Ir al contenido principal

Guía para hacer tu inventario de activos de información

Sigue este paso a paso y podrás terminar tu actividad fácilmente 😎.

El inventario de activos es una actividad que puede tomar mucho tiempo y esfuerzo si no se está bien enfocado o no sé tienen los recursos necesarios. Por ello, acá logramos simplificar la información para darte todo el conocimiento que te llevará al éxito.

Te recomendamos leer este artículo completo; es aquí donde te explicamos cómo usar nuestro template para que puedas terminar la actividad fácilmente🚀.

Explicación general del documento 💻

Este documento (spreadsheet) cuenta con las siguientes 3 pestañas:

  • Portada | Versionado

    • Esta pestaña se considera la carátula y es la sección donde debes indicar la información pertinente de elaboración y aprobación del documento para llevar un correcto control de versiones.

  • Instrucciones

    • En esta pestaña encontrarás todas las instrucciones e información relevante sobre el llenado correcto de este documento.

    • Es de suma importancia que leas todo el contenido de esta pestaña detenidamente antes de comenzar.

  • Inventario

    • Esta pestaña contiene todas las columnas, fórmulas y recursos con los que crearás tu documento.

Ejemplos prácticos📝

A continuación te mostraremos algunos ejemplos prácticos de cómo usar nuestro template. 

Para la pestaña de Portada | Versionado

Así se ve inicialmente:

💡Pro Tip: Recuerda leer los comentarios informativos que te deja el equipo de Hackmetrix.

Y se verá algo similar a la imagen siguiente una vez que lo completes:

💡Pro Tip: Recuerda cerrar los comentarios informativos que te deja el equipo de Hackmetrix una vez que ya no los necesites, y eliminar el marcado, es decir, quitar el color de las celdas.

Para la pestaña de Instrucciones

Las instrucciones cuentan con tres apartados:

  • Instrucciones:

    • Estas instrucciones son generales, indicando los pasos iniciales a seguir para comprender el objetivo del documento y su estructura.

  • Recuerda que:

    • Corresponde a los pasos a seguir una vez terminado el documento, considerando las acciones pertinentes por parte de tu equipo y lo que debe realizarse dentro de nuestra plataforma.

  • Información sobre el template:

    • Aquí encontrarás explicaciones de las columnas y recursos de apoyo para poder completar el template correctamente.

El inicio de cada uno de estos apartados dentro de la pestaña se ve de la siguiente manera:

💡Pro Tip: Lee todo el contenido de esta pestaña, incluidos los comentarios informativos que te deja el equipo de Hackmetrix antes de comenzar a llenar el documento. 

Para la pestaña de Inventario

La vista inicial de esta pestaña se ve de la siguiente manera:

Ahora sí, ¡comencemos con los ejemplos prácticos de cómo debes llenar cada columna!

La columna de tipo de activo te mostrará un listado con las categorías que agrupan todos los activos de información.

  • Debes seleccionar la opción más adecuada para el tipo de activo que deseas registrar.

💡Pro Tip: Comienza con los tipos “software”. Te ayudará a agilizar el llenado del documento ya que al identificar los sistemas, plataformas o aplicaciones que usa la empresa estarías documentando muchos de los activos importantes. Además, recuerda tomar en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esta columna.

Para nuestro ejemplo y siguiendo el pro tip anterior, elegiremos “software”.

La columna de nombre del activo te mostrará un listado con las herramientas más comunes que usan las empresas hoy en día.

💡Pro Tip: Esto te ayudará solo cuando el tipo de activo sea: “software” o “servicios | productos de proveedores”, ya que dentro del listado se encuentran los principales proveedores de servicios de nube.

  • Si deseas registrar alguna de las herramientas que vienen en el listado, solo debes seleccionarla y aparecerá la descripción del activo automáticamente (que es la columna siguiente).

  • Si no encuentras la herramienta que deseas registrar, o el tipo de activo no es “Software” o “Servicios | Productos de proveedores”, debes añadir manualmente el nombre del activo y su descripción.

Para nuestro ejemplo, elegiremos “Asana” y automáticamente tendremos “Software de manejo de tareas” como la descripción del activo.

La columna de propietario del activo te mostrará un listado con los roles más importantes que puede tener una empresa.

  • Si deseas asignar ese activo a uno de los roles que vienen en el listado, solo debes seleccionarlo.

  • Si no encuentras el rol al que deseas asignar ese activo dentro del listado, debes añadirlo manualmente.

Para nuestro ejemplo, elegiremos “CTO”.

La columna de clasificación de la información (contenida en el activo) te mostrará un listado con los niveles de confidencialidad que te proponemos en el template de Política de Seguridad de la Información.

