Clasificación de activos SGSI
La norma ISO 27001 es una norma internacional cuyo enfoque se centra en el aseguramiento, integridad y confidencialidad de los datos, información y sistemas. Entre los elementos que ayudan a una adecuada gestión de un sistema de seguridad informática se encuentran la gestión o evaluación de los riesgos y otro elemento fundamental es el inventario de activos de información del cual se hablará en este apartado.
La organización debe poner todo su esfuerzo en la protección de los datos frente a posibles amenazas y riesgos, de forma que se asegure el funcionamiento adecuado, integridad y disponibilidad. Con ello, además, se ofrece confianza a los colaboradores.
Clasificación de activos SGSI según MAGERIT
Existen diversas metodologías para el análisis y gestión de seguridad de la información pero podemos centrarnos en una de las más populares.
Según el método MAGERIT o Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las administraciones, la clasificación de los de los grupos de activos de información, se definen de la siguiente manera:
- Servicios: Se denomina servicio a todos los elementos que interactúan con el exterior de la organización.
- Personas: Recurso principal dentro de las organizaciones el cual puede ser interno o externo, clientes, proveedores etc…
- Datos e información: Es el corazón de la organización, es el soporte del funcionamiento de la misma.
- Instalaciones: Se refiere a la infraestructura que contiene los elementos físicos de la seguridad informática, equipos de servicio, equipo eléctrico y electrónico, servidores, etc.
- Soportes de información: Son aquellos elementos físicos que se pueden almacenar por largos periodos de tiempo.
- Redes: encargadas de que la información dentro de la organización sea posible y cuente con un soporte, son las líneas de comunicación.
- Equipos informáticos: Son todos los elementos electrónicos que permiten gestionar la información.
- APP: Es un conjunto de elementos que permiten tener una fácil ejecución para el desarrollo de las tareas.
Inventario de activos según ISO 27001
Conociendo este grupo de clasificación de activos las organizaciones ya pueden empezar a realizar el inventario y clasificación de los activos de información.
Esta clasificación entra dentro de las estrategias del modelo de seguridad y privacidad de la información, en relación a los activos de seguridad informática. Para realizarlo, la norma ISO 27001 en la guía de controles se clasifica de la siguiente manera:
- Inventario de Activos: En esta fase lo que se determina es que todos los activos deben estar listados e identificados para tenerlos inventariados.
- Propiedad de los Activos: Todos los activos que se encuentran en el inventario deben tener un responsable, un dueño de ese activo.
- Clasificación de la Información: Esta clasificación se realiza de acuerdo a los criterios de confidencialidad, integridad y disponibilidad de los activos, el cual lleva una ponderación alta, media o baja.
- Etiquetado y manipulado de la información: de acuerdo a la clasificación de los activos estos se etiquetan con el fin de conformar un conjunto de activos de los diferentes procedimientos.
La información que se debe tener en cuenta en los activos de información es: el nombre del activo, comentarios u observaciones, proceso, nivel de clasificación del activo, ruta en donde se encuentra el activo, quien es el responsable del activo, quienes son los usuarios, claves de acceso entre otros.
Niveles en la clasificación de Activos SGSI:
Retomando la clasificación de los activos los cuales han sido tomados de los criterios de la seguridad informática; Confidencialidad, Integridad y Disponibilidad, y ponderados, con los niveles:
- Alto: Activos de información en los cuales la clasificación de la información en dos (2) o todas las propiedades (confidencialidad, integridad, y disponibilidad) es alta.
- Medio: Activos de información en los cuales la clasificación de la información es alta en una (1) de sus propiedades o al menos una de ellas es de nivel medio.
- Bajo: Activos de información en los cuales la clasificación de la información en todos sus niveles es baja.
Estos usados dentro de un mapa de control sectoriza los activos que se encuentran en mayor riesgo, y son prioridad para ingresar en un plan de tratamiento oportuno.
En conclusión, es importante contar con un inventario de los activos de información de la organización. Esto permite mantener controlados nuestros procesos y contar con oportunos planes de accione frente a escenarios de riegos. Los softwares enfocados en los sistemas de gestión de seguridad informática son herramientas claves para gestionarlos, mantenerlos y notificar a los responsables de manera eficiente y oportuna.
Software Seguridad de la Información
La integración de componentes de Seguridad de la Información en un enfoque de GRC (Gestión, Riesgo y Cumplimiento) demanda un alto grado de disciplina, organización y un enfoque sistémico. Esto es esencial para garantizar su eficacia y los beneficios que puede aportar a la organización. Para lograr este nivel de utilidad, es fundamental realizar una gestión eficiente y automatizada a través de una plataforma de GRC especializada en Seguridad de la Información, como GRCTools.
¿Desea saber más?
Entradas relacionadas
Gestión de Riesgos de Terceros: Cumplimiento Normativo y Responsabilidad Corporativa
26 abril, 2024
La Gestión de Riesgos de Terceros se refiere al proceso de identificación, evaluación y mitigación de los...
Prevención de riesgos de ciberseguridad: Tácticas efectivas
25 abril, 2024
Una efectiva gestión de riesgos de ciberseguridad implica...
Cumplimiento en la Cadena de Suministro: Riesgos y Controles Eficaces
24 abril, 2024
El cumplimiento en la cadena de suministro se ha convertido en un aspecto crucial para las empresas modernas...
¡No te pierdas el ESG Innova Group Summit IV!
23 abril, 2024
Os recordamos que el próximo 25 de abril de 2024, se celebrará el ESG Innova Group Summit IV