Documentos de Académico
Documentos de Profesional
Documentos de Cultura
APROBACIONES
Elaborado por:
Analista de OyM
Responsable:
Revisado por:
Aprobado por:
CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 2 de 8
1. OBJETIVOS.
1.1. Objetivo General.
Establecer un marco de trabajo para la adecuada identificación, clasificación y tasación de los
activos de información involucrados en los diferentes procesos de EMPRESA.
1.2. Objetivos Específicos.
a. Mantener un adecuado nivel de protección de los activos de Información mediante la
identificación del propietario, custodio y usuario.
b. Clasificar e identificar los activos de información considerados críticos según por su grado de
sensibilidad e importancia para nuestra organización.
2. ALCANCE
El presente documento está orientado a todo personal de XXXXXX bajo cualquier modalidad de contrato,
incluyendo a proveedores y/o socios estratégicos sin excepción alguna, el cual tenga como
responsabilidad funcional la elaboración del inventario de activos de información de los procesos
definidos en el alcance del Sistema de Gestión de Seguridad de la Información de XXXXXX.
3. BASE LEGAL
4. DEFINICIONES
• Activo: Cualquier bien o recurso con valor para la organización. (ISO/IEC 13335-1:2004)
• Activo de Información: cualquier información o recurso informático tangible o intangible, que tiene
valor para la organización, por lo tanto debe ser protegido.
Son considerados como activos de información: los equipos de cómputo, memorias USB, Disco
externo, Modem de internet, CD´s, Celulares, blackberry, manuales, documentación de sistemas entre
otros, que son entregados a los trabajadores o terceros contratados para el desarrollo de sus
funciones.
• Inventario de Activos de Información: Registro centralizado de los activos de información de la
organización en el cual se detalla y mantiene información relevante de los mismos.
• Custodio de los activos de información: Es la persona o entidad responsable de la administración y
resguardo de los activos de información, así como del monitoreo del cumplimiento de los controles de
seguridad en los activos que se encuentren bajo su administración.
• Responsable del Proceso: Responsable de la Gestión del inventario de Activos de Información del
proceso el cual es responsable.
• Tasación de activos: Asignación de un valor para los criterios de confidencialidad, integridad y
disponibilidad de los activos de información.
5. DISPOSICIONES
5.1. Disposiciones Generales
a. La ejecución y/o cumplimiento de la presente metodología de gestión de activos de la
información estará a cargo de los responsables de la elaboración y actualización del inventario
de activos. Es decir, por el responsable del proceso, gestión de riesgo operacional,
propietario, custodio y usuario del activo de información.
b. Todo activo de información debe ser asignado a un propietario y a un custodio, además se
debe identificar los usuarios que utilizan dicho activo para garantizar la protección efectiva del
activo de acuerdo a los riesgos que le afecten.
c. Como parte de la gestión de activos de información, el responsable del Proceso, los
propietarios de los activos y los Gestores de Riesgo Operacional involucrados en el proceso
junto con el Responsable de Seguridad de Información deben identificar y tasar los activos de
información que se encuentren a su cargo, de acuerdo a los criterios de seguridad de la
Información existentes: Confidencialidad, Integridad y Disponibilidad.
d. El inventario de activos de información será actualizado con una periodicidad de al menos 01
año o ante cualquier cambio significativo, organizacional, creación, modificación de alguno de
los procedimientos que se encuentren en los macro procesos de la organización o
modificación de la Metodología de Gestión de Activos de Información.
5.2. Identificación de Activos de Información.
a. Se debe identificar los activos de información que se encuentren dentro del alcance del
Sistema de Gestión de Seguridad de la Información definido por XXXXXX y los propietarios de
estos activos, a través de una matriz donde se incluya como mínimo la siguiente información:
a) Código del Activo.
b) Macroproceso.
c) Proceso.
d) Tipo Activo de Información.
e) Descripción del Activo de Información.
f) Ubicación.
g) Propietario.
h) Custodio.
i) Usuario.
5.3. Tipificación de Activos de Información.
Los activos de información han sido divididos según su naturaleza, en las siguientes categorías:
a. Activos Digitales: Documentación del Sistema, Manuales de usuarios, Material de formación,
Procedimientos operativos o de soporte, Planes de Continuidad, Configuración del Soporte de
recuperación, Documentos de gestión interna, otra información archivada.
b. Activos No Digitales: Documentos impresos, contratos, lineamientos, documentos de la
organización, documentos que contienen resultados importantes del negocio.
c. Base de Datos: Aquellas que se encuentran fuera de la administración del Área de Sistemas,
puede ser en formato, Excel, archivos planos o en cualquier otro formato. Además se incluye
aquellas hojas de cálculo que contienen macros.
d. Código Fuente: Todos los aplicativos desarrollados y cuyo mantenimiento es administrado
por el Área de Sistemas de EMPRESA.
e. Software: Software de aplicación, Software de Oficina, Software de sistemas, herramientas
de desarrollo.
f. Personas: Básicamente se contempla aquellos colaboradores que por sus funciones son
considerados como colaboradores críticos.
g. Servidores: Servidores soportan los diferentes procesos del negocio.
h. Dispositivos de Red: Routers, Switches, Firewall, IPS, IDS, entre otros.
i. Otro Hardware (HW): Computadores Desktops Críticos, Laptops, Dispositivos de
Computación Móvil, Otros equipos desktop, entre otros.
j. Medios de Almacenamiento: Disco duro, Almacenamiento en Red, Disquetes, CD-ROM,
Dispositivos con conector USB, DVD, Cinta magnética, Tape Backup, Tarjetas inteligentes.
k. Equipamiento Auxiliar: Fuentes de alimentación, Sistemas de alimentación ininterrumpida,
Generadores eléctricos, Equipos de climatización, Robots de cintas, Suministros Energía,
Equipos de destrucción de soportes de información, Mobiliario: armarios, archivadores, Cajas
fuertes, otros servicios técnicos.
5.4. Tasación de Activos de Información.
a. Los Responsables de la elaboración o actualización del inventario de activos de información
deben indicar el valor de “Criticidad a Juicio Experto”, según los valores señalados:
-El Activo o
Información es
-La información -El Activo o
requerida para
no es vital para Información es
la toma de
la toma de requerida para
decisiones.
decisiones. la toma de
-Hay impacto
-No hay impacto decisiones de
significativo en -La falta del
en el negocio si manera
-La falta del el negocio si el activo de
el activo o inmediata.
activo de activo o información
información no -El activo de
información información no impacta
está disponible información se
Disponibilidad impacta está disponible negativamente a
para un máximo requiere en
negativamente para un máximo varias áreas y/o
de 7 días. base a 24x7.
de manera leve de 48 horas. proceso de
-La falta del -La falta del
al proceso. -La falta del nuestra
activo de activo de
activo de organización.
información no información
información
tiene ningún impacta
impacta
impacto negativamente a
negativamente
negativo en el toda nuestra
de manera
proceso. organización.
importante al
proceso.
Fecha de Nº de
Motivo del Cambio
Aprobación Versión
xx.08.2012 01 - Documento nuevo
7. ANEXOS
7.1. Anexo: Matriz de Activos de Información