👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.8.1.1, A.8.1.2, A.8.2.1, A.18.1.2
ISO 27001 en su versión 2022: A.5.9, A.5.10, A.5.12, A.5.32
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a identificar todos los activos de información con los que cuenta tu empresa, y aquellos que son alcanzados por tu programa de seguridad o SGSI. Además, aquí definirás otras características importantes de tus activos que te permitirán tomar las mejores decisiones.
💡 Si deseas implementar una adecuada gestión de riesgos, que además cumpla con requisitos normativos, este inventario tiene especial importancia, ya que con la información identificada en esta actividad, podrás sentar las bases con las que debes comenzar tu análisis y evaluación de riesgos, es decir tu Matriz de Riesgos.
¿Qué tengo que hacer? 🚀
Recordemos que un activo de información es cualquier cosa que genere, contenga o transporte información, así como también que dé soporte a los equipos que la almacenan, y no es lo mismo que un activo contable. Los activos contables son recursos o bienes materiales que poseen un valor económico, y dentro de ellos podríamos encontrar escritorios, televisores, sillas, etcétera, lo cual no es relevante para tu programa de seguridad.
Ahora bien, teniendo claro qué es un activo de información, te sugerimos realizar los siguientes pasos para que tu inventario sea el mejor 💪🏼:
Identifica todos los activos de información que tiene tu empresa hasta ahora, esto puede involucrar hardware, software, personal, servicios de proveedores, etcétera.
Si estás implementando un SGSI, debes considerar por lo menos, todos los activos que se encuentren dentro de tu alcance definido.
Si estás implementando controles de seguridad por requisito de algún cliente o proveedor, te sugerimos identificar todos los activos con los que trabajen dichos clientes y proveedores, y que por ende, tienen interés en proteger.
Analiza toda la información que pueda ser relevante para describir el activo, y que te permita identificarlo fácil y rápidamente.
Esto puede ser características técnicas, versión del software, fechas de adquisición, etcétera. ¡Dentro de la descripción del activo puedes colocar todo lo que consideres necesario!
Indica la clasificación de la información que contiene dicho activo.
Es decir que debes establecer si el activo contiene información confidencial o sensible, información interna de la organización, información pública, etcétera.
Recuerda que esta clasificación la definiste en tu Política de Seguridad de la Información.
Establece la criticidad del activo.
Los niveles de criticidad que te proponemos dentro de nuestro módulo de Activos es muy alta, alta, media, baja y muy baja.
Para establecer una criticidad adecuada, recomendamos analizar toda la información obtenida del activo, y preguntarse lo siguiente; ¿qué impacto tendría en mi operación si este activo no está disponible?, ¿qué tan crítico sería para la organización que se vulnere la información contenida en este activo?
Asigna a un dueño o propietario del activo.
Es muy importante que el activo tenga asignado un dueño o propietario que pueda hacerse responsable de su seguridad. Tomando esto en cuenta, recomendamos asignar a alguien que pueda tomar decisiones sobre el activo y garantizar su protección, no directamente la persona que pagó por él o que lo adquirió, o incluso a veces no es directamente la persona que lo utiliza.
Si estás implementando un SGSI, la asignación de dueños de activos es muy importante para el cumplimiento normativo ☑️.
¡Utiliza nuestro módulo de Personal para que sea mucho más fácil la asignación de los dueños de tus activos!
Puedes implementar todos estos pasos desde nuestro módulo de Activos de una forma muy sencilla, o incluso importar tu inventario directamente a nuestra plataforma para que puedas aprovechar al máximo las automatizaciones que tenemos para ti, haciendo que el monitoreo de tus activos sea súper eficiente.
Cómo implementar estos pasos y la forma de valorizar tus activos debe estar alineada a lo que estableciste en tu Metodología de Gestión de Riesgos. El template que te proponemos para la metodología ya se encuentra alineado al uso de nuestra plataforma 😎.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Para este caso puedes subir una captura de pantalla de la vista principal del módulo.
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Utiliza nuestro módulo de Activos 🚀.
Recuerda que si estás implementando un SGSI, debes colocar por lo menos todos los activos que se encuentren dentro de tu alcance definido.
Sé lo más objetivo posible durante la valorización del activo; no todo debe ser crítico para tu empresa, pero tampoco le restes importancia a cosas que sí o sí deben ser analizadas y protegidas correctamente.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.