Saltar al contenido principal

Inventario de activos SGSI

¿Cómo clasificar los activos de seguridad de la información?

Portada » Blog Calidad y Excelencia » ¿Cómo clasificar los activos de seguridad de la información?

Clasificación de activos SGSI

La norma ISO 27001 es una norma internacional cuyo enfoque se centra en el aseguramiento, integridad y confidencialidad de los datos, información y sistemas. Entre los elementos que ayudan a una adecuada gestión de un sistema de seguridad informática se encuentran la gestión o evaluación de los riesgos y otro elemento fundamental es el inventario de activos de información del cual se hablará en este apartado.

La organización debe poner todo su esfuerzo en la protección de los datos frente a posibles amenazas y riesgos, de forma que se asegure el funcionamiento adecuado, integridad y disponibilidad. Con ello, además, se ofrece confianza a los colaboradores.

Clasificación de activos SGSI según MAGERIT

Existen diversas metodologías para el análisis y gestión de seguridad de la información pero podemos centrarnos en una de las más populares.

Según el método MAGERIT o Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las administraciones, la clasificación de los de los grupos de activos de información, se definen de la siguiente manera:

  • Servicios: Se denomina servicio a todos los elementos que interactúan con el exterior de la organización.
  • Personas: Recurso principal dentro de las organizaciones el cual puede ser interno o externo, clientes, proveedores etc…
  • Datos e información: Es el corazón de la organización, es el soporte del funcionamiento de la misma.
  • Instalaciones: Se refiere a la infraestructura que contiene los elementos físicos de la seguridad informática, equipos de servicio, equipo eléctrico y electrónico, servidores, etc.
  • Soportes de información: Son aquellos elementos físicos que se pueden almacenar por largos periodos de tiempo.
  • Redes: encargadas de que la información dentro de la organización sea posible y cuente con un soporte, son las líneas de comunicación.
  • Equipos informáticos: Son todos los elementos electrónicos que permiten gestionar la información.
  • APP: Es un conjunto de elementos que permiten tener una fácil ejecución para el desarrollo de las tareas.

 

Inventario de activos según ISO 27001

Conociendo este grupo de clasificación de activos las organizaciones ya pueden empezar a realizar el inventario y clasificación de los activos de información.

Esta clasificación entra dentro de las estrategias del modelo de seguridad y privacidad de la información, en relación a los activos de seguridad informática. Para realizarlo, la norma ISO 27001 en la guía de controles se clasifica de la siguiente manera:

  • Inventario de Activos: En esta fase lo que se determina es que todos los activos deben estar listados e identificados para tenerlos inventariados.
  • Propiedad de los Activos: Todos los activos que se encuentran en el inventario deben tener un responsable, un dueño de ese activo.
  • Clasificación de la Información: Esta clasificación se realiza de acuerdo a los criterios de confidencialidad, integridad y disponibilidad de los activos, el cual lleva una ponderación alta, media o baja.
  • Etiquetado y manipulado de la información: de acuerdo a la clasificación de los activos estos se etiquetan con el fin de conformar un conjunto de activos de los diferentes procedimientos.

La información que se debe tener en cuenta en los activos de información es: el nombre del activo, comentarios u observaciones, proceso, nivel de clasificación del activo, ruta en donde se encuentra el activo, quien es el responsable del activo, quienes son los usuarios, claves de acceso entre otros.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Niveles en la clasificación de Activos SGSI:

Retomando la clasificación de los activos los cuales han sido tomados de los criterios de la seguridad informática; Confidencialidad, Integridad y Disponibilidad, y ponderados, con los niveles:

  • Alto: Activos de información en los cuales la clasificación de la información en dos (2) o todas las propiedades (confidencialidad, integridad, y disponibilidad) es alta.
  • Medio: Activos de información en los cuales la clasificación de la información es alta en una (1) de sus propiedades o al menos una de ellas es de nivel medio.
  • Bajo: Activos de información en los cuales la clasificación de la información en todos sus niveles es baja.

Estos usados dentro de un mapa de control sectoriza los activos que se encuentran en mayor riesgo, y son prioridad para ingresar en un plan de tratamiento oportuno.

En conclusión, es importante contar con un inventario de los activos de información de la organización. Esto permite mantener controlados nuestros procesos y contar con oportunos planes de accione frente a escenarios de riegos. Los softwares enfocados en los sistemas de gestión de seguridad informática son herramientas claves para gestionarlos, mantenerlos y notificar a los responsables de manera eficiente y oportuna.

Software Seguridad de la Información

Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico. Esto es así para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Implementar una estrategia de sostenibilidad paso a paso

Estrategia de sostenibilidad A través de la estrategia de sostenibilidad, las organizaciones establecen cuál es su orientación hasta…

Ver más
Ventajas SGSI
Ventajas de tener un sistema de gestión de seguridad de la información (II)

Sistema de Gestión Seguridad de la Información En el anterior artículo tratamos cómo las organizaciones se beneficias del…

Ver más
Riesgos IT
¿Cómo gestionar riesgos IT con la nueva ISO 27002?

Riesgos IT Lo primero que debemos saber antes de abordar cómo gestionar los riesgos en tecnologías de la…

Ver más