¿Cómo documentar un activo de información?

Por María Camila Arévalo J., el 24 de abril, 2020

h_como_documentar_activo_informacion

Empecemos este artículo definiendo los activos de información, que son aquellas herramientas que se usan dentro del sistema de gestión de seguridad de la información, con el fin de que las empresas puedan cumplir a cabalidad con los objetivos propuestos desde la alta dirección.

Gestionar los activos de información depende de diseñar, establecer e implementar los procesos para identificar, valorar y clasificar el tratamiento de los activos más importantes de la compañía. 

De acuerdo a la norma ISO 27001, los activos de información son "algo que una organización valora y por lo tanto debe proteger".

Cuáles podrían ser los activos de información

  • Información que se utiliza en diferentes procesos de la compañía tanto digitales como manuales. 
  • La infraestructura, el hardware y el software que se usa para almacenar la información.
  • Las herramientas que se utilizan para el manejo de la información
  • Los instrumentos de desarrollo y de soporte a los sistemas de información. 
  • Personas a cargo que son los encargados de manejar y manipular la información.

Etapas para documentarlos

  1. Inventario: Se deben identificar los activos de información más importantes de la empresa con el fin de poder clarificarlos y darles la relevancia necesaria.
  2. Propiedad: Una vez se identifiquen, estos activos deben tener un propietario o responsable y este será el encargado de definir los controles de protección que se le van a aplicar
  3. Directrices de clasificación: Se debe clasificar dependiendo el tipo de información,  si es legal, financiera, de operaciones, entre otras. 
  4. Tratamiento: Se deben implementar las mejores prácticas de seguridad, darle el manejo adecuado a la información siguiendo los protocolos establecidos anteriormente. 

Hay que tener en cuenta que los activos de información están relacionados directa e indirectamente con amenazas, impacto, vulnerabilidades y riesgos internos y externos.

Tipos de activos de información

Digitales

  • Correos electrónicos. 
  • Copias de seguridad.
  • Base de datos.
  • Ecommerce.
  • Dispositivos de almacenamiento. 
  • Servicios web.
  • Nube.
  • Infraestructura digital.

Tangibles

  • Personas.
  • Financieros.
  • Legales.
  • Estrategia y comerciales. 
  • Otros medios de almacenamiento

Intangibles

  • Conocimiento de información.
  • Relacionamiento.
  • Licencias.
  • Conocimientos técnicos.
  • Imagen corporativa.
  • Marca.
  • Reputación comercial.
  • Confianza de los clientes.
  • Ética.

Operativos

  • Servidores.
  • Computadores.
  • Dispositivos de red.
  • Dispositivos de mano e incrustados.
  • Nube.

Servicios TI

  • Hardware.
  • Enlaces.
  • Dispositivos de comunicación.
  • Tecnología.
  • Administración de procesos.
  • Software.

Valoración de Activos

Aunque no es requisito de la norma ISO 27001, se recomienda cuantificar la importancia de los activos de información. Y esto se puede hacer a través de tres variables: confidencialidad, integridad y disponibilidad que también se conoce como "CID". A continuación le decimos que significa cada uno de estos. 

  • Confidencialidad: Es aquella información que es clave y confidencial como su nombre lo indica en la continuidad de negocio. En caso de que esta llegue a ser revelada puede traer consecuencias muy grandes a la organización, poniendo en peligro la reputación y trayendo consigo grandes amenazas.
  • Integridad: La información del activo debe ser completa y legal , por ende no se debe alterar por nada del mundo o ser manipulada por un tercero, ya que esto causaría errores dentro del sistema.
  • Disponibilidad: Es la posibilidad de poder acceder a la información cuando se necesite. En caso de que el activo no este disponible puede provocar que la necesidad se detenga la producción del negocio. 

Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

 

Temas:Gestion de RiesgoGobierno, Riesgo y Cumplimiento (GRC)Activo de información

Comentarios