Presentación

La Política de Protección de la Información de Oracle establece los requisitos para clasificar y manejar la información pública y confidencial.

Oracle categoriza la información en cuatro clases: Pública, Interna, Restringida y Altamente Restringida, y cada clasificación requiere niveles correspondientes de controles de seguridad, como requisitos de cifrado para datos no públicos:

• La información “Pública” no es sensible y no se considera confidencial para Oracle.
• La información “interna de Oracle” debe mantenerse confidencial para Oracle.
• La información “Oracle Restringida” y “Oracle Altamente Restringida” debe mantenerse confidencial para Oracle, y el acceso dentro de Oracle debe estar restringido con base en la necesidad de saber, con requisitos adicionales de manejo para la información “Oracle Altamente Restringida”.

Capacitación y concientización

La capacitación obligatoria de Oracle instruye a los empleados sobre la Política de Protección de la Información de la empresa. Esta capacitación también evalúa la comprensión del empleado sobre las clasificaciones de activos de información y los requisitos de manejo. Los empleados deben completar esta capacitación al ingresar a Oracle y deben repetirla periódicamente. Los reportes permiten a los gerentes hacer seguimiento del cumplimiento de la capacitación en sus organizaciones.

Gestión y retención de datos de Oracle

Oracle tiene requisitos formales para la gestión de retención de datos. Estas políticas operativas definen requisitos por tipo y categoría de datos, incluyendo ejemplos de registros en varios departamentos de Oracle.

Inventario de sistemas

Desarrollar y mantener un inventario preciso de sistemas es un elemento necesario para una gestión eficaz de los sistemas de información en general y de la seguridad operativa. La Política de Inventario de Activos de Sistemas de Información de Oracle exige que cada Línea de Negocio (LoB) mantenga inventarios precisos y completos de sistemas de información, hardware y software. Esta política aplica a todos los activos de información almacenados en cualquier sistema de Oracle, incluyendo tanto sistemas empresariales como servicios en la nube.

La política de Oracle especifica los datos (o campos) que deben mantenerse sobre estos sistemas de información en el inventario aprobado. La información técnica y comercial requerida se clasifica en las siguientes categorías:

• Detalles de hardware como fabricante, número de modelo y número de serie del equipo, sistema o dispositivo
• Ubicación física del centro de datos/instalación y ubicación dentro del edificio
• Detalles del software como aplicaciones y versiones asociadas
• Clasificación de activos de información
• Información de propiedad a nivel organizacional.