Saltar al contenido principal

Gestión de activos

Gestión de activos según la ISO 27002

Inicio / Gestión de activos según la ISO 27002

ISO 27002

El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio algunos ejemplos activos son los siguientes que mostraremos a continuación.

  • Recursos de información: Las bases de datos y registros, documentación del sistema, los manuales de usuario, los materiales de capacitación, los diferentes procedimientos operativos o de soporte, los diversos planes de continuidad y contingencia, la información archivada, etc.
  • Recursos de software: Los software de las aplicaciones, los sistemas operativos, las herramientas del desarrollo y la publicación de contenidos, proficientes, etc.
  • Activos físicos: esta formado por el equipamiento informático, los equipos de comunicaciones, los medio u otros equipos técnicos, moblaje, lugares de instalación, etc.
  • Servicios: prestación de servicios informáticos y de comunicaciones, proficientes generales.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Los activos de la información deben estar clasificados teniendo en cuenta la sensibilidad y criticidad de la información que contenga o que cumplan con los objetivos de señalar cómo ha de ser trata y protegida la información.

Los pasos de la clasificación tienen que predecir y examinar el hecho de que dicha clasificación de un ítem de información determinando no es precisamente tiene que mantener invariable por siempre, y que se puede variar según la política explícita por la propia organización. Es ineludible que se considere las cantidades de categorías para definir la clasificación dado que los esquemas son demasiado complejos y estos pueden volverse difíciles o resultar poco prácticos.

Responsabilidad sobre los activos

Los activos de la información según la norma ISO 27000, tienen que ser comprendidos y tener asignados un responsable y deberán identificar a los responsables o propietarios para todos los activos y asignarles la responsabilidad del mantenimiento en los dibersos controles adecuados.

La ejecución estos controles específicos puede ser encargada por el mismo propietario de forma provechosa, Sin embargo, el propietario permanece como el responsable de la adecuada resguardo de los activos.

El término identifica a individuos o entidades de forma comprometida, que cuente con la aprobación por parte de la dirección, para el controlar la producción, desarrollos, mantenimientos, la utilización y seguridad de los activos. El vocablo propietario no figura que la persona disponga de los derechos de propiedad reales del activo.

Es preciso obtener y conservar un inventario de activos de los información, exponiendo los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras para facilitar las tareas de ejecución de inventario y vincular los equipos de TI que ingresan y salen de las instalaciones con los empleados.

Actividades de control del riesgo

1.- Inventario de activos: Los activos deben estar visiblemente identificados, elaborando y manteniendo un inventario con los más importantes. 

  • La idea es realizar un inventario de activos que nos permita.
  • Identificar los activos de la información que den soporte al negocio.
  • Clasificar los activos por su importancia.
  • Archivar los activos por el tipo de activo o información.
  • Identificar al propietario del activo.

2.- Propiedad de los activos: La información y activos de los inventarios que se encuentran asociados a los recursos para tratar la información que deberían pertenecer a una parte designada de la Organización.

Deberes del propietario de un activo de la Información:

  • Asegurar que los activos son inventariados
  • Afirmar que los activos son archivados y protegidos de forma adecuada;
  • Precisar e inspeccionar de forma periódicamente las prohibiciones de los accesos y las clasificaciones de activos importantes, donde se tiene en cuenta las políticas que se aplican en el control de acceso.
  • Avalar el manejo adecuado cuando el activo es eliminado o destruido.

3.- Uso aceptable de los activos: Corresponderían en identificar, evidenciar e instituir medidas para el uso conveniente de la información y los activos asociados a recursos de tratamiento de la información.

El uso admisible de los activos que consisten en los procesos de:

  • Documentar el uso adecuado de la información, donde se describan los requisitos de la seguridad de la información de los activos, instalaciones entre otros.
  • Notificar a los empleados afectados con el objetivo de evitar el uso indebido.

4.- Devolución de activos: Todo los colaboradores y usuarios deben devolver todos los activos de la compañía que encuentren en su responsabilidad, una vez culminado los  acuerdos contratos de prestación de servicios o actividades que se relacionan con su contrato de empleo.

  • Requisitos para implementar este control:
  • Determinar procesos de finalización de uso donde se incluya la cláusula de devolución de activos físicos y/o electrónicos
  • Instituir los procedimientos transferencias y borrados de la información de forma inequívoca en el caso que sea oportuno (Uso de los equipos adecuados, traspaso y restitución de los equipos etc.).

 

 

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Volver arriba