¿Cómo identificar el inventario de activos?
Inventario de Activos
Los activos de información son los recursos que utiliza un Sistema de Gestión de Seguridad de la Información para hacer que las organizaciones trabajen y logren los objetivos propuestos por la alta gerencia. Se crean un inventario de activos asociados, directa o indirectamente, con otras entidades. Un proyecto de seguridad tiene como objetivo controlar la seguridad de los activos de información que generan el dominio en el estudio de proyectos. El límite del conjunto de activos de dominio no excluye la consideración de las relaciones de seguridad de dichos activos de información con el entorno.
Uno de los primeros pasos que debe seguir una entidad para adaptarse a ISO 27001 es realizar un inventario de los activos de información. Tendrán los activos de información que representan algún valor para la empresa y que están dentro del alcance del SGSI. En principio, puede parecer un poco abrumador para un principiante, debido a la gran cantidad de activos que toman parte.
Por esta razón, se decide comenzar clasificándolos de alguna manera. Debido a que los activos de información están cambiando, esta información es cambiante de una situación a otra, desde un margen de tiempo corto o largo. Por lo tanto, es aconsejable mantener vivo el inventario de activos. Se debe incluir la revisión del Sistema de Gestión de Seguridad de la Información. Los procesos deben actualizarse como parte de la mejora continua.
Si comenzamos una búsqueda a través de las diferentes ediciones del estándar de gestión de seguridad de la información, notaremos que en ninguna de ellas hay una definición específica de lo que significa un activo dentro de un SGSI. La definición más cercana se encuentra en la revisión de 2005, donde nos dice que un activo es «cualquier elemento de valor para la organización». De acuerdo con esto, tendríamos que pensar que un activo, de acuerdo con ISO 27001, es «todo lo que tiene valor para la gestión de seguridad de la organización».
Elementos que pueden formar un inventario de activos
- Hardware: en esta categoría agrupamos equipos informáticos que juegan un papel en la organización y puede directa o indirectamente suponer un riesgo finalmente, bien por una rotura o mal funcionamiento, etc.
- Software: se refiere al software contratado por la organización, pero también a las aplicaciones preinstaladas en el equipo informático e incluso a aplicaciones o desarrollos gratuitos.
- Información: bases de datos, archivos en cualquier formato, ya sea texto, imágenes, hojas de cálculo, información almacenada en medios digitales, pero también capturada en papel u otras formas no digitales.
- Infraestructura: todo lo que, en cualquier momento, puede impedir el acceso a la información, deteriorarla o destruirla. Las instalaciones físicas, el servicio de electricidad, aire acondicionado …
- Recursos humanos: personas que tienen la capacidad y los permisos necesarios para modificar la información, pero también aquellos que almacenan información vital para la organización en sus cerebros.
- Servicios subcontratados: servicios legales, de limpieza, proveedores de Internet, cuentas de correo electrónico, mantenimiento y actualización …ISO 14020 sobre Etiquetas ecológicas y declaraciones ambientales. Principios generales.
Cuando pensamos en cómo preservar la seguridad de esos activos como una forma de garantizar la integridad de la información, nos damos cuenta de que la mejor manera de comenzar una evaluación de riesgos es con un buen inventario de activos. Y aunque ISO 27001 no lo solicita como requisito, en la práctica es esencial.
Los inventarios de activos son un elemento clave para identificar el riesgo. Solo de esta manera podemos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema. Gracias al registro de inventario de activos de acuerdo con ISO 27001, podemos identificar quién es responsable del activo y asignar responsabilidades. De esta manera, podemos proteger la confidencialidad, integridad y disponibilidad de la información.
La mejor manera de hacer el inventario de activos es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en la primera sección de este texto puede convertirse en una lista de verificación muy útil. Los informes de contabilidad y recursos humanos también pueden ser muy útiles en esta primera etapa.
Es importante que la construcción del inventario de activos de acuerdo con ISO 27001 sea dirigida por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano con el director de seguridad de la información en aquellas organizaciones donde, debido a su tamaño y complejidad, existe tal cargo.
Formación en Riesgos de SI
La Escuela Europea de Excelencia ha diseñado un Diplomado de Seguridad de la Información ISO 27001 para que los profesionales en seguridad de la información puedan hacer frente a los retos que se plantean frente a los inventarios de activos en la norma ISO 27001. Este diplomado ofrece un programa completo para que el alumno pueda dar respuesta a todas las necesidades del proyecto ISO 27001 que esté liderando.
El Diplomado de Seguridad de la Información con la ISO 27001, como el resto de cursos de la Escuela Europea de Excelencia, está diseñado por y para profesionales. Ha sido desarrollado por expertos en activo de los Sistemas de Gestión de Seguridad de la Información a nivel internacional. Además de la enriquecedora interacción con estos docentes, esta formación le pondrá en contacto con profesionales de otras nacionalidades, lo que se traducirá en una experiencia enriquecedora para todos los alumnos.