Linkedin X-twitter Tiktok Facebook Instagram Youtube Threads

Obteniendo sinergias en la identificación de activos de la información

Picture of eBIZ

eBIZ

OTRAS ENTRADAS DEL AUTOR


Columnista: Marco Montenegro, CISO de eBIZ

La Identificación de Activos de Información es uno de los procesos clave de todo Sistema de Gestión de Seguridad de Información. Su importancia radica en que nos sirve para determinar prioridades en nuestros esfuerzos de protección, efectuando una clasificación de Activos de Información y/o iniciando un proceso formal de evaluación de riesgos de activos de información tomando en cuenta los activos priorizados.

Las empresas que mantienen Sistemas de Gestión de Seguridad de Información (SGSI) basados en la Norma ISO 27001 (Estándar para la Gestión de Seguridad de información) buscan cumplir con el requisito establecido en su Anexo A de identificar activos asociados a la información, manteniendo un inventario de estos activos. En atención a ello, es común encontrar empresas con un inventario único, que listan documentos y registros de los procesos en el alcance del SGSI, al que suman aplicaciones informáticas y servidores, en función del interés del negocio con el fin de determinar su valor y criticidad. Esto normalmente es realizado por las funciones responsables de mantener el SGSI, independientemente si otras áreas mantienen inventarios específicos -de hardware y software, por ejemplo- los cuales podrían o no conversar con el Inventario de Activos efectuado para el SGSI. 

Un activo es todo aquello que tiene valor para la organización y que, por lo tanto, requiere de protección.

El principal reto de este modelo radica en cómo mantener permanentemente actualizado un Inventario de Activos de Información y a la vez evitar redundancias en la identificación de activos. La receta no es única, pues cada organización es particular y las soluciones deben ser adaptadas a cada modelo de negocio. Sin embargo, podemos ensayar una propuesta que sirva para reflexión, a fin de evaluar cómo generar eficiencias al momento de desarrollar este tipo de actividades. La Norma ISO 27002 (Guía de buenas prácticas para controles de Seguridad de Información) nos da una pista, al señalar que la documentación debe mantenerse en inventarios específicos o existentes, y que el inventario de activos debe ser alineado con otros inventarios, que pueden ser necesarios para otros fines, tales como el de Salud y Seguridad, Seguros o Razones Financieras (gestión de activos).

Asimismo, con más detalle, la Norma ISO 27005 (Gestión de Riesgos de Seguridad de Información) nos presenta la Identificación de Activos como etapa primaria para el Análisis de Riesgo en la que se diferencian los activos primarios (actividades y procesos del negocio, o información) de aquellos activos de soporte de los que dependen los elementos primarios del alcance (tales como hardware, software, redes, personal, sitio, estructura de la organización). A partir de esta premisa, podríamos proponer un modelo simple de pasos a seguir:

  •  Inventariar Activos de Información Primarios: Por ejemplo, procesos core del negocio y dentro del alcance del SGSI, cuya pérdida o degradación hace imposible llevar a cabo la misión de la organización. Otro caso puede ser el de la información personal, pudiendo ser definida específicamente en atención a regulaciones relacionadas con la privacidad.
  • Identificar los Inventarios Activos de Información de Soporte existentes: Por ejemplo, las empresas que tienen Sistemas de Gestión basados en ISO normalmente mantienen una Lista Maestra de Documentos y Registros. Asimismo, el Hardware y Software pueden ser inventariados mediante una solución informática; o los puestos de trabajo, determinados en Descripciones de Puestos de manera manual o mediante una solución informática, entre otros.
  • Alinear los Inventarios existentes con Activos de Información Primarios: Los activos de información de soporte deben guardar correspondencia con los activos de información primarios. Para lograrlo, podemos adicionar elementos en los Inventarios de Activos de Información de Soporte existentes que nos faciliten identificar su vinculación, tales como campos o etiquetas.

