Las personas como un activo de la información en la norma ISO 27001 2017
Activos de la información
En el punto 8 del anexo A de la ISO 27001 de 2017 se detalla un aspecto muy importante dentro de la norma: La gestión de activos de la información que dan soporte a los diferentes procesos de la información. Dicha gestión consiste en establecer varias cuestiones clave para el buen funcionamiento de los mismos: crear un inventario para identificarlos, fijar a unos responsables o propietarios de cada uno de los activos, determinar el correcto uso de cada uno de ellos y como se procedería a su recuperación en el caso de pérdida o difusión no controlada de alguno de ellos.
No hay que olvidar que según la ISO 27001, uno de los primeros pasos que debe llevar a cabo toda compañía que quiera certificar la norma debe ser el de realizar un inventario de los activos de la información. Si no sabemos lo que tenemos, será imposible gestionarlo y llevar a cabo un control, pero ¿cómo clasificar estos activos de una manera correcta?
Hay tantas maneras de clasificar como casos, aunque la gran mayoría de profesionales suelen seguir un criterio que comienza dividiendo los activos entre tangibles e intangibles:
- Los activos tangibles, son los materiales que contienen la información. Aquellos asociados a riesgos físicos, que habrá que prevenir: caídas, golpes o agentes físicos (agua, fuego, etc.)
- Los intangibles son los activos inmateriales, es decir, aquellos que soportan la información dentro del activo material. Estos se podrán ver comprometidos, aunque el activo físico no haya sufrido daño, debido fundamentalmente a motivos externos relacionados con ataques o intentos de robo de información, entre otros.
Las personas como activos tangibles
Cuando hablamos de activos tangibles, normalmente se nos vienen a la cabeza objetos materiales: computadores, servidores físicos, portátiles, tabletas, móviles, pendrives oficinas e instalaciones y como no, los recursos humanos.
Aunque entre los activos tangibles siempre se incluyen los recursos humanos, como aquellas personas que gestionan la información, no siempre se les da la importancia que merecen a la hora de contabilizarlos. De hecho, muchos profesionales a la hora de realizar el inventario, no llegan a incluirlos dentro de los listados de activos, sino que los incluyen en la definición propia de activo de información del sistema y sobre todo al llevar a cabo la gestión de riesgos del mismo.
No se debe olvidar que las personas juegan un papel fundamental en el uso y tratamiento de la información. Estos pueden generar acciones de control muy importantes dentro de una organización como: privilegios de acceso de usuarios, necesidad de aprobación de acciones por parte de determinados responsables, almacenamiento de información, en muchos casos muy importante, etc. Todo dependerá del riesgo de información al que este sujeto el activo persona.
Este activo puede estar formado por una gran cantidad de usuarios: plantilla de la propia organización, personal subcontratado, clientes, y en general todos aquellos que tengan acceso de una manera u otra a los activos de información de la organización.
Una irregularidad en el sistema de seguridad de la información puede estar provocado por muchos motivos, entre ellos por un error humano que desencadene una serie de acciones que provoquen una violación, robo o exposición de determinados datos que no deben ser revelados y pongan en evidencia el SGSI.
No hay que olvidar que las acciones de control que cada persona tenga asociadas a su rol, están directamente relacionadas con otros activos. Por tanto, habrá que establecer qué tipo de riesgo corresponde a cada acción de control de un determinado cargo.
Nuevo curso en Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013
La Escuela Europea de Excelencia (EEE), es una organización educativa referente en España y Latinoamérica, cuya especialización se centra en la formación de profesionales en áreas como: la calidad; la seguridad y salud en el trabajo; la gestión ambiental; la gestión de riesgos; la seguridad de la información y la gestión de proyectos ISO.
La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.
Hasta el próximo domingo 24 de marzo se ofertan 10 plazas con un 30% de descuento para realizar el Diplomado implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Dicha oferta deja el precio de curso en 692.30€. Una vez pasada la fecha, el coste del mismo volverá a ser de 989€.
Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.