ISO 27001. El inventario de activos en la implementación de la norma

5 Diciembre, 2013

Diciembre 5, 2013

Artículos técnicos, ISO 27001, Sectores, Sistemas de gestión normalizados, Telecomunicaciones

Una de las primeras actividades a realizar en la implementación de la norma ISO 27001 en una organización es elaborar un inventario de activos que recoja cuáles son los principales activos de información en la organización.

Se deben identificar el conjunto de activos de la información, entendiendo un activo como cualquier elemento que represente valor para la organización. Estos activos serán aquellos que queden enmarcados dentro de los procesos seleccionados para la definición del alcance.

Un activo en relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Cualquier cosa que tiene valor para la organización. Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

Activos de información bases de datos, documentación, manuales, software, hardware, contratos equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y las personas, que son quienes generan, transmiten y destruyen información.

Una clasificación general podría ser:

El inventario es una herramienta que debe estar actualizada de la forma más pronta posible, de modo que ante nuevos cambios en la infraestructura TI, o cambios organizacionales se debe plantear una revisión del inventario.

El inventario de activos debe recoger la siguiente información:

El nombre del activo, por ejemplo: equipo de usuario, router 014, proyecto, expediente, etc.
La descripción del activo.
Categoría a la que pertenece, por ejemplo: equipo, aplicación, servicio, etc.
Ubicación: el lugar físico o en el que se encuentra dentro de la organización.
Propietario: entendiendo por tal al responsable del activo.
Identificados los activos de información: se les debe valorar de acuerdo a su importancia para la organización. Esta apreciación será lo más objetiva posible, ya que con ella se determinará sobre qué activos se realizará el análisis de riesgos.

Por supuesto, se puede hacer una estimación de todos los activos, pero si son muchos, los recursos limitados, o ambas cosas, lo razonable es elegir un grupo de activos reducido para que el análisis de riesgos no sea inabarcable. Por ejemplo, se puede escoger analizar los activos que están por encima de un valor.

Para valorar los activos pueden tomarse los parámetros más adecuados para la organización. Los más habituales son la confidencialidad, disponibilidad e integridad de los activos, determinándose la importancia que tienen para la organización en una escala de valores.

A veces, la complejidad de la organización y de sus procesos o de su contexto, puede hacer necesario el desarrollar un árbol de dependencias entre activos. En un árbol de dependencias, donde los activos superiores dependen de los inferiores, es imprescindible valorar los activos superiores, los que son importantes por sí mismos. Automáticamente este valor se acumula en los inferiores, lo que no es óbice para que también puedan merecer, adicionalmente, su valoración propia.
[/div]

Con la herramienta ISOTools para la gestión de la ISO 27001 le será muy fácil realizar la identificación y el mantenimiento de los activos de la organización, así como su clasificación.

ISOTools es una herramienta de gestión integral de la norma que cumple con el ciclo completo de la ISO 27001 desde las fases de inicio y planificación del proyecto hasta el mantenimiento y mejora continua, pasando por el análisis de riesgos, el cuadro de mandos, implantación de procedimientos, etc.