La política de gestión de activos es un documento esencial en un Sistema de Gestión de Seguridad de la Información basado en el estándar ISO 27001. Lo es porque los activos de información, que pueden ser financieros, humanos, tangibles e intangibles, son el objeto de varios controles incluidos en el Anexo A de la norma.
La norma solicita una política de gestión de activos. Satisfacer los requisitos de ISO 27001 tendría que ser una razón suficiente para esmerarse en la tarea. El objetivo es importante y por eso vale la pena entender con claridad, que es un activo en el contexto que nos ocupa, que implica su gestión y qué incluir en una política de gestión de activos para satisfacer las necesidades de las partes interesadas y cumplir con el requisito de ISO 27001.
¿Qué es una política de gestión de activos?
ISO 27001 es un estándar para la Gestión de la Seguridad de la Información. Para lograr el gran objetivo, el estándar incorpora unos controles que, en la práctica, conforman el escudo de seguridad de la organización.
Esto permite entender la importancia de los activos, y por supuesto de su gestión adecuada. El primer problema aparece con la identificación de esos activos. ¿Qué es un activo de la información?
Un activo de información, en el contexto de ISO 27001 es todo elemento, recurso, canal, persona, equipo o intangible, que tiene la capacidad para incidir en la generación, almacenamiento, transmisión o gestión en general de datos e información de la organización o de sus terceros.
Los ordenadores son los primeros objetos a los que las personas atribuyen la etiqueta de activo de la información. Pero son muchos más. Es importante recordar que la Seguridad de la Información no se restringe a los medios electrónicos, digitales o virtuales.
La información en papel, o transmitida por medio oral, también entra dentro del espectro de protección de ISO 27001. Así, un anaquel o una habitación destinada a contener archivos en papel, se convierte en un activo de información.
La política de gestión de activos es un documento que permite a la Alta Dirección alcanzar tres objetivos:
- Definir un inventario de activos de la información en la organización.
- Expresar lo que desea que se haga con esos activos para garantizar la Seguridad de la Información.
- Asignar responsabilidades para la adecuada gestión de los activos.
- Establecer propietarios de activos.
- Establecer procedimientos para modificar procesos o procedimientos creados para proteger la información.
¿Qué incluir en la política de gestión de activos en ISO 27001?
La política de gestión de activos busca salvaguardar la integridad de los elementos que tienen incidencia directa en cualquier etapa de generación, tratamiento, almacenamiento, transmisión, comunicación o eliminación de datos o información de la organización o de sus terceros.
Bajo esta premisa, lo mínimo que debe incluir la política de gestión de activos en ISO 27001 es:
1. Inventario de activos
Una persona a la que se le asigne la tarea de crear un inventario de activos de la información puede verse tentada a ser en extremo minuciosa y producir un inventario tan detallado, que incluya un lápiz, un bloc de post-it o, incluso, un tablero que eventualmente se utiliza para destacar las fechas de cumpleaños de los empleados.
Por eso es importante la palabra “relevantes”. Se trata de discriminar, etiquetar y clasificar activos que tengan una incidencia real y determinante en la seguridad de la información.
Algunos de esos activos son tangibles, evidentes, palpables… otros no. ISO 27001 habla de activos humanos (personas), financieros, de información e intangibles. Sin embargo, simplificando la tarea, se podrían etiquetar dos grandes categorías: tangibles e intangibles:
Activos tangibles
- Dispositivos, ordenadores, teléfonos inteligentes y toda clase de aparatos electrónicos que tienen la capacidad para almacenar, modificar y transmitir información o datos.
- Personas que operan dispositivos, crean documentos o almacenan información en papel o en medios digitales.
- Personas que tienen acceso a información sensible.
- Redes y sistemas que apoyan la transmisión y el almacenamiento de información.
- Instalaciones físicas en las que se almacena información, de forma digital o en papel.
- Cajas fuertes, armarios, u otro tipo de estructuras que contienen información en cualquier presentación, incluidas las salas que contienen servidores informáticos.
