Linkedin X-twitter Tiktok Facebook Instagram Youtube Threads

Obteniendo sinergias en la identificación de activos de la información

Picture of eBIZ Latin America

eBIZ Latin America

OTRAS ENTRADAS DEL AUTOR


Columnista: Marco Montenegro, CISO de eBIZ

La Identificación de Activos de Información es uno de los procesos clave de todo Sistema de Gestión de Seguridad de Información. Su importancia radica en que nos sirve para determinar prioridades en nuestros esfuerzos de protección, efectuando una clasificación de Activos de Información y/o iniciando un proceso formal de evaluación de riesgos de activos de información tomando en cuenta los activos priorizados.

Las empresas que mantienen Sistemas de Gestión de Seguridad de Información (SGSI) basados en la Norma ISO 27001 (Estándar para la Gestión de Seguridad de información) buscan cumplir con el requisito establecido en su Anexo A de identificar activos asociados a la información, manteniendo un inventario de estos activos. En atención a ello, es común encontrar empresas con un inventario único, que listan documentos y registros de los procesos en el alcance del SGSI, al que suman aplicaciones informáticas y servidores, en función del interés del negocio con el fin de determinar su valor y criticidad. Esto normalmente es realizado por las funciones responsables de mantener el SGSI, independientemente si otras áreas mantienen inventarios específicos -de hardware y software, por ejemplo- los cuales podrían o no conversar con el Inventario de Activos efectuado para el SGSI. 

Un activo es todo aquello que tiene valor para la organización y que, por lo tanto, requiere de protección.

El principal reto de este modelo radica en cómo mantener permanentemente actualizado un Inventario de Activos de Información y a la vez evitar redundancias en la identificación de activos. La receta no es única, pues cada organización es particular y las soluciones deben ser adaptadas a cada modelo de negocio. Sin embargo, podemos ensayar una propuesta que sirva para reflexión, a fin de evaluar cómo generar eficiencias al momento de desarrollar este tipo de actividades. La Norma ISO 27002 (Guía de buenas prácticas para controles de Seguridad de Información) nos da una pista, al señalar que la documentación debe mantenerse en inventarios específicos o existentes, y que el inventario de activos debe ser alineado con otros inventarios, que pueden ser necesarios para otros fines, tales como el de Salud y Seguridad, Seguros o Razones Financieras (gestión de activos).

Asimismo, con más detalle, la Norma ISO 27005 (Gestión de Riesgos de Seguridad de Información) nos presenta la Identificación de Activos como etapa primaria para el Análisis de Riesgo en la que se diferencian los activos primarios (actividades y procesos del negocio, o información) de aquellos activos de soporte de los que dependen los elementos primarios del alcance (tales como hardware, software, redes, personal, sitio, estructura de la organización). A partir de esta premisa, podríamos proponer un modelo simple de pasos a seguir:

  •  Inventariar Activos de Información Primarios: Por ejemplo, procesos core del negocio y dentro del alcance del SGSI, cuya pérdida o degradación hace imposible llevar a cabo la misión de la organización. Otro caso puede ser el de la información personal, pudiendo ser definida específicamente en atención a regulaciones relacionadas con la privacidad.
  • Identificar los Inventarios Activos de Información de Soporte existentes: Por ejemplo, las empresas que tienen Sistemas de Gestión basados en ISO normalmente mantienen una Lista Maestra de Documentos y Registros. Asimismo, el Hardware y Software pueden ser inventariados mediante una solución informática; o los puestos de trabajo, determinados en Descripciones de Puestos de manera manual o mediante una solución informática, entre otros.
  • Alinear los Inventarios existentes con Activos de Información Primarios: Los activos de información de soporte deben guardar correspondencia con los activos de información primarios. Para lograrlo, podemos adicionar elementos en los Inventarios de Activos de Información de Soporte existentes que nos faciliten identificar su vinculación, tales como campos o etiquetas.

