activos sensibles identificados y protegidos adecuadamente

1

Estoy revisando el cuestionario de elementos cibernéticos de IASME y una de las preguntas es

  

¿Están todos los activos sensibles identificados (p. ej., marcas de protección) y adecuadamente protegidos?

He marcado en Google las marcas de protección que se refieren al nivel de clasificación de los gobiernos (alto secreto, secreto, etc.).

Mi pregunta es: ¿las pequeñas empresas utilizarían estas mismas clasificaciones o simplemente dirían que algo es confidencial? Además, ¿hay otras formas de identificar activos sensibles?

Lo siento si esta pregunta es muy básica, solo estoy un poco confundido con esta pregunta. Gracias por cualquier ayuda por adelantado.

    
pregunta Anonymous5642 13.02.2017 - 11:01
fuente

1 respuesta

1

El gobierno utiliza C, S y TS como restricción general de nivel de material, pero pensar que eso es todo lo que usan sería una simplificación en exceso. Otras cosas en juego son las políticas de "Necesidad de saber". Básicamente, solo porque tenga la autorización de TS no significa que pueda acceder a todo lo marcado como TS. Hay demasiados para enumerarlos aquí, pero básicamente significa que terminas con un mayor nivel de complejidad que un simple sistema de tres marcas.

En cuanto a las pequeñas empresas, clasifique la información según el daño potencial si se divulga al público. ¿Se avergonzaría la empresa? ¿Podrían sus competidores entender cómo administran su compañía? ¿Es una fórmula secreta que está detrás de toda la empresa? También debe considerar las repercusiones legales de la divulgación de información protegida (registros médicos, etc.).

Entonces, responda a su pregunta: las empresas generalmente deben tener al menos un nivel confidencial para proteger la información de los empleados. No hay nada que impida que una compañía que siente que necesita categorías adicionales las cree. Sin embargo, en la vida cotidiana, la mayoría de las empresas renuncian a la idea "C / S / TS" y solo usan compartimentos de información.

Por ejemplo, es posible que Apple no clasifique a sus empleados en niveles de confianza (puede que no lo sepan), pero ciertamente compartimentan la información del proyecto solo para los departamentos necesarios.

Piense en el método del gobierno en un extremo del espectro y la "red de confianza" de una mafia en el otro. Hay más de una forma de despellejar a un gato. Una empresa va a elegir la que tenga el mejor riesgo de recompensa "con suerte".

    
respondido por el Alex 13.02.2017 - 19:39
fuente

Lea otras preguntas en las etiquetas