👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 6 del Marco COSO y el Principio 11.
TSC: Confidencialidad: El criterio C1.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar todos los activos de información con los que cuenta tu empresa y que están dentro del alcance de tu programa de cumplimiento de SOC 2. Además, aquí definirás otras características importantes que te permitirán tomar las mejores decisiones para protegerlos.
💡 Este inventario es el punto de partida indispensable para una adecuada gestión de riesgos. Con la información identificada aquí, podrás sentar las bases para tu “Matriz de Riesgos”. Para el Criterio de Confidencialidad, este inventario es la herramienta clave para identificar formalmente qué información necesita protección especial.
¿Qué tengo que hacer? 🚀
Recordemos que un activo de información es cualquier cosa que genere, contenga o dé soporte a la información de tu empresa (hardware, software, bases de datos, personal clave, etc.), y no es lo mismo que un activo contable (sillas, escritorios).
Ahora bien, te sugerimos realizar los siguientes pasos para que tu inventario sea el mejor 💪🏼:
Identifica todos tus activos de información
Considera, por lo menos, todos los activos que se encuentren dentro del alcance de tu reporte SOC 2. Esto puede involucrar hardware, software, personas, servicios de proveedores, etc.
Analiza y describe cada activo
Recopila toda la información que sea relevante para describir el activo y que te permita identificarlo fácil y rápidamente (características técnicas, versión del software, ubicación, etc.).
Indica la clasificación de la información que contiene el activo
Debes establecer si el activo contiene información confidencial, interna o pública. Este paso es crucial para cumplir con el criterio C1.1 de Confidencialidad, ya que formaliza la identificación de la información que requiere la máxima protección, según lo definido en tu “Política de Seguridad de la Información”.
Los niveles de criticidad que te proponemos dentro de nuestro módulo de Activos es muy alta, alta, media, baja y muy baja.
Establece la criticidad del activo
Usando una escala (por ejemplo, muy alta, alta, media, baja), pregúntate: ¿qué impacto tendría en mi operación si este activo no está disponible?, ¿qué tan crítico sería para la organización que se vulnere la información contenida en este activo?
Asigna a un dueño o propietario del activo
Es muy importante que el activo tenga asignado un dueño que pueda hacerse responsable de su seguridad y tomar decisiones sobre él.
¡Utiliza nuestro módulo de Personal para que sea mucho más fácil la asignación de los dueños de tus activos!
Puedes implementar todos estos pasos desde nuestro módulo de Activos de una forma muy sencilla, o incluso importar tu inventario directamente a nuestra plataforma. La forma de valorizar tus activos debe estar alineada a lo que estableciste en tu “Metodología de Gestión de Riesgos”.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Activos 🚀.
Recuerda colocar, por lo menos, todos los activos que se encuentren dentro del alcance definido para tu reporte SOC 2.
Sé lo más objetivo posible durante la valorización del activo; no todo debe ser crítico para tu empresa, pero tampoco le restes importancia a cosas que sí o sí deben ser analizadas y protegidas correctamente.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.