Gestión y clasificación de activos de información

Por María Camila Arévalo J., el 01 de mayo, 2020

h_gestion_clasificacion_activos_informacion

Los encargados de la seguridad de la información se deben regir bajo una serie de lineamientos, con el fin de llevar a cabo la gestión y clasificación de los activos de la organización para conocer en detalle que es lo que se posee, cómo se deben usar, quiénes son los responsables, el rol que se le da a cada uno y a su vez otorgarle una clasificación. 

De acuerdo a la ISO 27001 es necesario realizar un inventario y clasificación de los activos de información como cumplimiento al Modelo de Seguridad y Privacidad de la Información el cual se estipula de la siguiente forma:

  • Inventario de activos: se deben identificar todos los activos de la compañía y a su vez crear un inventario de estos.
  • Propiedad de activos: cada activo identificado debe contar con un responsable o propietario. 
  • Clasificación de la información: se debe realizar su respectiva clasificación dependiendo del requerimiento legal, valor, criticidad, divulgación y modificación.
  • Manipulación de información: se debe contar con procedimientos que permitan etiquetar la información y que funcione con el sistema de clasificación que definió la empresa. 

¿Cómo hacer el inventario de activos de información?

  • Obtener la información del activo como el nombre, los procesos, observaciones, entre otras.
  • Nivel de clasificación de la información.
  • Ubicación de la información física y digital,
  • Conocer quien es su propietario y responsable.
  • Quiénes son los usuarios y qué derechos tienen sobre esta información. 

Sistema de clasificación 

Hay que tener en cuenta que el sistema de clasificación de un activo de información se basa en las propiedades de confidencialidad, integridad y disponibilidad como principios para el tratamiento de los datos, y de igual manera también evalúa el impacto que tendría en caso de qué no se respetara alguno de estos fundamentos. 

Es importante saber que a cada propiedad se le deben establecer criterios específicos acerca de cómo va a ser el tratamiento del activo. Cada entidad puede definir los niveles que permitirán determinar el valor del activo. Normalmente se usan tres niveles: alta, media y baja para saber cuáles activos se deben tratar con prioridad.

  • Alta: cuando los activos de información tienen clasificación en dos o en todas las propiedades (confidencialidad, integridad, y disponibilidad). 
  • Media: cuando la clasificación de la información de una de sus propiedades es alta o nivel medio.
  • Baja: cuando la clasificación de la información en todos sus niveles es baja. 

¿Cómo clasificar los activos de información?

Para realizar la clasificación de activos de la información, es importante que vaya de la mano del MSPI que es el proceso en el que se implementa la seguridad de la información. La gestión de los activos debe estar basada en la norma ISO 27001 para darle cumplimiento al siguiente listado

  • Inventario de activos: una vez se identifiquen todos los activos relacionados a la información se debe crear un inventario que permita tener los datos en un solo lugar y de manera organizada.
  • Propiedad de activos: cada activo debe tener un responsable y un propietario.
  • Uso de activos: se debe contar con políticas y controles que indiquen de qué manera se debe llevar a cabo el uso de la información y de los activos.
  • Devolución de activos: una vez el propietario finalice la relación con la organización debe hacer entrega de todos estos datos sin conservarla. 
  • Clasificación de información: esta se debe hacer de acuerdo a los requerimientos, ya sean legales, de valor, criticidad, susceptibilidad o divulgación. 
  • Etiquetado de información: se debe contar con procedimientos que permitan etiquetar la información y que funcione con el sistema de clasificación que definió la empresa. 
  • Manejo de activos: contar con procedimientos para el manejo de estos teniendo como referente el sistema de clasificación que adopto la empresa. 

Descargue el eBook gratuito sobre seguridad de la información de acuerdo a ISO 27001

Temas:Gestion de RiesgoSeguridad de la informaciónActivo de información

Comentarios