Activos de información son ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y las personas, que son al fin y al cabo las que en última instancia generan, transmiten y destruyen información, es decir dentro de un organización se han de considerar todos los tipos de activos de información.
Diagnóstico
Inventario
Clasificación
Tratamiento
- Hay que tener presente que esos activos están directa o indirectamente relacionados con los procesos de información de la nuestra empresa, por lo que, si no los identificamos correctamente no podremos conocer si existe información crítica o no, o si están asociados a procesos que deben ser protegidos especialmente
El inventario de activos que se va a utilizar para la gestión de la seguridad no debería duplicar otros inventarios, pero sí que debe recoger los activos más importantes e identificarlos de manera clara y sin ambigüedades. El inventario de activos es la base para la gestión de los mismos, ya que tiene que incluir toda la información necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. La información que describe a un activo debe contener como mínimo:
Recolectar los activos de cada área de la organización
Clasificación de los activos.
Definir los propietarios.
- La valoración nos indicará el nivel de criticidad del activo para la organización y deberá reflejarse en la matriz de riesgos correspondiente.
- Podemos considerar tres criterios de valoración en función de la propiedad de la información: Confidencialidad (C), Integridad (I), Disponibilidad (D). Y, en base a ello puntuar cada criterio: 1 (Muy bajo); 2 (Bajo); 3 (medio); 4 (Alto) y 5 (Muy alto).
- Obtener el valor final, para lo que haremos un promedio de los tres valores indicados anteriormente.
- Tasar el activo partiendo del dato anterior y usando una tabla de valores de activo como la adjunta.
Quieres saber más sobre Ciberseguridad
Revisa el siguiente paso para hacer un Plan director de seguridad