Norma ISO 27002: ¿Cómo se lleva a cabo la gestión de activos?
Norma ISO 27002
El objetivo de la norma ISO 27002 es que la empresa tenga conocimiento preciso sobre todos los activos que posee como parte importante de la administración de riesgos.
Algunos ejemplos activos son:
- Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.
- Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.
- Activos físicos: equipamiento informático, equipos de comunicaciones, medios, otros equipos técnicos, mobiliario, lugares de emplazamiento, etc.
- Servicios: servicios informáticos y de comunicaciones, utilitarios generales.
Los activos de información tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que cumplen con el objetivo de señalar cómo ha de ser trata y protegida la información.
Las pautas de clasificación tienen que prever y contemplar el hecho de que la clasificación de un ítem de información determinando no necesariamente tiene que mantenerse invariable por siempre, y que se puede cambiar según una política determinada por la propia empresa. Es necesario que se considere la cantidad de categorías de definir para la clasificación dado que los esquemas demasiado complejos que pueden tornarse difíciles o resultar poco prácticos.
8.1 Responsabilidad sobre los activos
Los activos de información según la norma ISO 27002 tienen que ser justificados y tener asignado un propietario y deberán identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los diferentes controles adecuados.
La implementación de los controles específicos puede ser delegada por el propietario de forma conveniente. No obstante, el propietario permanece como responsable de la adecuada protección de los activos.
El término identifica a un individuo o entidad de forma responsable, que cuenta con la aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento, utilización y seguridad de los activos. El término propietario no significa que la persona disponga de los derechos de propiedad reales del activo.
Es necesario elaborar y mantener un inventario de activos de información, mostrando los propietarios de los activos y los detalles relevantes.
Utilizar un código de barras para facilitar las tareas de realización de inventario y vincular los equipos de TI que entran y salen de las instalaciones con los empleados.
Actividades de control del riesgo
- Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.
- Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.
- Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.
- Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.
8.2 Clasificación de la información
Se debe clasificar la información para indicar la necesidad, las prioridades y el nivel de protección previsto para su tratamiento.
La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían requerir niveles de protección adicionales o de un tratamiento especial. Debe utilizarse un esquema de clasificación de la información para definir el conjunto adecuado de niveles de protección y comunicar la necesidad de medidas especiales para el tratamiento.
Es necesario distinguir los requisitos de seguridad, según el acuerdo alcanzo con el riesgo. Comience quizás con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
Actividades de control del riego
- Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.
- Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.
- Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.
8.3 Manejo de los soportes de almacenamiento
Los medios deben ser controlados y protegidos. Se tiene que establecer los procedimientos operativos adecuados para proteger los documentos, los medios informáticos, datos de entrada o salida y documentos del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizados.
Los soportes y la información no son solo físico sino electrónico. Es necesario cifrar todos los datos sensibles o valiosos antes de ser transportados.
Actividades de control del riego
- Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización.
- Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.
- Soportes físicos en tránsito: Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un SGSI de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un SGSI en una empresa.