Please enable JavaScript.
Coggle requires JavaScript to display documents.
ACTIVOS DE INFORMACION Julissa Llumiquinga, image, image, image, image,…
ACTIVOS DE INFORMACION
Julissa Llumiquinga
Según María Camila Arévalo (2020), los activos de información, es una pieza clave para que las empresas puedan llevar a cabo sus operaciones.
Los datos que maneja son esenciales para la actividad que desarrollan.
Se debe tener un especial cuidado con aquellas aplicaciones y desarrollos propios, ya que pueden carecer de las medidas de seguridad básicas incluidas en las aplicaciones comerciales.
Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos, nos será complicado gestionarlo o controlarlo correctamente.
Los activos de información son los recursos que utiliza un Sistema de Gestión de Seguridad de la Información (SGSI).
Para que las organizaciones funcionen y consigan los objetivos que se han propuesto por la alta dirección.
ISO 27001 SEGURIDAD DE LA INFORMACIÓN
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO)
Describe cómo gestionar la seguridad de la información en una empresa.
Esta norma puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande.
Objetivo de la norma ISO 27001
La norma ISO 27001 persigue el objetivo de proteger los activos de la información de cualquier empresa.
Gestión global de riesgo
La gestión de la seguridad de la información no se delimita solamente a la seguridad de TI, sino que también tiene que ver con la gestión de procesos.
Hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio.
La seguridad de la información es parte de la gestión global del riesgo en una empresa.
ISO 27001
El eje central de ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una empresa.
Esto lo hace investigando cuáles son los potenciales problemas que podrían afectar la información.
Luego definiendo lo que es necesario hacer para evitar que estos problemas se produzcan (mitigación el riesgo).
Los activos de información pueden ser:
Las herramientas que se utilizan para el manejo de la información.
Etapas para documentos los archivos
Propiedad
Al identificar los activos, se les debe asignar un propietario o responsable que se encargue de definir los controles de protección que se les van a aplicar.
Directrices de clasificación
Se deben clasificar dependiendo el tipo de información, si es legal, financiera, de operaciones, entre otras.
Inventario
Lo primero que se debe hacer es identificar los activos de información más importantes de la empresa para poder clasificarlos y darles la relevancia necesaria.
Tratamiento
Se deben implementar las mejores prácticas de seguridad, darle el manejo adecuado a la información siguiendo los protocolos establecidos anteriormente.
Los instrumentos de desarrollo y de soporte a los sistemas de información.
La infraestructura, el hardware y el software que se usa para almacenar la información.
Personas encargadas de manejar y manipular la información de la empresa.
Información que se utiliza en diferentes procesos de la empresa, tanto digitales como manuales.
Tipos de activos de información
Es fundamental, los activos de información clasificarlos de alguna forma.
A continuación de muestra ejemplo de cada tipo y es válido para entidades de diferente naturaleza.
Intangibles
Conocimiento de información, relacionamiento, licencias, conocimientos técnicos, imagen corporativa, marca, reputación,etc.
Operativos
Servidores, computadores, dispositivos de red, dispositivos de mano e
incrustados y la nube.
Tangibles
Personas, financieros, legales, estrategia y comerciales y otros medios de almacenamiento.
Servicios TI
Hardware, enlaces, dispositivos de comunicación, administración de
procesos, tecnología y software.
Digitales
Correos electrónicos, copias de seguridad, bases de datos, dispositivos de almacenamiento, servicios web y infraestructura digital.
Valoración de los activos
Es recomendable cuantificar la importancia de los Activos de Información, y valorarlos a través de diferentes dimensiones.
según la criticidad de la información que contienen. La metodología MAGERIT, determina cinco:
Autenticidad
El garantizar que la fuente de información es quien dice ser, o quien accede o modifica los datos es quien tiene que ser.
Integridad
La integridad valora la importancia de que la información contenida en el Activo, permanezca fiel y completa.
Trazabilidad
Disponer de un control completo de las acciones y usos que se le da a un determinado Activo.
Confidencialidad
La confidencialidad de una determinada información puede ser clave para la continuidad del negocio.
Disponibilidad
La disponibilidad consiste en que la persona autorizada pueda acceder a la información incluida en el Activo.
Para cada una de estas dimensiones se deberán fijar criterios objetivos y cuantificables, que nos servirán para determinar su valor en cada Activo.
Se suelen utilizar escalas numéricas asociadas
a los distintos valores que pueda tomar la dimensión.
Activos materiales
Los activos los podemos separar en dos grandes grupos: tangibles e intangibles.
Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son:
Personal propio
Cada una de las personas que trabajan en la organización, tienen información del negocio en su cabeza.
Oficinas e instalaciones
Las oficinas, los edificios, las naves industriales contienen los
computadores,los servidores físicos, los archivadores, la documentación en papel.
Portátiles, tabletas y móviles
En esta categoría se incluyen todos aquellos dispositivos electrónicos que salen de las instalaciones.
Periféricos
Hay que tener un especial cuidado con escáneres e impresoras donde se deja información impresa olvidada con frecuencia.
Equipos red local
Los equipos informáticos están conectados entre sí por medio de redes inalámbricas o cableadas.
Equipos informáticos
Cada vez son más los equipos informáticos presentes en las empresas, y puede contener información crítica almacenada.
Servidores físicos
Los servidores propios donde guardamos todos los documentos de la organización o donde se encuentran las aplicaciones informáticas compartidas.
Equipos de data center
Salas refrigeradas para servidores, armarios para servidores, equipos de refrigeración, módulos de distribución de energía.
Activos intangibles
Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe destacar:
Sistemas operativos
Dado que soportan el resto de aplicaciones informáticas y que son uno de los principales objetivos de los virus informáticos.
Comunicaciones
Las comunicaciones con el exterior también son críticas ante una situación de emergencia.
Gestores de copias de seguridad
Las aplicaciones de creación y restauración de copias
de seguridad se tratan como herramientas diferentes a las anteriores.
Gestores de bases de datos
El mal funcionamiento del ERP puede suponer una pérdida
de accesibilidad de la información durante un tiempo determinado.
Aplicaciones informáticas
Cualquier software que contenga o gestione información del negocio, será un Activo.
Suministros
La ausencia de suministro eléctrico durante un espacio de tiempo, se genera la interrupción de los sistemas de información de la organización.
Elaborado por:
Julissa Llumiquinga
ID:
L00411568