| 25 años generando CONFIANZA
Inventario de activos SGSI
Para poder identificar adecuadamente los activos de seguridad de la información, lo primero que debemos tener claro es que son los activos de información, estos se conocen como los recursos que utilizan los sistemas de gestión de seguridad informática para hacer posible el cumplimiento de los objetivos en la organización.
El inventario de activos satisface uno de los elementos más significativos del sistema de gestión de la seguridad de la información. Entre los cuales se encuentran los elementos físicos, software, documentos, servicios, personas, instalaciones, hardware, todos aquellos activos que generan valor en la organización.
La importancia de la realización de los inventarios de activos en seguridad informática es tener la trazabilidad de los activos, tener en el radar aquellos activos en estado crítico y aplicarles a estos los controles de riesgo que permitan tenerlos “bajo control”, no tenerlos controlados puede representar un riego para los procesos ya que estos se encuentran directamente asociados a la actividad de la organización.
Se debe tener en cuenta que los activos es un requerimiento necesario para dar cumplimiento con la norma ISO27001. Adicional se debe tener en cuenta que las organizaciones que dentro del desarrollo de sus procesos tiene proyectos de seguridad informática deben tener el respaldo ya que no solo se benefician a sí mismos, sino que generan confianza a sus stakeholders.
Agilizar la ejecución de inventario de activos de seguridad informática
El aporte de la alta dirección permitirá agilizar para la ejecución de los inventarios de seguridad informática, el cual se puede realizar de la siguiente manera:
Recoger activos por área: Para realizar esta acción hay varias opciones que permitirán realizar esta tarea con éxitos. La primera es agendar reuniones programadas con las diferentes áreas, para una reunión previa, informando la actividad a realizar, con el fin que se puedan recopilar toda la información del inventario. Se debe presentar en esta reunión, la plantilla en la cual se registrarán los datos de los activos.
Una idea de plantilla para identificación de los activos en donde el usuario pueda registrar la información contiene el nombre del activo, la descripción del mismo, código si cuenta con uno, responsable del activo, valoración, cualitativa o cuantitativa, estos como algunos criterios relevantes dentro del levantamiento.
Recopilación de la Información y clasificación: Cada área debe registrar los activos y realizar la clasificación del mismo con información relevante como tipo de activo, sea este físico o digital, el lugar donde se almacena.
Ponderación: Para realizar la ponderación de los activos del inventario se deben tener en cuenta los criterios de la seguridad informática que son la Confidencialidad, el cual especifica que la información sea accesible de forma única a las personas que se encuentra autorizadas. Integridad el cual hace referencia a la información que se encuentra almacenada en los dispositivos que no ha sido manipulada por terceros de manera malintencionada. Esto da fiabilidad que la información no será modificada por personas no autorizadas y Disponibilidad, que hace referencia a la información que debe estar disponible siempre para las personas autorizadas para accederla y tratarla, y además puede recuperarse en caso de que ocurra un incidente de seguridad que cause su pérdida o corrupción. Es decir; permite que la información esté disponible cuando sea necesario.
Cada uno de estos criterios debe ser ponderado conforme como se califiquen estos activos en la organización y se califiquen por cada dueño de proceso, por ejemplo; nivel Alto (3), medio (2) y bajo (1), esto con el fin de darle un valor a cada activo y conocer el grado de vulnerabilidad de sus activos, los cuales serán clasificado en una matriz de riesgos, pasaran por un tratamiento, controles y ser llevados a un mapa de calor para mantener controlado estos activos.
En conclusión, en una organización que se encuentre certificada en ISO 27001 o desea hacerlo, es indispensable sino obligatorio, contar con un inventario de activos que permitan ser controlados y que brinde confianza a sus colaboradores. En vista de los posibles errores humanos que puedan ser cometidos, se cuentan con softwares que se permiten controlar esta operación con módulos que, guardan el registro de los inventarios, son configurables sus plantillas, cuentan con módulos de riesgos, en fin, un sin número de elementos que van a permitir a contar con sistemas de seguridad informática, robustos y confiables.
Software Seguridad de la Información
Esta integración de complementos de Sistemas de Gestión de Seguridad de la información requiere de gran disciplina, orden y pensamiento sistémico para que llegue a ser realmente útil y aporte beneficios a la organización. Este grado de utilidad se puede llegar a conseguir siempre que se realice la gestión de forma eficiente y automatizada mediante un software de Gestión de Seguridad de la Información como ISOTools.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...