Como resultado, los Inventarios activos de información de soporte existentes continuarían siendo actualizados por cada responsable asignado, permitiendo identificar su relación hacia activos de Información primarios clasificados y/o priorizados. Más importante aún, podemos mantener un Inventario de Activos de Información Primarios que realmente identifique «Las Joyas de la Corona» y todos sus elementos relacionados para fines de protección, el cual es el objetivo primordial de toda actividad de Seguridad de Información.

CISM. Ing. Marco Montenegro Díaz es especialista con más de 10 años de experiencia en Sistemas de Gestión de Seguridad de Información, Ciberseguridad, Privacidad, Gestión de Continuidad de Negocio y Gestión de Riesgos en el sector de Servicios Financieros, de Seguridad y Tecnologías de Información. Actualmente se desempeña como CISO en eBIZ Latin America

ÚLTIMAS NOTICIAS

Una campaña navideña digital e inteligente | eBIZ Noticias
Una campaña navideña digital e inteligente
El mundo se compromete a una gobernanza responsable de los datos | eBIZ Noticias
El mundo se compromete a una gobernanza responsable de los datos
WSIS+20: Erick Iriarte, eBIZ | eBIZ Noticias
«Se logró el objetivo de tener una declaración que permitirá seguir avanzando con lo iniciado en WSIS» - Erick Iriarte, eBIZ
Oportunidad Nueva: Agenda Digital Peruana 2026-2030 | eBIZ Noticias
Oportunidad Nueva: Agenda Digital Peruana 2026-2030
En 2026 las apps ya no necesitarán menús gracias a la IA | eBIZ Noticias
En 2026 las apps ya no necesitarán menús gracias a la IA
WSIS+20: Diego Belevan, Ministerio de Relaciones Exteriores | eBIZ Noticias
WSIS+20: "La brecha digital es inseparable de la brecha social" - Diego Belevan, Ministerio de Relaciones Exteriores

NOTICIAS RELACIONADAS

El mundo se compromete a una gobernanza responsable de los datos

Al cierre de la WSIS+20, los países presentes acordaron trabajar en construir una sociedad de la información centrada en las personas, inclusiva y orientada al desarrollo. Se estableció además que el Foro para la Gobernanza de Internet sea un foro permanente de la ONU y que será necesario crear un Panel Científico Internacional sobre IA.

Leer más »

«Se logró el objetivo de tener una declaración que permitirá seguir avanzando con lo iniciado en WSIS» – Erick Iriarte, eBIZ

Junto a Diego Belevan, director de Ciencia, Tecnología, Innovación y Energía en el Ministerio de Asuntos Exteriores del Perú, la misión peruana que participó entre el 15 y 17 de diciembre en la revisión general sobre el futuro independiente de la Internet en la ONU, también estuvo integrada por el CEO de eBIZ, Erick Iriarte, quien a continuación nos comparte sus impresiones sobre el evento.

Leer más »

Una campaña navideña digital e inteligente

Los nuevos hábitos de consumo marcan un giro en el mercado peruano que se vuelve cada vez más híbrido. No en vano seis de cada diez peruanos ya compran en línea.

El mundo se compromete a una gobernanza responsable de los datos

Al cierre de la WSIS+20, los países presentes acordaron trabajar en construir una sociedad de la información centrada en las personas, inclusiva y orientada al desarrollo. Se estableció además que el Foro para la Gobernanza de Internet sea un foro permanente de la ONU y que será necesario crear un Panel Científico Internacional sobre IA.

«Se logró el objetivo de tener una declaración que permitirá seguir avanzando con lo iniciado en WSIS» – Erick Iriarte, eBIZ

Junto a Diego Belevan, director de Ciencia, Tecnología, Innovación y Energía en el Ministerio de Asuntos Exteriores del Perú, la misión peruana que participó entre el 15 y 17 de diciembre en la revisión general sobre el futuro independiente de la Internet en la ONU, también estuvo integrada por el CEO de eBIZ, Erick Iriarte, quien a continuación nos comparte sus impresiones sobre el evento.

VER MÁS PUBLICACIONES