Para cumplir con lo solicitado sobre gestión de activos según ISO 27001 es preciso hacer algo más que crear un registro o inventario de activos. Es necesario, además de entender con claridad el concepto de activo, dominar el funcionamiento de los controles 9, 10 y 11 del anexo A, que son los que definen la gestión de activos según ISO 27001.
En algunas organizaciones se ha creado un listado de activos, a la usanza contable, en el que se anota un número de serie, la marca y el tipo. Este registro o inventario de activos no es suficiente, y por eso hacemos a continuación un repaso sobre lo que se requiere para cumplir con la gestión de activos según ISO 27001.
¿Qué requiere gestión de activos según ISO 27001?
Las más recientes actualizaciones de ISO 27001 – 2018 y 2022 – prescinden de una definición clara de activo. Al regresar a la edición 2005 del estándar aparece una definición muy acertada: un activo es cualquier cosa que tiene valor para la organización.
De acuerdo con esa definición, lo que requiere gestión de activos según ISO 27001 puede ser:
- Ordenadores, servidores, periféricos, laptops, tabletas, impresoras e incluso unidades de memoria USB.
- Aplicaciones, programas o plataformas, propias, alquiladas o contratadas.
- Espacios destinados al almacenamiento de archivo en papel o digital.
- Infraestructura destinada a la transmisión de información, como redes o cableado.
- Personas que posean información, bien sea porque la procesan o porque es su función conocerla.
- Cuentas de correo electrónico o servicios contratados para el tratamiento, conservación o transmisión de información.
- Servicios de asesoría jurídica o contable, por ejemplo, o servicios de mantenimiento o limpieza.
¿Qué es la gestión de activos según ISO 27001?
El objetivo de la gestión de activos según ISO 27001 es garantizar su integridad e incorruptibilidad y la de la información que utilizan, almacenan, tratan o transmiten. Por eso parece razonable que sean los controles del Anexo A los encargados de gestionar los activos. Tres, en particular, reciben el encargo:
- Control A.5.9 Inventario de información y otros activos asociados: este control pide que todos los activos sean identificados y que se les asigne un propietario. El propietario es el encargado de velar por la seguridad del activo y la confidencialidad e integridad de la información relacionada.
- Control A.5.10 Uso aceptable de la información y otros activos asociados: solicita definir normas de uso, reglamentos y parámetros para el uso adecuado y seguro de cada uno de los activos.
- Control A.5.11 Devolución de activos: habla de la disposición final de los activos, cuando son dados de baja, o del procedimiento al concluir un contrato, de software en la nube, por ejemplo, o con un asesor legal o contable.
¿Cuál es la importancia de la gestión de activos según ISO 27001?
Estratégicamente, enfocar la gestión de riesgos sobre los activos es una práctica razonable y efectiva. Si se vigilan y tratan los activos, se garantiza la seguridad de la información.
Conocer todos y cada uno de los activos, y aplicar los controles que solicitan gestión sobre ellos, permite desarrollar una gestión efectiva, tener una visión completa del estado de la información y asignar recursos con responsabilidad y racionalidad.
Activos y propietarios de activos son los elementos susceptibles de sufrir amenazas o de presentar vulnerabilidades. Son elementos clave para identificar riesgos. Por eso es tan importante la gestión de activos según ISO 27001.
¿Quiénes son propietarios de activos?
El primer propietario de un activo es la persona que lo tiene a su cargo o lo utiliza. En este sentido, un activo puede tener varios propietarios. En algunos casos, como un software o un aplicativo utilizados por un número indefinido de personas, un supervisor, el director de área o un miembro de la Alta Dirección, puede ser el propietario del activo.
El archivo en papel es también un activo que tiene propietario. Usualmente el archivo y su administración son responsabilidad de un profesional experto en esa tarea, que, por supuesto, es el propietario.
Aprende la forma correcta para administrar un inventario de activos y cumplir con lo solicitado para la gestión de activos según #ISO27001 #seguridadinformación Clic para tuitear¿Cómo efectuar la gestión de activos según ISO 27001?
Aún antes de llegar a la elección de controles a aplicar y a la implementación práctica de ellos, los profesionales en el área de Seguridad de la Información enfrentan la necesidad de gestionar los activos durante la evaluación de riesgos.
Algunas recomendaciones útiles para hacerlo son:
1. Crear un proceso de evaluación que inicie con la identificación de activos
La gestión de riesgos es cíclica y continua. Al incluir en ese proceso la identificación de activos y propietarios se garantiza la actualidad del inventario. Garantiza también que la evaluación de riesgos basada en activos es total e integral.
2. Hacer un inventario por áreas
Dividir la gestión por áreas es una forma práctica de acometer la tarea. Es el director del área contable, por ejemplo, el que mejor puede informar sobre los activos a su cargo y a quién pertenece cada uno de ellos.
3. Aportar información suficiente y clara
El inventario de activos va más allá del nombre y el número de serie. Se necesita una descripción completa, la ubicación, la categoría, el nombre completo del propietario y la justificación para que sea esa persona la responsable del activo. Cuánta más información, mayor seguridad.
4. Incorporar tecnología a la gestión
La gestión de activos de información no se restringe a medios digitales o informáticos. Los archivos en papel, o la información depositada en la cabeza de los empleados, también son susceptibles de ser gestionados. Pero sí es importante incorporar tecnología a la gestión, utilizando plataformas que automaticen tareas y digitalicen Sistemas de Gestión.
5. Contar con profesionales formados y capacitados en el estándar ISO 27001
Las organizaciones de gran tamaño cuentan con un área dedicada y especializada en Gestión de Seguridad de la Información. Pequeñas y medianas, no obstante, también requieren profesionales que, aunque no cumplan estas tareas de tiempo completo, posean el conocimiento y la formación sobre el estándar y sobre Seguridad de la Información.
Diplomado de Seguridad de la Información ISO/IEC 27001
El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa más completo que lidera el área de Seguridad de la Información en la oferta formativa de la Escuela Europea de Excelencia.
El conocimiento y la experiencia que adquieren los alumnos de este Diplomado, les permite no solamente asumir con diligencia y propiedad la tarea de implementación del Sistema de Gestión, sino también la auditoría y el proceso que llevará el Sistema hasta la certificación.
Los alumnos tienen la posibilidad del obtener el certificado ERCA – Registro Europeo de Auditores Certificados – que tiene alcance en todo el continente europeo y en América Latina. Amplia el horizonte de tu carrera aprovechando esta nueva convocatoria.
