Los Activos de Información en la norma ISO 27001 2017

Un requisito de la norma ISO 27001 2017, incluido en la lista de Controles del Anexo A, es la correcta gestión de los Activos de Información que dan soporte a los diferentes procesos de la organización. Esta gestión comprende desde su identificación por medio de un inventario, fijar un responsable o Propietario de cada activo, determinar los usos correctos y adecuados de cada uno de ellos, y su recuperación cuando sea necesario para evitar su pérdida o difusión no controlada.

La identificación de los Activos

Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos, nos será muy complicado gestionarlo o controlarlo correctamente. Este inventario se deberá mantener actualizado a lo largo del tiempo, por lo que se deberán realizar revisiones periódicas y comunicar los cambios.

Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los activos tangibles son aquellos activos materiales que contienen información, y sobre los que tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos: golpes, agua, fuego, etc. Los activos intangibles son aquellos que soportan la información dentro de un activo material, y pueden inutilizar la información, pese a que el activo físico no haya sufrido daño alguno.

Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel (activo intangible), que se encuentra en un ordenador de sobremesa (activo material), situado en la oficina principal (activo material) de la empresa.

Activos materiales

Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son:

  1. Equipos informáticos: Cada vez son más los equipos informáticos presentes en las empresas, y pese a no contener información crítica en su interior, si que tienen acceso a servidores y redes que si la poseen.
  2. Servidores físicos: Los servidores propios donde guardamos todos los documentos de la organización o donde se encuentran las aplicaciones informáticas compartidas (ERP, CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico, suelen ser los Activos más críticos dentro del SGSI.
  3. Equipos red local: nuestros equipos informáticos están conectados entre sí por medio de redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por hackers expertos.
  4. Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e impresoras donde se deja información impresa olvidada con frecuencia. Los pendrives, CDs, DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con información muy sensible.
  5. Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos dispositivos electrónicos que salen de nuestras instalaciones habitualmente. Sea por visitas comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se ceden temporalmente a terceros.
  6. Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen los ordenadores, los servidores físicos, los archivadores, la documentación en papel... Por lo que deben ser consideradas como un activo material más, que deberemos proteger.
  7. Personal propio: Cada una de las personas que trabajan en la organización, tienen información del negocio en su cabeza: conocimientos del proceso productivo, salarios, contactos de proveedores y clientes... dependiendo del puesto que ocupe el trabajador, ésta será más o menos sensible.
  8. Oros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que podemos tener en nuestra organización, y deberemos identificar.

Activos intangibles

Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe destacar:

  1. Aplicaciones informáticas: cualquier software que contenga o gestione información del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones ofimáticas (Word, Excel, Powerpoint...), software de control de calidad, aplicaciones de gestión de proyectos o producción...
  2. Gestores de copias de seguridad: las aplicaciones de creación y restauración de copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que se debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas.
  3. Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que son uno de los principales objetivos de los virus informáticos, los gestionaremos de manera especial al resto del software.
  4. Comunicaciones: Las comunicaciones con el exterior también son críticas ante una situación de emergencia, por lo que se tratarán de forma diferente: los servicios telefónicos, el acceso a internet y los servidores de correo electrónico.
  5. Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una pérdida de accesibilidad de la información durante un tiempo determinado. Pero la caída del gestor de bases de datos que hay detrás, puede generar la perdida de una parte del contenido o su totalidad. Por lo que requiere de un cuidado más exigente y delicado.
  6. Suministros: la perdida de suministro eléctrico durante un espacio de tiempo prolongado, puede suponer la caída de los sistemas de información de la organización. Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos servicios.

RECOMENDACIÓN: En ocasiones, dependiendo del tipo de información contenida en el Activo, su criticidad para el negocio y si ésta tiene legislación aplicable, se duplica el Activo en el inventario para su tratamiento independiente y personalizado. Por ejemplo, se suele separar la aplicación de Recursos Humanos del resto de aplicaciones informáticas en el inventario, ya que sobre dicho software se aplicarán medidas extraordinarias para cumplir la LOPD, que en el resto podemos considerar no necesarias.

IMPORTANTE: Se debe tener un especial cuidado con aquellas aplicaciones y desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas incluidas en las aplicaciones comerciales. Y por tanto ser más vulnerables a ataques y fallos durante su utilización.

Los Activos de Información en la norma ISO 27001 2017

Valoración de Activos

Pese a no ser requisito de la norma ISO 27001 2017, es bastante recomendable cuantificar la importancia de nuestros Activos de Información, y valorarlos a través de diferentes dimensiones según la criticidad de la información que contienen. Hay tres criterios básicos incluidos en la mayoría de metodologías de evaluación: la Confidencialidad, la Integridad y la Disponibilidad, también denominadas "CID". Pero en otras metodologías como MAGERIT, este número se amplía a cinco:

  1. Confidencialidad: La confidencialidad de una determinada información puede ser clave para la continuidad del negocio. Una lista de clientes o tarifas publicada en internet, puede suponer la pérdida de competitividad respecto a otras empresas del sector, y por tanto un riesgo elevado para la organización.
  2. Integridad: La integridad valora la importancia de que la información contenida en el Activo, permanezca fiel y completa, y no sea eliminada parcial o completamente por terceros o por error. Hay Activos de información que un daño mínimo los hace inútiles. Por ejemplo, si a un software le eliminas un archivo, posiblemente deje completamente de funcionar.
  3. Disponibilidad: La disponibilidad consiste en que la persona autorizada a acceder a la información incluida en el Activo, lo pueda hacer cuando lo necesite. En ocasiones el no tener acceso a un determinado Activo, puede suponer la necesidad de detener la producción, con los problemas que ello conlleva.
  4. Autenticidad: En ocasiones, el garantizar que la fuente de información es quien dice ser, o quien accede o modifica los datos es quien tiene que ser, puede suponer que la información pierda completamente su valor. No sea fiable su calidad, y por tanto el Activo de Información se haya perdido.
  5. Trazabilidad: Disponer de un control completo de las acciones y usos que se le da a un determinado Activo, de quien las realiza y en que momento, puede ser necesario para garantizar su calidad.

NOTA: Para cada una de estas dimensiones se deberán fijar criterios objetivos y cuantificables, que nos servirán para determinar su valor en cada Activo. Se suelen utilizar escalas numéricas asociadas a los distintos valores que pueda tomar la dimensión. Determinar estos criterios suele ser una labor complicada a la que deberemos dedicar tiempo, si queremos obtener resultados coherentes con la realidad de la empresa.

IMPORTANTE: Es muy importante dedicar tiempo a la identificación y clasificación de los Activos de Información. Ya que si continuamos con el proceso de evaluación de riesgos y el plan de tratamiento de riesgos de los que nos hayan salido significativos, y posteriormente identificamos nuevos Activos olvidados, deberemos repetir todo el trabajo.

¿Te ha gustado? Sólo te pedimos que lo compartas... ¡Gracias!

Los Activos de Información en la norma ISO 27001 2017
Los Activos de Información en la norma ISO 27001 2017

¿Tienes dudas?

© Copyright ISOwin S.L. | All Right Reserved | Aviso legal