ISO 27001 y el inventario de activos de la información
ISO 27001
ISO-27001 ayuda a organizar la seguridad de la información en todos las clases de organización, ya sea grande o pequeña. ISO 27001 constituye la base para llevar a cabo la gestión de la seguridad de la información.
El inventario de activos de la información es muy importante para la implantación de la ISO27001 ya que es el primer paso para adaptarse a dicha norma. Este inventario de activos de la información estará formado por todos los activos que poseen algún valor para la empresa y que están dentro del alcance del SGSI.
Llamamos activo a todo aquello que posee algún valor para la empresa por lo que tiene que protegerse. De esta forma un activo de información es un elemento que posee información. Entre activos de información encontramos las bases de datos, acuerdos y/o contratos, documentos del sistema, ficheros, aplicaciones, software de información, equipos informáticos, entre otros.
Cada uno de los activos mencionados va a tener un responsable que va a realizar el mantenimiento de su seguridad, aunque puede que este no la gestione.
En lo que se refiere a la valoración de estos activos de información se debe realizar de la manera más objetiva posible, para ello cada una de las áreas de la empresa debe de involucrarse en este proceso para que se alcance una imagen muy real de los activos de la empresa.
Para valorar los activos se debe tener en cuenta ciertos aspectos:
- Disponibilidad. Se debe de saber la importancia que tiene la ausencia del activo.
- Integridad. Se debe responder a la pregunta de qué repercusiones tendría la modificación de este activo sin la autorización pertinente.
- Confidencialidad. Se debe responder a la pregunta que cual sería la importancia del exceso del activo sin autorización.
En ocasiones, debido a la complejidad de las empresas puede ser necesaria la realización de un árbol de dependencias entre los diferentes activos. En este árbol de dependencia es muy importante valorar los activos superiores ya que son importantes por sí mismos.
ISOTools, es un Plataforma Tecnológica, que realiza el ciclo completo de la norma ISO-27001 desde las primeras fases de inicio y planificación de este proyecto hasta el control y mejora continua, incluyendo el proceso de análisis de riesgos, implantación de procedimientos, cuadro de mandos, entre otros.
ISOTools facilita la identificación, mantenimiento y clasificación de los activos de las empresas.