Activos Intangibles
- Software o aplicaciones para el almacenamiento o tratamiento de información, o que incluyan funcionalidades para la recopilación de registros por parte de usuarios.
- Sistemas operativos informáticos.
- Redes de comunicación y transmisión de información.
- Bases de datos.
- Licencias de software o aplicaciones.
- Programas de capacitación o formación.
2. Categorizar los activos
Definido el inventario de activos, lo que sigue es categorizar esos activos de acuerdo con su importancia. Varios aspectos influyen en la categorización: valor del activo, impacto sobre la seguridad de la información, requisitos legales, importancia del proceso y del propietario asociado.
La política de gestión de activos incluye la categorización, pero también las directrices o criterios que se utilizan para establecer las categorías y para incluir los activos que conforman cada una de ellas. Se consideran tres niveles: público, interno y restringido.
El nivel público hacer referencia a los activos accesibles para todos, o que tratan información disponible para todos. Los activos internos, por obvias razones, requieren mayor control y monitoreo, y los restringidos son los que involucran información sensible, confidencial o privilegiada.
Encuentra aquí una guía ideal para trabajar en la política de gestión de activos en #ISO27001. Descubre que debes incluir y que puedes dejar de lado. Share on X3. Propiedad de los activos
En un Sistema de Gestión de Seguridad de la Información basado en ISO 27001, todos los activos tienen un propietario. Puede ser una persona, que es lo más usual, pero también puede ser una sección o incluso un proceso. El propietario es importante porque es el responsable del funcionamiento adecuado de los controles dispuestos para garantizar la integridad del activo.
4. Gestión de activos
La parte medular de la política es lo que la Alta Dirección considera que debe hacerse para gestionar los activos de información. Además de solicitar la protección y cuidado del activo, la política incluye:
Etiquetado de los activos
El etiquetado, que no siempre puede ser físico, incluye información útil para entender con prontitud la importancia del activo, la responsabilidad y las directrices para su tratamiento. En un nivel muy general existen tres tipos de etiquetas:
- Clasificación: importancia, propietario, controles asociados.
- Manejo o tratamiento: instrucciones específicas sobre la operación. Necesidad de encriptación, destrucción en determinados casos.
- Accesibilidad: instrucciones sobre la divulgación o el acceso, contraseñas, niveles de acceso, privilegios.
Procedimientos de seguridad
Los activos, al igual que la información, necesitan un tratamiento adecuado. Este es finalmente el objetivo esencial de la política de gestión de activos en ISO 27001. Para alcanzar este objetivo la política necesita establecer procedimientos de seguridad que garanticen la integridad, incorruptibilidad, accesibilidad segura y confidencialidad de los activos y de la información que contienen o tratan.
La política incluye controles y procedimientos de seguridad relacionados con:
- Seguridad física.
- Afectación por agentes climáticos o atmosféricos.
- Seguridad durante el traslado o mantenimiento.
- Procedimientos para la renovación o sustitución del activo.
- Monitoreo del estado del activo.
La política define una ruta de trabajo para el equipo que se ocupa de la Seguridad de la Información. Es la guía, pero no es la que hace el trabajo. De ello se ocupan las personas, la infraestructura tecnológica a su alcance (digitalización de Sistemas de Gestión) y, finalmente, el conocimiento y la formación de profesionales expertos en el área.
Diplomado de Seguridad de la Información – ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001, actualizado de acuerdo con la revisión 2023 del estándar, es un programa que entrega conocimiento integral sobre el estándar y sobre la Seguridad de la Información en cualquier tipo de organización.
Este programa forma profesionales capaces de planificar, implementar, auditar, llevar a la certificación, mejorar y mantener un Sistema de Gestión basado en ISO 27001. Los alumnos, además de interactuar con docentes y compañeros de diversas latitudes, tienen la oportunidad de obtener el certificado ERCA, que los habilita para trabajar en cualquier país de la UE o de América Latina.
Este Diplomado tiene una convocatoria abierta ahora: tómala aquí.