Ciberseguridad
¿De qué hablamos al referirnos al inventario de activos de información?
Activos de información son ficheros y bases de datos
En el contexto citado, un activo de información podríamos decir que es ‘algo que una organización valora y, por lo tanto, debe proteger’. Según la norma ISO 55000, un activo es algo que posee valor potencial o real para una organización. El valor puede variar entre diferentes organizaciones y sus partes interesadas y puede ser tangible o intangible, financiero o no financiero.
Activos de información son ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y las personas, que son al fin y al cabo las que en última instancia generan, transmiten y destruyen información, es decir dentro de un organización se han de considerar todos los tipos de activos de información.
Gestión de Activos de Información
Por tanto, cuando hablamos de inventario de activos de información nos referimos a contar con una lista de recursos (como hardware, software, archivos, procesos, personas, etc..) que contienen información valiosa para la empresa.
Diagnóstico
Revisión de la normatividad y metodologías. Organización para la gestión de activos. Definición de metodologías. Necesidades de cumplimiento.
Inventario
Identificación y valoración de activos. Definición de propiedades de los activos. Consolidación y validación.
Clasificación
Definición de la clasificación. Consolidación y validación. Reporte.
Tratamiento
Definición del tratamiento por nivel de clasificación. Definición de proyectos de tratamiento.
¿Para qué sirve un inventario de activos?
Nos permite visualizar los activos de nuestra empresa, conocer cuáles son los más críticos y, en base a ello, determinar qué medidas de seguridad debemos implementar para reducir el nivel de riesgos de exposición.
- Hay que tener presente que esos activos están directa o indirectamente relacionados con los procesos de información de la nuestra empresa, por lo que, si no los identificamos correctamente no podremos conocer si existe información crítica o no, o si están asociados a procesos que deben ser protegidos especialmente
Cómo realizar un inventario de activos de información.
El inventario de activos que se va a utilizar para la gestión de la seguridad no debería duplicar otros inventarios, pero sí que debe recoger los activos más importantes e identificarlos de manera clara y sin ambigüedades. El inventario de activos es la base para la gestión de los mismos, ya que tiene que incluir toda la información necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. La información que describe a un activo debe contener como mínimo:
Recolectar los activos de cada área de la organización
Hacer una plantilla con tres columnas y solicita a cada encargado que registre ahí los activos de su área. Esas tres columnas deben ser: Nombre del activo, descripción del activo, sistema involucrado.
Clasificación de los activos.
Cada quién deberá clasificar los activos en tres columnas adicionales: Tipo de Activo. (Información, Software, Físico, Intangibles, Personas o Servicios). Tipo de Ubicación. (Lógica, física o lógica-física). Nivel de Confidencialidad. (No clasificado, Confidencial de los empleados, Confidencial de la compañía o Confidencial del cliente) o (Confidencial, Restringido, Uso interno o Público.
Definir los propietarios.
Agrega una séptima columna para asignar PROPIETARIO del Activo. Indica el puesto o rol del propietario. En su defecto, indicar el nombre y apellido del mismo.
Valoración de los activos
- La valoración nos indicará el nivel de criticidad del activo para la organización y deberá reflejarse en la matriz de riesgos correspondiente.
- Podemos considerar tres criterios de valoración en función de la propiedad de la información: Confidencialidad (C), Integridad (I), Disponibilidad (D). Y, en base a ello puntuar cada criterio: 1 (Muy bajo); 2 (Bajo); 3 (medio); 4 (Alto) y 5 (Muy alto).
- Obtener el valor final, para lo que haremos un promedio de los tres valores indicados anteriormente.
- Tasar el activo partiendo del dato anterior y usando una tabla de valores de activo como la adjunta.
Quieres saber más sobre Ciberseguridad
Revisa el siguiente paso para hacer un Plan director de seguridad
