La gestión de activos de TI, adecuada y eficiente, asegura la conformidad con la regulación sobre protección de datos, la seguridad de la información de acuerdo con ISO 27001 y el cumplimiento de todas las normas aplicables a la organización.
Pero también satisface expectativas de clientes y otras partes interesadas. La gestión de activos de TI genera confianza y mejora la productividad. Esto, por supuesto, cuando se acompaña de las mejores prácticas.
¿Cuáles son las mejores prácticas para mejorar la gestión de activos de TI?
Un primer paso para una gestión de activos de TI eficaz es realizar un seguimiento constante de los activos de la organización y su ciclo de vida:
1. Mantener un inventario preciso de los activos TI
La gestión de activos de TI comienza por saber de qué componentes se dispone, el estado en el que están funcionando o cuándo es el momento de retirarlos. Y dado que la inversión en este tipo de activos (ordenadores, cables, monitores, accesorios, etc.) es considerable, es preciso mantener un inventario actualizado y centralizado de los activos tangibles e intangibles:
Activos ‘fantasma’
Los activos fantasma no existen excepto en los registros del inventario. Ordenadores perdidos en un viaje o teléfonos móviles que se olvidan en un taxi son ejemplos de este tipo de activos.
Las mejores prácticas de gestión de activos de TI requiere que se rastreen y se eliminen del inventario.
Activos ‘zombis’
Los activos zombis son el problema opuesto. Estos son activos que existen pero que no se han registrado en el inventario.
Activos obsoletos
Otro beneficio común de un sistema de inventario preciso es saber cuándo retirar un activo. Si un artículo está desactualizado, roto o simplemente ya no se usa, debe retirarse. Es decir, debe eliminarse físicamente de los activos y cancelarse de los registros.
Inventario centralizado
De todas las mejores prácticas de gestión de activos de TI, esta puede ser la más crítica para fines de precisión, seguridad y planificación: mantener un inventario centralizado que sea consistente en toda la organización.
Un único sistema de seguimiento de inventario cohesivo permite ver el panorama general de los activos de TI y hacer planes para el futuro con respecto a qué tecnologías y equipos retirar y cuáles funcionan bien y producen según lo esperado en toda la organización.
Aprende cuáles son las mejores prácticas para mejorar la eficiencia y reducir riesgos con la gestión de activos de TI para garantizar la #SeguridadInformación #ISO27001 Clic para tuitear2. Formar a los empleados sobre buenas prácticas de gestión de activos de TI
Otro factor determinante que genera una efectiva gestión de activos de TI es la formación. El conocimiento sobre protocolos y requisitos de seguridad de la información, especialmente para los empleados con funciones clave dentro de un Sistema de Seguridad de la Información, asegura una línea de defensa sólida lista para proteger los activos.
Algunos temas específicos para abordar en programas de formación sobre Seguridad de la Información, además de los requisitos de ISO 27001 y sus controles, son:
Restricción de uso de software, aplicaciones o acceso a sitios prohibidos
Es una práctica común para muchos empleados, que no son conscientes del riesgo que implica, y que generalmente no lo entienden hasta que es demasiado tarde. Lo que se conoce como software “sombra” o sitios web “sombra”, no se puede usar en los activos de TI de la organización.
Si el empleado considera que es indispensable el uso de un determinado software o aplicación, y cree que contribuye a la mejor ejecución de su trabajo, debe someter el programa a una evaluación del departamento de TI, y obtener su autorización.
Contraseñas, permisos y privilegios de acceso
La forma más segura para crear contraseñas, utilizarlas y almacenarlas, es un tema que no se lo toman muy en serio muchos empleados. Los permisos y privilegios de acceso son esenciales para una eficaz gestión de activos de TI.
Los empleados deben crear claves seguras, utilizarlas con discreción y almacenarlas observando estrictos protocolos de seguridad, incluso –o especialmente- en entornos familiares.
Uso de software desactualizado
El usuario de una aplicación o de un programa de ordenador es el primero en saber que ese producto está a punto de expirar o su licencia ha vencido. El software desactualizado es la fuente de muchos problemas de seguridad, además de riesgos de incumplimiento, multas y sanciones.
El uso de hardware obsoleto también implica riesgos para la seguridad de la información. Todos los activos de TI tienen un tiempo de vida útil y este debe ser observado para realizar la reposición en el momento oportuno.
Formación adecuada para la Gestión de Activos de TI
Es imprescindible que los empleados, especialmente los que desempeñan funciones clave, obtengan la formación adecuada sobre protocolos y mejores prácticas de Seguridad de la Información.
Las organizaciones que digitalizan sus sistemas de gestión, y automatizan tareas dentro de procesos de Transformación Digital, tienen una mayor dependencia de la formación en el área de Seguridad de la Información para sus empleados.
Un programa de formación que aporta conocimientos y competencias concretas, para cumplir con estos requerimientos de capacitación es el curso Experto en Seguridad Informática Aplicada a las Organizaciones.
Pero no es el único. Sobre un programa enfocado en la implementación de un SG-SI, basado en la norma internacional ISO 27001, hablamos en nuestro apartado final.
Diplomado de Seguridad de la Información ISO 27001 – Actualización 2022
El Diplomado de Seguridad de la Información ISO/IEC 27001 Actualización 2022, es un programa que entrega una doble certificación: como experto en Sistemas de Gestión de Seguridad de la Información y como auditor de esos Sistemas.
Pero el Diplomado ofrece otro beneficio muy especial: los alumnos que aprueban el programa encuentran mucha facilidad para obtener el certificado ERCA –Registro Europeo de Auditores Certificados. Estos alumnos, con esta acreditación, pueden trabajar en cualquier país de Europa o de América Latina. Es una gran oportunidad para incursionar en un área de gran crecimiento personal y profesional. Empieza ahora.
