Ir al contenido principal

Activos de información

Se denomina activos de información a todos aquellos que otorgan valor a la organización y por lo tanto deben protegerse.

ISO/IEC 27001:2013: Antes de gestionar los riesgos, se deben identificar y evaluar los activos de información (tangibles e intangibles) dentro de cada proceso definido en el Alcance del SGSI.

Los activos de información pueden ser: archivos, base de datos, contratos y acuerdos, documentos de sistemas, manuales de usuario, material de capacitaciones, aplicaciones o software, equipos informáticos, servicios informáticos y comunicaciones.

Tipos de activos según MAGERIT v3.0:
  • Datos: Cualquier dato que se genere, recoja, gestione, transmite o distribuya en la organización.
  • Aplicaciones: Software que se utiliza para la gestión de información.
  • Servicios internos: Los que un área suministra a otra.
  • Servicios externos: Aquellos que la organización suministra a clientes o usuarios.
  • Equipos informáticos: Hardware que permite hospedar datos, aplicaciones y servicios.
  • Redes de comunicación: Permiten intercambiar datos.
  • Soportes de información: Dispositivos de almacenamiento de datos.
  • Equipamiento Auxiliar: Equipo que complementa el material informático.
  • Personas: Colaboradores, clientes, usuarios, todos los que exploten u operen los activos de la organización.
  • Instalaciones: Acogen y salvaguardan los equipos informáticos y de comunicaciones.
La siguiente información de los activos de información es necesaria para que puedan mantenerse operativos e incluso puedan recuperarse ante un desastre.
  • ID activo: Código para ordenar y localizar un activo.
  • Tipo de activo: Categoría a la que pertenece.
  • Nombre: Nombre del activo.
  • Descripción: Para identificarlo sin ambigüedades.
  • Propietario: Responsable del activo.
  • Ubicación: Puede ser físico o digital.

Valoración de los activos de información

Disponibilidad

  1. El activo debe estar disponible por lo menos el 25% del tiempo que se necesite. No existe riesgo reputacional ni legal  si el activo de información se ha eliminado o no está disponible.
  2. El activo debe estar disponible por lo menos el 50% del tiempo que se necesite. Si no lo estuviera o fuese destruido puede ocasionar daños leves en la organización, que afecten los intereses legales, operacionales y reputacionales.
  3. El activo debe estar disponible por lo menos el 75% del tiempo que se necesite. Si no lo estuviera o si fuese destruido ocasionará daños que serán perjudiciales en la organización, que afecten los intereses legales, operacionales y reputacionales.
  4. El activo debe estar disponible por lo menos el 95% del tiempo que se necesite. Si no lo estuviera o si fuese destruido ocasionará daños catastróficos para la organización, afectarán los intereses legales, operacionales o reputacionales, y causarán pérdidas financieras.

Integridad

  1. El activo debe estar correcto y completo por lo menos el 25% de las veces que se necesite. No existe pérdidas financieras ni riesgo operacional, reputacional, ni legal.
  2. El activo debe estar correcto y completo por lo menos el 50% de las veces que se necesite. Puede ocasionar daños leves en la organización, que afecten los intereses legales, operacionales y reputacionales.
  3. El activo debe estar correcto y completo por lo menos el 75% de las veces que se necesite. Si no lo estuviera, puede ocasionar daños que serán perjudiciales para los intereses legales, reputacionales, operacionales y financieros de la organización.
  4. El activo debe estar correcto y completo por lo menos el 95% de las veces que se necesite. De no cumplir con lo anterior, puede causar daños catastróficos para la organización, y afectará los intereses legales, operacionales o reputacionales, además de pérdidas financieras significativas.

Confidencialidad

  1. El activo es publicado o de conocimiento público en general, por lo tanto no existe ningún riesgo legal, reputacional, operacional, ni financiero.
  2. El activo podrá ser divulgado hacia los colaboradores. Si se cumple con lo anterior no será perjudicial para los intereses legales, reputacionales, operacionales, ni financiero.
  3. El activo contiene información sensible, ya sea información personal, financiera, entre otros. Su divulgación puede ser perjudicial para los intereses legales, reputacionales o financieros de la organización.
  4. El activo contiene información altamente sensible. Su divulgación puede causar daños catastróficos, afectando los intereses legales, reputacionales, y financieros.

Autenticidad

  1. Los activos son de dominio público, por lo tanto no existe ningún riesgo legal, reputacional, operacional, ni financiero.
  2. Es importante conocer quien accede a los activos, cuando un defecto de imputación causa daños leves, afectando los intereses legales, operacionales y reputacionales de la organización.
  3. Es importante conocer quien accede a los activos, cuando un defecto de imputación causa daños perjudiciales, afectando los intereses legales, reputacionales o financieros de la organización.
  4. Es importante conocer quien accede a los activos, cuando un defecto de imputación causa daños catastróficos, afectando los intereses legales, reputacionales, y financieros.

