Los activos de información son herramientas que se usan dentro del sistema de gestión de seguridad de la información para que las empresas puedan cumplir con los objetivos propuestos desde la alta dirección.
Una buena gestión de los activos de información requiere diseñar, establecer e implementar los procesos para identificar, valorar y clasificar el tratamiento de los activos más importantes de la compañía.
De acuerdo con la norma ISO 27001, los activos de información son "algo que una organización valora y por lo tanto debe proteger".
Los activos de información pueden ser:
- Información que se utiliza en diferentes procesos de la compañía, tanto digitales como manuales.
- La infraestructura, el hardware y el software que se usa para almacenar la información.
- Las herramientas que se utilizan para el manejo de la información.
- Los instrumentos de desarrollo y de soporte a los sistemas de información.
- Personas encargadas de manejar y manipular la información de la empresa.
Etapas para documentar los activos
- Inventario: lo primero que se debe hacer es identificar los activos de información más importantes de la empresa para poder clasificarlos y darles la relevancia necesaria.
- Propiedad: después de identificar los activos, se les debe asignar un propietario o responsable que se encargue de definir los controles de protección que se les van a aplicar.
- Directrices de clasificación: se deben clasificar dependiendo el tipo de información, si es legal, financiera, de operaciones, entre otras.
- Tratamiento: se deben implementar las mejores prácticas de seguridad, darle el manejo adecuado a la información siguiendo los protocolos establecidos anteriormente.
Ten en cuenta que los activos de información están relacionados directa e indirectamente con amenazas, impactos, vulnerabilidades y riesgos internos y externos. Además, en una herramienta como Pirani y su módulo de seguridad de la información podrás identificarlos y gestionarlos fácilmente.
Tipos de activos de información
Digitales
- Correos electrónicos.
- Copias de seguridad.
- Bases de datos.
- Ecommerce.
- Dispositivos de almacenamiento.
- Servicios web.
- Infraestructura digital.
Tangibles
- Personas.
- Financieros.
- Legales.
- Estrategia y comerciales.
- Otros medios de almacenamiento.
Intangibles
- Conocimiento de información.
- Relacionamiento.
- Licencias.
- Conocimientos técnicos.
- Imagen corporativa.
- Marca.
- Reputación comercial.
- Confianza de los clientes.
- Ética.
Operativos
- Servidores.
- Computadores.
- Dispositivos de red.
- Dispositivos de mano e incrustados.
- La nube.
Servicios TI
- Hardware.
- Enlaces.
- Dispositivos de comunicación.
- Tecnología.
- Administración de procesos.
- Software.
Valoración de los activos
Aunque no es requisito de la norma ISO 27001, se recomienda cuantificar la importancia de los activos de información, se puede hacer a través de tres variables: confidencialidad, integridad y disponibilidad que también se conoce como "CID":
- Confidencialidad: es la información que es clave y confidencial, como su nombre lo indica, en la continuidad del negocio. En caso de que esta llegue a ser revelada puede traer consecuencias muy grandes a la organización, poniendo en peligro su reputación y trayendo consigo grandes amenazas.
- Integridad: la información del activo debe ser completa y legal, por ende no debe ser alterada por ningún motivo o manipulada por un tercero pues esto causaría errores dentro del sistema.
- Disponibilidad: es la posibilidad de acceder a la información cuando se necesite. En caso de que el activo no este disponible puede provocar que la necesidad se detenga la producción del negocio.