Los encargados de la seguridad de la información en las empresas deben tener en cuenta diferentes lineamientos para hacer una adecuada gestión y clasificación de los activos y poder conocer en detalle qué es lo que poseen, cómo deben usarlos, quiénes son los responsables y cuál es el rol de cada uno.
De acuerdo con la norma ISO 27001, es necesario hacer un inventario y clasificación de los activos de información de la empresa como parte del cumplimiento del Modelo de Seguridad y Privacidad de la Información, que estipula lo siguiente:
- Inventario de activos: se deben identificar todos los activos de la compañía y a su vez, crear un inventario de estos para tener los datos en un solo lugar y de manera organizada.
- Propiedad de activos: cada activo identificado debe contar con un responsable o propietario.
- Clasificación de la información: se debe realizar la respectiva clasificación dependiendo del requerimiento legal, valor, criticidad, divulgación y modificación.
- Manipulación de información: se debe contar con procedimientos que permitan etiquetar la información y que funcione con el sistema de clasificación que definió la empresa.
¿Cómo hacer el inventario de activos de información?
- Obtener la información del activo: nombre, procesos, observaciones, entre otras.
- Saber cuál es el nivel de clasificación de la información.
- Ubicar la información física y digital.
- Conocer quién es el propietario y responsable de cada activo.
- Identificar quiénes son los usuarios y qué derechos tienen sobre esta información.
Sistema de clasificación de activos de información
Hay que tener en cuenta que el sistema de clasificación de un activo de información se basa en las propiedades de confidencialidad, integridad y disponibilidad como principios para el tratamiento de los datos, y de igual manera evalúa el impacto que tendría en caso de que no se respete alguno de estos fundamentos.
A cada propiedad se le deben establecer criterios específicos acerca de cómo va a ser el tratamiento del activo. Cada organización puede definir los niveles que permitirán determinar el valor del activo. Generalmente, se usan tres clasificaciones: alta, media y baja para saber cuáles activos se deben tratar con prioridad.
- Alta: cuando los activos de información tienen clasificación de dos en todas las propiedades (confidencialidad, integridad y disponibilidad).
- Media: cuando la clasificación de la información de una de las propiedades es alta o nivel medio.
- Baja: cuando la clasificación de la información en todas sus propiedades es baja.
¿Cómo clasificar los activos de información?
La clasificación y gestión de los activos de información en las organizaciones debe hacerse a partir de lo propuesto en la norma ISO 27001, que además del inventario de activos, establece los siguientes puntos:
- Uso de activos: según la ISO 27001 se debe contar con políticas y controles que indiquen de qué manera se debe llevar a cabo el uso de la información y de los activos.
- Devolución de activos: una vez el propietario finalice la relación con la organización debe hacer entrega de todos los datos de los activos.
- Manejo de activos: contar con procedimientos para el manejo de estos, teniendo como referente el sistema de clasificación que adoptó la empresa.
Todo esto es posible hacerlo de una manera más simple y eficiente a través del uso de herramientas tecnológicas como Pirani, que también permite gestionar los activos de información y los riesgos a los que estos están expuestos a través del módulo de seguridad de la información.
Te invitamos a contarnos en los comentarios sobre qué otros temas de seguridad de la información te gustaría aprender o profundizar más a través de los artículos de nuestro blog.