ACTIVOS EN SEGURIDAD DE LA INFORMACIÓN

Activos en Seguridad de la Información. ¿Qué son y cómo definirlos?

ACTIVOS EN SEGURIDAD DE LA INFORMACIÓN

Activos en seguridad de la información

La seguridad de la información es un pilar fundamental para las organizaciones. La información ha de ser protegida frente a riesgos y amenazas que nos aseguren el correcto funcionamiento de su negocio. Este tipo de información vital para las empresas se le han denominado activos en Seguridad de la Información. 

Según la guía emitida por INTECO (Instituto Nacional de Tecnologías de la Comunicación) hay diferentes grupos en los que clasificar los activos en Seguridad de la Información. Para dicha clasificación utilizaremos la empleada en la Administración: metodología Magerit. 

Organización según metodología Magerit

La clasificación se divide en ocho grupos los cuales son: 

  • Servicios: Son los procesos de negocio de la organización que ofrece al exterior de ella o también al interno, como puede ser la gestión de nóminas. 
  • Datos e información: La información y los datos que se utilizan dentro de la organización para el funcionamiento de ella, estos suelen ser el núcleo del sistema, y el resto como pueden ser el soporte de almacenamiento, manipulación, etc. 
  • Aplicaciones Software. Agrupa todos los programas informativos que utiliza la organización con el propósito de facilitar a los empleados la realización de determinadas tareas. 
  • Equipos informáticos. Son todos los dispositivos que se conectan a internet conformando un espacio de trabajo. 
  • Personal. Las personas que trabajan en una organización son el activo principal en ella, podemos encontrar diferentes grupos como pueden ser: personal interno, subcontratado, proveedores, clientes u otros. 
  • Redes de comunicación. Son las encargadas de dar soporte a la organización para la transacción de información. Las redes de comunicación pueden ser de dos tipos: propias y subcontratadas 
  • Soportes de información. Los soportes físicos nos permiten el almacenamiento de la información durante un largo periodo de tiempo. 
  • Equipamiento auxiliar. Nos permite dar soporte a los sistemas de información, estos equipamientos no se incluyen en ninguno de los otros grupos. Un ejemplo de estos son: máquinas de destrucción de documentos o equipos de climatización. 
  • Instalaciones. Son los lugares físicos donde se alojan los sistemas de información, oficinas, vehículos u otros… 

 

Además de los activos tangibles que hemos clasificado anteriormente, debemos tener en cuenta una parte fundamental de las organizaciones que son los activos intangibles como son la imagen y la reputación de la empresa. 

Para realizar una buena actividad de protección de la información es necesario que conozcamos e identifiquemos aquellos activos de información. Para hacerlo, habrá que elaborar un inventario el cual clasifica e identifica cada uno de los activos, en ellos se tendrá que incluir; descripción, localización y propietario. 

El responsable de la definición del grado de seguridad del activo será el propietario del activo. Este no necesariamente será quien gestione el activo o sea su usuario. Un claro ejemplo de esto es: una base de datos de clientes puede pertenecer al Director Comercial de una empresa, su gestión puede estar encargada al área de sistemas y sus usuarios pueden ser los comerciales. 

El siguiente paso a la identificación de los activos será realizar un análisis de las dependencias existentes entre los activos, la forma más cómoda para realizarlo será haciendo preguntas del tipo: ¿Quién depende de quién? o ¿si hay un fallo en el activo X qué otros activos se van a ver perjudicados o involucrados? 

Una vez realizado ambos pasos, el resultado será un árbol de dependencias de activos en el cual observaremos la relación existente entre todos los activos de la empresa desde la parte más alta de jerarquía hasta el nivel más bajo. Dependiendo del tipo de activo tendrá una mayor o menor importancia, por lo que es necesario esclarecer la relevancia de cada uno de ellos para el negocio y el impacto que puede generar si ocurre una incidencia. 

Para conocer realmente su alcance podemos realizar dos tipos de valoraciones: cuantitativa, en la cual se estima el valor económico del activo, o cualitativa. La valoración cualitativa se establece con unos valores de 0-10. Para realizarla es necesario que se realice un criterio homogéneo que nos permita compararlos entre sí. Para la realización de este criterio se suele basar en las características principales de la información: integridad, confidencialidad y disponibilidad. 

Los activos, las entrevistas y las encuestas son los métodos más utilizados para la realización de los activos. En cualquiera de estas, se debe seleccionar un grupo significativo de trabajadores entre el personal de la organización. Estos deben representar todas las áreas del alcance del SGI (sistema de la seguridad de la información) y diferentes roles. 

Software ISO 27001

Todas las organizaciones necesitan implementar un SGSI de una manera cómoda e intuitiva, para ello el Software ISOTools Excellence nos proporciona una solución eficaz para implementar un SGSI con un carácter internacional para la normativa ISO 27001 2013. 

Si desea ver una demostración gratuita del Software le invitamos a que se una en la demo que se realizan todos los martes, para ello, inscríbase en el siguiente  link.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba