El objetivo que persigue la norma ISO 27002 es que la organización conozca de forma precisa todos los activos que posee.
Esta información es una parte muy importante de la administración de riesgos.
Algunos ejemplos de activos son:
- Recursos de información: bases de datos y archivos, la documentación de los sistemas, los manuales de usuario, el material utilizado durante la capacitación, los procedimientos operativos, los planes de continuidad y contingencia, etc.
- Recursos de software: software de aplicaciones, sistemas operativos, herramienta utilizadas para llevar a cabo los desarrollos, etc.
- Activos físicos: equipamiento informático, equipos de comunicación, mobiliario, etc.
- Servicios: los servicios informáticos y de comunicaciones.
Los activos de información tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que se dedican a cumplir con el objetivo de establecer como se debe tratar y proteger la información.
Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente tiene que mantenerse de forma invariable por siempre, y que se puede cambiar según la política determinada por la propia organización. Es necesario que se considere la cantidad de categorías a la hora de definir toda la clasificación según los esquemas que se pueden llevar a cabo de forma compleja en la organización y pueden resultar muy poco prácticos.
La responsabilidad sobre los activos
Según establece la norma ISO 27002 es necesario justificar los activos y que cuenten con un propietario que debe estar correctamente identificado. Los propietarios de los activos tendrán la responsabilidad de mantener los controles necesarios.
La implantación de los controles específicos se puede delegar por parte del propietario de forma conveniente. No obstante, el propietario será el responsable de la adecuada protección de todos los activos.
La persona o entidad que será la responsable de un activo, debe contar con la aprobación del órgano de dirección, para establecer el control de la producción, el desarrollo, el mantenimiento, la utilización y la seguridad de todos los activos.
El término propietario no significa que la persona responsable disponga de los derechos de propiedad reales del activo, simplemente se dedica a proteger que no le suceda nada.
Será necesario realizar y mantener un inventario de activos de información, que debe ser mostrado a los propietarios de los activos y los detalles relevantes.
Utilizar un código de barras facilita las tareas que se deben realizar a la hora de hacer inventario y vincular los equipos de TI que entran y salen de las instalaciones.
¿Cuáles son las actividades de control del riesgo que se llevan a cabo?
Las actividades de control de riesgos que se tienen que llevar a cabo son:
- Realizar un inventario de activos. Todos los activos deben encontrase claramente identificados, confeccionados y mantenidos en un inventario.
- Proteger la propiedad de los activos. Todos los activos del inventario deben estar asociados a un responsable designado por la organización.
- Uso aceptable de los activos. Se tendrá que identificar, documentar e implementar la regulación para el uso adecuado de la información y los activos que se encuentran asociados a recursos de tratamiento de la información.
- Devolución de los activos. Una vez que finalice el acuerdo, los responsables deberán devolver todos los activos a la organización, por este motivo es necesario que cuenten con un contrato de prestación de servicios.
El objetivo de ISO 27002 es que la organización conozca todos los activos que posee, ya que es un parte muy importante de la administración de riesgos.
Clasificar la información
Es necesario que se realice una clasificación de la información en la que se indica la necesidad, las prioridades. También habrá que clasificar el nivel de protección que se necesite para llevar a cabo el tratamiento.
La información tiene diversos grados de sensibilidad y criticidad. En algunos casos se pueden requerir niveles de protección que resulten adicionales o de un tratamiento especial. Tiene que utilizarse un esquema de clasificación de la información con el que se definirán de forma adecuada los niveles de protección. También se comunicará la necesidad de las medidas especiales para llevar a cabo el tratamiento adecuado.
Es necesario que se distingan todos los requisitos de seguridad, según el acuerdo alcanzado con el riesgo. Es necesario que se comience por controlar la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
Las actividades que se realizan para establecer el control del riesgo
- Clasificación. La información se tendrá que clasificar en relación al valor que tenga, los requisitos legales, la sensibilidad del documento y lo crítico que sea para la empresa.
- Etiquetado y manipulado de la información. Se tendrán que llevar a cabo una serie de procedimientos para establecer un etiquetado y tratamiento de la información según el esquema de clasificación que se ha realizado por la empresa.
- Manipulación de los activos. Se tienen que desarrollar e implementar procedimientos para la manipulación de todos los activos según el esquema de clasificación que se ha generado por la propia empresa.
Tomado de: https://www.isotools.org/