¿Cómo clasificar los activos de seguridad en un SGSI?

ISO 27001

La norma NTP-ISO/IEC 17799 tiene el objetivo de proteger, de una forma adecuada, los activos de información que forman parte de la organización, al igual que el estándar internacional ISO 27001. Todos los activos de información tienen que ser considerados y deben tener un responsable asignado.

Se tiene que identificar los responsables para todos los activos de información importantes, y se debe asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad a la hora de implementar los controles de seguridad se debe delegar. Aunque la responsabilidad debe mantenerse en el propietario asignado al activo de información.

La norma ISO27001 nos dice que todos los activos de información deben ser identificados  de una forma clara y se tiene que realizar y mantener un inventario en el que aparezcan todos los activos de información importantes.

Una empresa tiene que tener identificados todos sus activos y documentados en función de su importancia. El inventario de activos tiene que incluir toda la información que resulte necesaria con el fin de recuperarse ante un desastre, en que se incluya el tipo de activo, el formato, la ubicación, la información de respaldo, la información de licencia y el valor de negocio. El inventario de activos no puede ser duplicado sin necesidad, pero debe estar completamente seguro de que el contenido se encuentra alineado a otros inventarios.

Los responsables de los activos y la clasificación de la información tienen que ser aceptada y documentada para cada uno de los activos de información. Nos basamos en la importancia del activo para mejorar su valor dentro del negocio y la clasificarlos según la seguridad que necesiten, se debe realizar una clasificación según los niveles de protección necesarios en función de la importancia de cada activo.

Sabemos que existen muchísimos tipos de activos, aunque lo más comunes son los de información, entre los que podemos incluir:

• Activos de información: son archivos, bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos, planes de continuidad, configuración de soporte, etc.
• Activos de software: software de aplicación, software del sistema, herramientas y programas de desarrollo, etc.
• Activos físicos: equipo de cálculo, equipo de comunicación, etc.
• Servicios: servicios de cálculo y comunicaciones, generales, etc.
• Personas
• Activos intangibles: reputación, imagen de la organización, etc.

Gracias a los inventarios de activos nos aseguramos de que se inicie una protección eficiente, aunque también se requiere para otros propósitos de la empresa, por motivos de prevención laboral, póliza de seguros y gestión financiera. Todo el proceso para crear el inventario de activos es un aspecto muy importante a la hora de gestionar los riesgos de la organización implementando un Sistema de Gestión de Seguridad de la Información ISO-27001. Una empresa tiene que identificar sus activos y el valor relativo de éstos, a esto le ayuda mucho la norma ISO 27001.

Todos los activos de información deben ser llevados por una parte asignada de la organización.

Los activos cuentan con responsables por:

• Asegurar la información y los activos que se encuentran asociados a las instalaciones de la organización.
• Defienden y revisan de forma periódica las restricciones en el acceso y las clasificaciones.

Las responsabilidades deben ser asignadas a:

• Proceso de negocios
• Conjunto bien definido de actividades
• Mitigación
• Conjunto definido de datos

Las tereas realizadas por rutina tiene que estar delegadas, como las de un vigilante que se ocupa de un activo en una base diaria, aunque la responsabilidad siempre será del propietario del activo.

En un Sistema de Gestión de Seguridad de la Información ISO27001, puede ser muy útil asignar a un grupo de activos que trabajen juntos para realizar una función particular. En este caso, el propietario del servicio es responsable de la entrega del servicio, en la que se incluyen todas las funciones de los activos a los cuales provee.

Se debe identificar una regla general, que sea aceptable, para que los activos asociados a las instalaciones del procesamiento de la información sean identificados, documentados e implantados.

Todos los trabajadores, internos o externos, y las terceras personas implicadas tienen que seguir ciertas reglas para utilizar de forma aceptable la información y los activos que se encuentran asociados a las instalaciones del procesamiento de información, en las que se incluyen:

• Las reglas mediante correo electrónico y la utilización de internet.
• Guías de uso de aparatos móviles, especialmente fuera de las instalaciones de la organización.

Todas las reglas específicas o guías, establecidas por la norma ISO-27001, tienen que estar provistas por parte gerencia de una forma relevante. Los trabajadores, contratistas y clientes que utilizan o tienen acceso a los activos de la empresa tienen que encontrarse al tanto de los límites que existen para utilizar la información de la empresa y de todos los activos que se asocian con las instalaciones de procesamiento de información y recursos. Ellos tienen que ser los responsables de utilización de cualquier recurso del procesamiento de información y de cualquier otra utilización parecida bajo su responsabilidad.

El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.