Como resultado, los Inventarios activos de información de soporte existentes continuarían siendo actualizados por cada responsable asignado, permitiendo identificar su relación hacia activos de Información primarios clasificados y/o priorizados. Más importante aún, podemos mantener un Inventario de Activos de Información Primarios que realmente identifique «Las Joyas de la Corona» y todos sus elementos relacionados para fines de protección, el cual es el objetivo primordial de toda actividad de Seguridad de Información.

CISM. Ing. Marco Montenegro Díaz es especialista con más de 10 años de experiencia en Sistemas de Gestión de Seguridad de Información, Ciberseguridad, Privacidad, Gestión de Continuidad de Negocio y Gestión de Riesgos en el sector de Servicios Financieros, de Seguridad y Tecnologías de Información. Actualmente se desempeña como CISO en eBIZ Latin America

ÚLTIMAS NOTICIAS

IA Generativa genera desafíos a la industria musical | eBIZ Noticias
IA Generativa genera desafíos a la industria musical
Especial Brecha Digital en el Perú: ¿Tiempo de cambiar? - Mayleana Méndez, ASIET
«Existen cuestiones institucionales y de diseño que es imperativo revisar» - Maryleana Méndez, ASIET | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?
Especial Brecha Digital en el Perú: ¿Tiempo de cambiar? - Lucrecia Corvalan, GSMA
«Los fondos no han sido una herramienta efectiva para cerrar la brecha digital» - Lucrecia Corvalan, GSMA | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?
Especial Brecha Digital en el Perú: ¿Tiempo de cambiar? - Juan Pacheco, gerente general de AFIN
«Necesitamos repensar el modelo de acceso universal» - Juan Pacheco, gerente general de AFIN | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?
Especial Brecha Digital en el Perú: ¿Tiempo de cambiar? - Luis Montes, exdirector de Fitel
«El enfoque debe estar en mejorar la gestión» - Luis Montes, exdirector ejecutivo de Fitel | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?
Repensando la hoja de ruta | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?
Repensando la hoja de ruta | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?

NOTICIAS RELACIONADAS

«Existen cuestiones institucionales y de diseño que es imperativo revisar» – Maryleana Méndez, ASIET | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?

La experta consideró que la acción público-privada con una combinación inteligente de tecnologías es clave para la reducción de la brecha digital en la región y el país. La brecha de uso sigue siendo amplia y por supuesto crece el reto de mejorar también el tipo de tecnología disponible para la población en situación de vulnerabilidad geográfica, de ingresos y de falta de habilidades digitales. Esto debería ser considerado en el rediseño de los fondos de servicio universal.

Read More »

«Los fondos no han sido una herramienta efectiva para cerrar la brecha digital» – Lucrecia Corvalan, GSMA | Especial Brecha Digital en el Perú: ¿Tiempo de cambiar?

Advirtió que las tasas de desembolso de los Fondos de Servicio Universales para reducir la brecha digital en la región han sido deficientes, con proyectos sub-ejecutados y fondos inactivos. Además, los fondos siguen siendo financiados a través de aportes de los operadores de telecomunicaciones, mientras que empresas digitales, cuyos servicios y rentabilidad se basan en la ampliación de la conectividad, no participan del financiamiento. Todo ello invita a debatir la forma en que esto debería cambiar para adaptarse a los enormes cambios del ecosistema digital de la última década.

Read More »
VER MÁS PUBLICACIONES

NOSOTROS

SOLUCIONES

PORTALES E INFORMACIÓN

CONTÁCTANOS

Avenida Arica N.º 785, Breña
Lima 15083, Perú

Mesa de Ayuda a Proveedores:
soluciones@ebizlatin.com
Teléfono: +(511) 5183360 an. 601

Horario de atención:
Lunes a viernes de 8:00 a 18:00 GMT-5
Sábados de 9:00 a 12:00 GMT-5

© 2025 eBIZ. TODOS LOS DERECHOS RESERVADOS.