Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO27001, hoy vamos a revisar el numeral 7 titulado Gestin de Activos.

Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:

7.1. Responsabilidad por los Activos: Lograr mantener la proteccin adecuada de los activos de la organizacin. Todos los activos se deben incluir y deben tener un dueo designado. Se deberan identificar los dueos para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. La implementacin de los controles especficos puede ser delegada por el dueo segn el caso, pero l sigue siendo responsable de la proteccin adecuada de los activos.

7.2 Clasificacin de la Informacin Asegurar que la informacin recibe el nivel de proteccin adecuado. La informacin se debera clasificar para indicar la necesidad, las prioridades y el grado esperado de proteccin al manejar la informacin.

La informacin tiene diferentes grados de sensibilidad e importancia. Algunos elementos pueden requerir un grado adicional de proteccin o manejo especial. Se recomienda utilizar un esquema de clasificacin de la informacin para definir un conjunto apropiado de niveles de proteccin y comunicar la necesidad de medidas especiales de manejo. Resumiendo, el propsito de este dominio es el siguiente:

Proveer las medidas de seguridad necesarias para proporcionar una proteccin adecuada a los activos de la Organizacin, as como controlar, generar responsabilidades, normas de uso y clasificacin sobre los activos de informacin.

Detallando un poco ms: Responsabilidad por los activos Segn el Modelo Normativo de Seguridad de la Informacin todo activo de informacin, bajo la responsabilidad de la Organizacin, es decir informacin propia de la Organizacin o de entidades externas debe ser administrada y monitoreada. Toda la informacin generada por la Organizacin debe estar disponible para funcionarios tanto externos como internos que requieran del acceso y consulta de sta, siempre y cuando se manejen los controles de acceso y confidencialidad apropiados. Se deben asignar responsabilidades en cuanto a la propiedad de los activos de informacin a usuarios encargados de mantener la integridad de la informacin. Es responsabilidad del administrador de la informacin asignar los respectivos controles de acceso a la informacin.

Clasificacin de la informacin Se debe realizar un anlisis y valoracin de la informacin manejada por la Organizacin para definir una clasificacin apropiada, dependiendo de su valor, requisitos legales, sensibilidad e importancia. Una clasificacin apropiada de la informacin garantiza la confidencialidad, integridad y disponibilidad de la informacin parala Organizacin. Aqu bsicamente se busca definir en cuanto a seguridad de la informacin muy claramente quien es responsable por que, bajo que circunstancias, etc; asi como tener una clasificacin de la informacin que se maneje para saber que controles se deben tener en cuanta para garantizar la confidencialidad, integridad y disponibilidad de la informacin en una Organizacin.