Los activos de información son todos los elementos físicos, virtuales, tangibles o intangibles que tienen un valor para la organización y para el propósito de garantizar la seguridad de la información. La definición plantea un terreno muy amplio para revisar, identificar y, por supuesto, crear un inventario clasificado de esos activos.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

¿Cómo saber qué es un activo de información o dónde encontrarlo? Es una interesante pregunta, sobre todo porque al final, el propósito de un Sistema de Gestión de Seguridad de la Información es proteger esos activos. Al hacerlo, se asegura la integridad y la confidencialidad de datos e información en todas sus posibles presentaciones: digital, virtual, papel, oral, etc.

Este último aspecto tiene mucha importancia, puesto que la seguridad de la información no se limita a la contenida o transmitida por medios electrónicos, digitales, informáticos o virtuales. Es cierto que el devenir del desarrollo tecnológico hace que la mayor parte de la información para proteger se concentre en esos medios, pero hay otros lugares donde buscar activos de información.

Qué solicita ISO 27001 sobre inventario de activos de información

La norma ISO 27001 solicita crear y mantener un inventario completo de los activos de información. No es de menor importancia la solicitud. Sobre esta base de datos, que es el inventario, se construye toda la gestión, desde la identificación y tratamiento de riesgos hasta la asignación de responsabilidades o de recursos.

Para hacerlo, ISO 27001 requiere de los siguientes procesos:

  • Crear un inventario de todos los activos de información organizado y almacenado en una única ubicación, accesible, observando las medidas de seguridad pertinentes. El inventario incluye el nombre o referencia del activo y una descripción detallada de cada uno de ellos.
  • Asignar propietarios a los activos, que serán responsables de su seguridad y su integridad. También serán encargados de enfrentar auditorías, inspecciones o revisiones relacionadas con su activo.
  • Clasificar los activos de información de acuerdo con su valor, su exposición al riesgo, su impacto en el cumplimiento o cualquier otro factor que la organización considere relevante para la seguridad de la información.
  • Crear un procedimiento para etiquetar los activos, de acuerdo con su clasificación, que asegure la plena identificación y reconocimiento para auditores o revisores y que facilite su uso en concordancia con lo dispuesto por las políticas de seguridad de la información.

Cómo crear un inventario de activos de información

Crear el inventario de activos de información plantea un primer desafío: cómo saber si es o no un activo. La primera sugerencia es responder estas preguntas:

  • ¿Tiene algún valor para la organización, en el contexto de la seguridad de la información?
  • ¿Su eliminación, por cualquier causa, tiene un impacto en el cumplimiento de la norma ISO 27001 o legal, o tiene consecuencias financieras o reputacionales?
  • ¿Qué valor tiene para la organización o para un tercero interesado, la información contenida, transmitida o vinculada al activo?

La respuesta a estas preguntas indicará con claridad si se trata o no de un activo de información. Lo que sigue es cuestión de procedimiento. Se trata de dar los siguientes pasos:

  • Reunir la información completa del activo, incluyendo los detalles, el nombre, la referencia (si la tiene), el proveedor (cuando se trata de un servicio) y cualquier atributo relevante que contribuya a su plena identificación ahora y en el futuro.
  • Asignar un nivel de clasificación, atendiendo criterios como valor, exposición al riesgo, injerencia en el cumplimiento legal o normativo o cualquier otro que se considere relevante.
  • Especificar la ubicación física, digital o virtual de cada uno de los activos inventariados.
  • Asociar los propietarios de los activos definidos en una etapa anterior. Es necesario mencionar el nombre cuando es una persona física, el puesto que ocupa en el sistema y en la organización y cualquier otro detalle que contribuya a su plena identificación.
  • Asignar privilegios de acceso a los activos, de acuerdo con el trabajo de las personas o sus responsabilidades en el Sistema de Gestión de Seguridad de la Información.

El impacto de la Transformación Digital en el área de seguridad de la información es evidente. Las organizaciones que logran automatizar y digitalizar sus sistemas tienen la oportunidad de crear y administrar inventarios dinámicos, seguros, accesibles con facilidad para las personas que necesitan hacerlo.