  • Debes seleccionar la opción más adecuada para clasificar la información contenida en ese activo.

Recordemos que la confidencialidad está directamente relacionada con la clasificación que le demos a la información, por lo que al seleccionar una de las opciones del listado, el valor de la columna confidencialidad se dará automáticamente, considerando el criterio mostrado a continuación:

Clasificación de la información

Valor de confidencialidad

Información pública

1

Información organizacional

2

Información confidencial o sensible

3

💡Pro Tip: Toma en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esta columna.

🚀Hackmetrix insight: Esta es la forma más simple que generó Hackmetrix para realizar la valorización de tus activos.

Aunque no te lo recomendamos, si realmente deseas crear tu propio sistema de valorización, puedes hacerlo pero es muy importante que tomes en cuenta lo siguiente:

  • Tendrás que alinear tu Metodología de Gestión de Riesgos (que corresponde a la actividad 11 del plan de acción de Hackmetrix) según el sistema que hayas diseñado.

  • Tendrás que ajustar las siguientes columnas de este documento:

    • Clasificación de la información (contenida en el activo), es decir que deberás colocar los nombres que hayas definido en tu nueva metodología.

    • Confidencialidad, integridad y disponibilidad, es decir que deberás eliminar, añadir o modificar los valores para ajustarlos a tu nueva metodología.

    • Valor promedio, es decir que, si tu nuevo sistema de valorización lo requiere, también deberás ajustar la fórmula con la que calcularás la criticidad del activo.

    • Criticidad del activo, es decir que deberás eliminar, añadir o modificar los niveles para ajustarlos a tu nueva metodología.

Continuando con nuestro ejemplo, elegiremos “Información organizacional”.

💡Pro Tip: Recuerda que algunas celdas tienen fórmulas, por lo que al detectar un valor se actualizarán automáticamente. ¡Pero no te preocupes! Sigue leyendo y te explicaremos todo a detalle.

Desde la columna de confidencialidad, la cual cubrimos en el punto anterior, ya nos encontramos valorizando el activo. Esta columna responde a las preguntas: ¿cómo calificarías la información que contiene el activo? ¿requiere de acceso limitado?

Las columnas de integridad y disponibilidad te mostrarán un listado con los valores del 1 al 3.

  • Debes seleccionar la opción más adecuada para valorizar la integridad y disponibilidad de ese activo y la información contenida en él.

💡Pro Tip: Para que sea más sencillo asignar un valor para la integridad, puedes preguntarte: ¿mi información o activo puede sufrir pérdidas o alteraciones?

Y para asignar un valor a la disponibilidad, puedes preguntarte: ¿puedo prescindir de este activo durante cierto período de tiempo? Además, recuerda tomar en cuenta las descripciones que te proporcionamos en la pestaña de Instrucciones para esta columna.

Para nuestro ejemplo, indicaremos un valor de “2” para integridad y un valor de “3” para disponibilidad.

Como podrás ver en la imagen anterior, las columnas de valor promedio, criticidad del activo y acción recomendada se llenan automáticamente, siguiendo los lineamientos de nuestra Metodología de Gestión de Riesgos propuesta y las fórmulas preestablecidas dentro del template.

La conclusión a nuestro ejemplo es:

El sistema Asana tiene una criticidad alta, por lo que la acción recomendada es: “Activo va a la Matriz de Riesgos”. Esto quiere decir que deberás analizar sus amenazas y vulnerabilidades asociadas.

Por el momento no te agobies en pensar en otros documentos, sigue estos ejemplos para continuar con tu propio inventario y así poder terminar esta actividad 🙌.

💡 Recuerda que constantemente estamos mejorando para ti por lo que este artículo explica el template en su versión más reciente. ¡Pero no te preocupes! El template que te proporcionamos anteriormente es igual de válido y te ayudará a estar en cumplimiento. Para llenarlo fácilmente te recomendamos el siguiente artículo.

Recomendaciones ✅

  • Al terminar el documento, te sugerimos colocar su versión en el título.

  • Debes enfocarte en los activos alcanzados por tu SGSI.

  • Asegúrate de asignar de una manera precisa los valores de confidencialidad, integridad y disponibilidad de cada activo. Tómate el tiempo de analizar y calificar cada uno de acuerdo a su relevancia real.

  • Tener un inventario de activos correctamente documentado te ayudará a identificar los riesgos asociados a él de forma mucho más simple y rápida.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Cómo hacer tu inventario de activos de información
Guía para hacer tu política de SGSI
FAQs - 12. Inventario de Activos
Guía para hacer tu matriz de riesgos
Guía para hacer tu matriz SoD
¿Ha quedado contestada tu pregunta?