Determinar e manter a propriedade para segurança de ativos - manequins

Para fins de segurança de ativos, dentro de uma organização, proprietários e guardas de sistemas, dados e negócios ou missão (mais especificamente, uma linha de negócios ou aspecto de missão) estão implicitamente ou explicitamente atribuídos.

As organizações devem definir explicitamente proprietários e guardiões de ativos sensíveis para evitar qualquer confusão ou ambiguidade em relação a papéis, responsabilidades e responsabilidade.

Um proprietário normalmente é atribuído a um nível executivo ou de gerência seniores dentro de uma organização, como diretor ou vice-presidente. Um dono não possui o bem legal que lhe foi atribuído; o proprietário é, em última instância, responsável pela salvaguarda dos ativos afetados e pode ter responsabilidade fiduciária ou ser pessoalmente responsável por negligência na proteção desses ativos sob o conceito de devida atenção.

As responsabilidades típicas de um proprietário podem incluir

• Determinar níveis de classificação para ativos atribuídos
• Determinar política de acesso ao ativo
• Manutenção de estoques e contabilização de ativos atribuídos
• Revisar periodicamente Níveis de classificação de ativos atribuídos para possíveis desvalorizações, destruições ou eliminação
• Delegando a responsabilidade diária (mas não a responsabilidade) e funções a um custodiante

A custodiante é o indivíduo que tem responsabilidade diária de proteger os ativos atribuídos. Os administradores de sistemas de TI ou administradores de rede geralmente ocupam esse papel. As responsabilidades típicas podem incluir

• Realizar backups regulares e restaurar sistemas e / ou dados, quando necessário
• Garantir que as permissões apropriadas sejam implementadas corretamente em sistemas, diretórios e arquivos e fornecer proteção suficiente para o recurso
• Atribuir novo usuários para grupos de permissão apropriados e revogando privilégios de usuário, quando necessário
• Manutenção de documentos classificados ou outros materiais em um cofre ou sala de arquivos seguros

A distinção entre proprietários e guardiões, particularmente em relação a suas diferentes responsabilidades, é um conceito importante na informação gerenciamento de segurança. O proprietário dos dados tem a responsabilidade final pela segurança dos dados, enquanto o detentor de dados é responsável pela administração de segurança do dia a dia.