De esta manera, la Transformación Digital es un factor determinante en un SG-SI confiable y efectivo. En sistemas con estas características es posible construir un sistema de clasificación de activos de información también seguro, confiable y accesible.

Encuentra una guía para la clasificación y gestión de #ActivosDeInformación según la norma #ISO27001 Share on X

Cómo construir un sistema de clasificación de activos de información

Clasificar los activos es un primer paso. La construcción de un sistema de clasificación es otra cosa. Para hacerlo, es necesario pensar en que este, que viene a ser un subsistema dentro del SG-SI, necesita preservar la confidencialidad y la integridad de los activos y, por extensión, de la información relacionada. Todo ello sin vulnerar la capacidad de acceso para los que lo necesitan.

La accesibilidad es uno de los temas clave en la construcción del sistema. Es necesario crear niveles de acceso y estos se asignarán de acuerdo con los requerimientos funcionales de cada persona. Para ello, los activos se clasificarán en tres niveles:

  • Alto: activos que tratan, conducen o almacenan información confidencial, crítica, reservada o de alto valor comercial o estratégico.
  • Medio: activos asociados a información que requiere protección porque implica un grado de confidencialidad, pero cuya vulneración no implica un daño reputacional o una afectación económica importante.
  • Bajo: activos que tratan o transmiten información que es poco sensible a la exposición o divulgación. Algunos de estos datos o informes, de hecho, pueden aparecer publicados en algún otro medio. El mejor ejemplo son los informes contables y financieros, cuyas cifras generales suelen ser de divulgación general.

Los activos clasificados en el nivel alto, por supuesto, tendrán asignados controles de seguridad de acuerdo con el Anexo A de ISO 27001. La intensidad de los controles desciende con la clasificación.

Cómo clasificar los activos de información con seguridad y garantizando la conformidad con ISO 27001

ISO 27001 requiere que la información y los datos se gestionen de forma segura y adecuada. Entonces, la clasificación necesita alienarse con estos criterios y con los protocolos internos de seguridad de la información de la organización. Para hacerlo, es preciso considerar los siguientes aspectos:

1. Políticas sobre activos de información

La clasificación tiene en cuenta los requisitos de ISO 27001, el marco regulatorio y legal y los principios que expresa la Alta Dirección en una política de gestión de activos de información. Esta política comunica los protocolos que se consideran aceptables para utilizar, proteger, almacenar y acceder a los activos sin vulnerar las normas de seguridad.

2. Protocolos y requisitos para la devolución de activos

Los propietarios de los activos suelen ser empleados de la organización. Estos pueden cambiar de posición dentro de la organización o dejar su puesto por diversas razones. Es necesario crear un protocolo que permita la entrega del activo al nuevo propietario sin intervalos que generen vulnerabilidad, además de asegurar la confidencialidad de la información a la que tuvo acceso el propietario que entrega.

3. Procesos de gestión de activos

Los procesos diseñados para gestionar los activos de información necesitan tener alcance sobre todo el ciclo de vida del activo. Además, es necesario que los procesos atiendan la importancia del activo de acuerdo con su clasificación y con su participación en auditorías, revisiones o inspecciones al Sistema de Seguridad de la Información.

Diplomado de Seguridad de la Información ISO/IEC 27001

El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa diseñado e impartido por profesionales expertos en el área, con reconocimiento internacional. Los alumnos adquieren capacitación para trabajar en el diseño, implementación y gestión de sistemas de seguridad de la información. Además, tienen la oportunidad de interactuar con docentes y compañeros de estudio de diversas nacionalidades alrededor del mundo, lo que agrega un valor enriquecedor a esta experiencia académica.

Finalizado el programa, obtienen la certificación correspondiente al Diplomado, junto a la que les acredita como auditores internos de gestión SI. También tienen la posibilidad de acceder al certificado ERCA. Para obtener más información, solo tienes que contactar con nuestros asesores.

New Call-to-action