETIQUETADO Y PROTECCION DE LA INFORMACION

  16. RESUMEN CLASIFICACIÓN DE LA INFORMACION • En general la mayoría de la información se clasifica en “Pública” • Existe información que durante su generación / procesamiento debe ser Confidencial y una vez oficializada se convierte en Pública. El actual manejo del almacenamiento dificulta configurar estas reglas en el DLP. Ejemplos: Informes de control interno, Tesorería

  17. RESUMEN GESTION DE ACCESOS • Carencia de unidades organizacionales para el directorio activo y organización del almacenamiento • Carpetas compartidas entre áreas tienen varios dueños: Múltiples usuarios, de diferentes áreas, con máximos permisos (ejemplo Aplicacion_regalias, Tesoreria, ContratosFinanciera) • Catalogo de servicios e información se encuentra organizado por procesos del negocio. Almacenamiento de la información se encuentra organizado entre una mezcla de procesos, áreas y usuarios particulares. • Heterogeneidad en el nombre de las áreas a las que pertenece un usuario. Ejemplos: • Comunidad y medio ambiente y comunidades y medio ambiente • Control interno y control interno disciplinario • Lo anterior explica las dificultades en la atención a requerimientos de permisos. Toca asignarlos usuario por usuario y carpeta por carpeta.

  18. Recomendaciones • Evaluar la posibilidad de llevar la información más antigua a “sistemas históricos” para liberar espacio en almacenamiento y reducir labores de gestión sobre información que no se utiliza frecuentemente y definir el procedimiento para consultas sobre la misma. • Implementar el esquema de unidades organizacionales para la denominación de carpetas alineado con un ajuste en directorio activo. • La recomendación anterior facilitará las labores de gestión de acceso, uso del almacenamiento, reglas en firewalls y activación del DLP. • Definir los dueños de la información utilizando los datos de usuarios y permisos existentes sobre las carpetas de red. Los usuarios no reportaron carpetas a las que tienen acceso actualmente

  19. ANEXO Estadísticas y permisos por carpetas en servidores de archivos

  20. PRINCIPALES ESTADISTICAS SFILE

  21. Diagnóstico SFILE • En promedio se tiene un 73% de información con más de 2 años de haber sido modificada. • La mayoría de la información se encuentra en formato PDF • La denominación de carpetas no obedece a un estándar. Se tienen nombres por tipo de información (ej. Contratos, reservas) y nombres de usuarios (edilsa.aguilar, juan.restrepo)

  22. Sfile\_Reservas Tamaño: 18GB Tipos de archivos almacenados: Edad de archivos

  23. Sfile\_Reservas CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  24. Sfile\ADMINISTRACION DE PERSONAL Tamaño: 5.3 GB Tipos de archivos almacenados: Edad de archivos

  25. Sfile\ADMINISTRACION DE PERSONAL CONTENIDO: Información de planta de personal, evaluaciones de desempeño, situaciones administrativas, resoluciones de novedades de personal e historias laborales. USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  26. Sfile\Aplicacion_Regalias Tamaño: 32 MB Tipos de archivos almacenados: Edad de archivos

  27. Sfile\Aplicacion_Regalias CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  28. Sfile\Automatico Tamaño: 18.6 GB Tipos de archivos almacenados: Edad de archivos

  29. Sfile\Automatico CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  30. Sfile\CAPACITACION BIENESTAR Y DLLO Tamaño: 5 GB Tipos de archivos almacenados: Edad de archivos

  31. Sfile\CAPACITACION BIENESTAR Y DLLO CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  32. Sfile\Comisiones de Servicio Tamaño: 345 MB Tipos de archivos almacenados: Edad de archivos

  33. Sfile\Comisiones de Servicio CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  34. Sfile\COMISIONES SERVICIOS Tamaño: 869 MB Tipos de archivos almacenados: Edad de archivos

  35. Sfile\COMISIONES SERVICIOS CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  36. Sfile\Contralorias Tamaño: 1 GB Tipos de archivos almacenados: Edad de archivos

  37. Sfile\Contralorias CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: La información es confidencial durante su generación y después se convierte en publica.

  38. Sfile\Contratos Tamaño: 791 MB Tipos de archivos almacenados: Edad de archivos

  39. Sfile\Contratos CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  40. Sfile\Direccion Sistemas Tamaño: 44 GB Tipos de archivos almacenados: Edad de archivos

  41. Sfile\Direccion Sistemas CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  42. Sfile\Entrega Tamaño: 13.5 GB Tipos de archivos almacenados: Edad de archivos

  43. Sfile\Entrega CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  44. Sfile\Formas de Producción Tamaño: 5.8 GB Tipos de archivos almacenados: Edad de archivos

  45. Sfile\Formas de Producción CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  46. Sfile\Garantias E&P y TEAS Tamaño: 815 MB Tipos de archivos almacenados: Edad de archivos

  47. Sfile\Garantias E&P y TEAS CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  48. Sfile\Gestion de la Informacion Tecnica Tamaño: 88 GB Tipos de archivos almacenados: Edad de archivos

  49. Sfile\Gestion de la Informacion Tecnica CONTENIDO: USUARIOS CON ACCESO AUTORIZADO NIVEL DE CONFIDENCIALIDAD: Pública

  50. Sfile\Gestión Documental Tamaño: 6 GB Tipos de archivos almacenados: Edad de archivos

More Related