La gestión de activos de información es una tarea de las gerencias de seguridad o de gestión de la información que involucra el diseño, establecimiento e implementación de un proceso que permita la identificación, valoración, clasificación y tratamiento de los activos de información más importantes del negocio.
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”.
Se puede considerar como un activo de información a:
- Los datos creados o utilizados por un proceso de la organización en medio digital, en papel o en otros medios.
- El hardware y el software utilizado para el procesamiento, transporte o almacenamiento de información.
- Los servicios utilizados para la transmisión, recepción y control de la información.
- Las herramientas o utilidades para el desarrollo y soporte de los sistemas de información.
- Personas que manejen datos, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de información crítica, know how).
Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves:
- Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.
- Propiedad de los Activos: Todos los activos de información deben ser “propiedad” de una parte designada de la Organización. En este sentido el propietario del activo definirá y garantizará los controles para la adecuada protección del activo.
- Directrices de Clasificación de Activos: La información debe clasificarse en términos de su valor, de los requisitos legales, de su sensibilidad y la importancia para la organización.
- Tratamiento de Activos: A la información debe dársele un manejo adecuado. Se debe establecer con base en las mejores prácticas de seguridad, que controles mínimo deben ser aplicados a los activos para su adecuado manejo, dependiendo del nivel de clasificación en el cual hayan sido catalogados.
Actualmente el reto de los responsables de la seguridad de la información en las organizaciones es resolver el "cómo" de la gestión de activos, lo cual involucra el inicio de un proyecto con las siguientes fases mínimas, en resumen:
Gestión de Activos de Información
Adicional a estas fases se requiere implementar en paralelo un proceso de sensibilización y cultura de la gestión de activos, para que esta gestión haga parte de las actividades del día a día de los procesos de la organización. El proyecto debe dejar como resultado mínimo el inventario, valoración, clasificación y definición del tratamiento de los activos de información de los procesos.
Es importante que este proceso se optimice y se automatice a través del uso de herramientas que como NovaSec MS permitan acceder y administrar fácilmente la gestión de activos. Si posee actualmente herramientas de software para administración de riesgos o de ITGRC podrían tener opciones que permiten automatizar parcial o totalmente esta gestión.
Autor
Fabián Alberto Cárdenas Varela
https://www.linkedin.com/in/fabiancardenas/
@_fabiancardenas
NovaSec S.A.S