Clasificación de Activos CISM
CISM Domain 3: Program Development

Clasificación de Activos

Sensibilidad vs. Criticidad: Dos dimensiones distintas que definen la estrategia de protección y recuperación.

Asset Ownership El Dueño define el valor
Concepto Core

Sensibilidad

Sensitivity

Se refiere al nivel de daño que sufriría la organización si la información se divulga sin autorización (Confidencialidad). Clasifica los datos en niveles como Público, Interno, Confidencial o Secreto.

Métrica Clave Pérdida Financiera o de Reputación por Fugas (Data Leak).
Impacto en Examen "Dicta los controles de acceso, cifrado y etiquetado físico/lógico de la información."
Concepto Core

Criticidad

Criticality

Se refiere a qué tan esencial es el activo para las operaciones del negocio (Disponibilidad e Integridad). Define cuánto tiempo puede estar el negocio sin este activo antes de sufrir un daño irreparable.

Métrica Clave RTO (Recovery Time Objective) y RPO (Recovery Point Objective).
Impacto en Examen "Dicta la prioridad en el Plan de Recuperación de Desastres (DRP) y la redundancia necesaria."

MATRIZ DE DECISIÓN | Casos de Estudio

Caso A: Alta / Alta

Base de Datos de Clientes

Requiere cifrado máximo (Sensibilidad) y Alta Disponibilidad / Cluster (Criticidad).

Caso B: Alta / Baja

Plan Estratégico a 5 años

Extremadamente secreto (Sensibilidad), pero si el servidor falla un día, el negocio sigue operando (Baja Criticidad).

Caso C: Baja / Alta

Sitio Web Público (e-Commerce)

Los datos son públicos (Baja Sensibilidad), pero si el sitio cae, se pierde dinero cada segundo (Alta Criticidad).

Regla de Oro CISM

"El Information Security Manager (CISM) facilita el proceso, pero es el Data Owner quien clasifica el activo basándose en el impacto al negocio."

Workflow

Clasificación Definición de Controles Implementación Monitoreo.

Tip de estudio: Relaciona siempre Sensibilidad con 'Confidencialidad' y Criticidad con 'Disponibilidad/BIA'.