Trazabilidad

  1. Los activos son de dominio público, por lo tanto no existe ningún riesgo legal, reputacional, operacional, ni financiero.
  2. Es importante conocer quién hace qué y cuándo con los activos, causando daños leves, afectando los intereses legales, operacionales y reputacionales de la organización.
  3. Es importante conocer quién hace qué y cuándo con los activos, causando daños perjudiciales, afectando los intereses legales, operacionales y reputacionales de la organización.
  4. Es importante conocer quién hace qué y cuándo con los activos, causando daños catastróficos, afectando los intereses legales, operacionales y reputacionales de la organización.
La información deberá clasificarse en relación a su valor, requisitos legales, criticidad y susceptibilidad a divulgación o a modificación no autorizada para la organización.

El valor final de los activos de información, es el promedio o la media de los valores.

Valor promedio:
  1. Bajo: Son aquellos activos de información de carácter público.
  2. Medio: Son aquellos activos de información que no contienen información sensible, debe cumplir criterios de disponibilidad e integridad.
  3. Alto: Son aquellos activos de información que pueden contener información confidencial, deben cumplir con la integridad del activo.
  4. Muy alto: Son aquellos activos de información que contienen información confidencial y en muchos casos la disponibilidad debe ser 100%.
Etiquetas:

Comentarios

Publicar un comentario

Entradas más populares de este blog

ISO/IEC 27001:2013 - Ciclo de mejora continua o Deming

La ISO/IEC 27001:2013 está basado en el ciclo de mejora continua o Deming (Plan, Do, Check, Act). Plan : Consiste en planificar acciones para hacer frente a los riesgos e identificar las oportunidades, para posteriormente evaluarlas y gestionarlas. Definir las políticas de seguridad de la información Establecer el alcance del SGSI Realizar el análisis de riesgo Seleccionar los controles de seguridad Definir competencias Establecer el mapa de riesgos Definir autoridades y responsabilidades Do : Indica que la organización debe de disponer los recursos necesarios para establecer, implementar y mantener el SGSI, además de dar a conocer las políticas de seguridad de la información del SGSI. Poner en marcha el Plan de gestión de riesgos establecido Se implanta el SGSI Se establecen los controles de seguridad Check – Controlar Revisar internamente el SGSI Realizar auditorias Se revisan los indicadores y métricas del SGSI Act Realizan las acciones cor
Publicar un comentario
Leer más

ISO/IEC 27001:2013 - Alcance del SGSI

Se debe determinar cómo se va a implementar el SGSI, establecer los límites, su aplicabilidad, los asuntos internos y externos que afecten los objetivos del mismo, los requerimientos de las partes interesadas y las interfaces y dependencias. Se debe elegir en qué áreas de la organización se desea implantar el SGSI, por lo general son aquellas que por sus funciones o responsabilidades ayudan a dar cumplimiento a la misión institucional. El propósito del alcance es definir qué información se va a proteger, no importa si esta información se almacena dentro de las oficinas de la organización, en la nube o si se accede a dicha información desde la red local o remotamente. El punto es que como responsables de la seguridad de la información debemos de protegerla sin importar dónde, cómo y por quién se accede a esta. Si tenemos información que queda fuera del alcance del SGSI no significa que no se le aplicarán medidas o controles de seguridad, implica que la responsabilidad de la
Publicar un comentario
Leer más

ISO/IEC 27003:2010: Guía para implementar un SGSI

Brinda una descripción de procesos de delimitación del Sistema de Gestión de Seguridad de la Información, diseño y ejecución de distintos planes de implementación. Ayuda a realizar el diseño para una buena implementación del SGSI que describe el estándar ISO/IEC 27001:2013.  Esta norma es una guía para todos aquellos que deseen implementar un SGSI o aquellos consultores en su trabajo profesional. Describe los procesos para conseguir la aprobación del SGSI: Documentación requerida por la ISO/IEC 27001: La obtenemos de las normas ISO/IEC 27001:2013, 27003:2010 y un EDT (estructura de desglose de trabajo). Mapa de procesos de negocio: Lo obtenemos a partir de un BPMN (Business Process Modeling Notation), que permite el modelado de procesos de negocio en un formato de flujo de trabajo. Podemos usar por ejemplo Bizagi, es un software gratuito que soporta BPMN 2.0. Identificación de activos de información relevantes. Metodología de gestión de riesgos. Mapa de riesgos. Lista de
Publicar un comentario
Leer más