CÓDIGO:

GUÍA METODOLÓGICA DE GESTION DE ACTIVOS DE

LA INFORMACION

Fecha de Vigencia Versión Documento de Aprobación Deroga a:

xx.08.2012 01 ---------------- ----------------

APROBACIONES

Nombre Cargo Firma

Elaborado por:

Analista de OyM
Responsable:

Revisado por:

Aprobado por:
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 2 de 8

1. OBJETIVOS.
1.1. Objetivo General.
Establecer un marco de trabajo para la adecuada identificación, clasificación y tasación de los
activos de información involucrados en los diferentes procesos de EMPRESA.
1.2. Objetivos Específicos.
a. Mantener un adecuado nivel de protección de los activos de Información mediante la
identificación del propietario, custodio y usuario.
b. Clasificar e identificar los activos de información considerados críticos según por su grado de
sensibilidad e importancia para nuestra organización.

2. ALCANCE
El presente documento está orientado a todo personal de XXXXXX bajo cualquier modalidad de contrato,
incluyendo a proveedores y/o socios estratégicos sin excepción alguna, el cual tenga como
responsabilidad funcional la elaboración del inventario de activos de información de los procesos
definidos en el alcance del Sistema de Gestión de Seguridad de la Información de XXXXXX.

3. BASE LEGAL

4. DEFINICIONES
• Activo: Cualquier bien o recurso con valor para la organización. (ISO/IEC 13335-1:2004)
• Activo de Información: cualquier información o recurso informático tangible o intangible, que tiene
valor para la organización, por lo tanto debe ser protegido.
Son considerados como activos de información: los equipos de cómputo, memorias USB, Disco
externo, Modem de internet, CD´s, Celulares, blackberry, manuales, documentación de sistemas entre
otros, que son entregados a los trabajadores o terceros contratados para el desarrollo de sus
funciones.
• Inventario de Activos de Información: Registro centralizado de los activos de información de la
organización en el cual se detalla y mantiene información relevante de los mismos.
• Custodio de los activos de información: Es la persona o entidad responsable de la administración y
resguardo de los activos de información, así como del monitoreo del cumplimiento de los controles de
seguridad en los activos que se encuentren bajo su administración.
• Responsable del Proceso: Responsable de la Gestión del inventario de Activos de Información del
proceso el cual es responsable.
• Tasación de activos: Asignación de un valor para los criterios de confidencialidad, integridad y
disponibilidad de los activos de información.

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 3 de 8

5. DISPOSICIONES
5.1. Disposiciones Generales
a. La ejecución y/o cumplimiento de la presente metodología de gestión de activos de la
información estará a cargo de los responsables de la elaboración y actualización del inventario
de activos. Es decir, por el responsable del proceso, gestión de riesgo operacional,
propietario, custodio y usuario del activo de información.
b. Todo activo de información debe ser asignado a un propietario y a un custodio, además se
debe identificar los usuarios que utilizan dicho activo para garantizar la protección efectiva del
activo de acuerdo a los riesgos que le afecten.
c. Como parte de la gestión de activos de información, el responsable del Proceso, los
propietarios de los activos y los Gestores de Riesgo Operacional involucrados en el proceso
junto con el Responsable de Seguridad de Información deben identificar y tasar los activos de
información que se encuentren a su cargo, de acuerdo a los criterios de seguridad de la
Información existentes: Confidencialidad, Integridad y Disponibilidad.
d. El inventario de activos de información será actualizado con una periodicidad de al menos 01
año o ante cualquier cambio significativo, organizacional, creación, modificación de alguno de
los procedimientos que se encuentren en los macro procesos de la organización o
modificación de la Metodología de Gestión de Activos de Información.
5.2. Identificación de Activos de Información.
a. Se debe identificar los activos de información que se encuentren dentro del alcance del
Sistema de Gestión de Seguridad de la Información definido por XXXXXX y los propietarios de
estos activos, a través de una matriz donde se incluya como mínimo la siguiente información:
a) Código del Activo.
b) Macroproceso.
c) Proceso.
d) Tipo Activo de Información.
e) Descripción del Activo de Información.
f) Ubicación.
g) Propietario.
h) Custodio.
i) Usuario.
5.3. Tipificación de Activos de Información.
Los activos de información han sido divididos según su naturaleza, en las siguientes categorías:
a. Activos Digitales: Documentación del Sistema, Manuales de usuarios, Material de formación,
Procedimientos operativos o de soporte, Planes de Continuidad, Configuración del Soporte de
recuperación, Documentos de gestión interna, otra información archivada.
b. Activos No Digitales: Documentos impresos, contratos, lineamientos, documentos de la
organización, documentos que contienen resultados importantes del negocio.

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 4 de 8

c. Base de Datos: Aquellas que se encuentran fuera de la administración del Área de Sistemas,
puede ser en formato, Excel, archivos planos o en cualquier otro formato. Además se incluye
aquellas hojas de cálculo que contienen macros.
d. Código Fuente: Todos los aplicativos desarrollados y cuyo mantenimiento es administrado
por el Área de Sistemas de EMPRESA.
e. Software: Software de aplicación, Software de Oficina, Software de sistemas, herramientas
de desarrollo.
f. Personas: Básicamente se contempla aquellos colaboradores que por sus funciones son
considerados como colaboradores críticos.
g. Servidores: Servidores soportan los diferentes procesos del negocio.
h. Dispositivos de Red: Routers, Switches, Firewall, IPS, IDS, entre otros.
i. Otro Hardware (HW): Computadores Desktops Críticos, Laptops, Dispositivos de
Computación Móvil, Otros equipos desktop, entre otros.
j. Medios de Almacenamiento: Disco duro, Almacenamiento en Red, Disquetes, CD-ROM,
Dispositivos con conector USB, DVD, Cinta magnética, Tape Backup, Tarjetas inteligentes.
k. Equipamiento Auxiliar: Fuentes de alimentación, Sistemas de alimentación ininterrumpida,
Generadores eléctricos, Equipos de climatización, Robots de cintas, Suministros Energía,
Equipos de destrucción de soportes de información, Mobiliario: armarios, archivadores, Cajas
fuertes, otros servicios técnicos.
5.4. Tasación de Activos de Información.
a. Los Responsables de la elaboración o actualización del inventario de activos de información
deben indicar el valor de “Criticidad a Juicio Experto”, según los valores señalados:

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 5 de 8

Criticidad a Juicio Experto

El activo de información es considerado muy crítico debido al impacto

negativo en uno o varios de los procesos estratégicos o del negocio,
Muy Alto
generando una pérdida económica o que afecten a los valores de
nuestra organización.

El activo de información es considerado crítico debido al impacto

negativo a uno o varios de los procesos del negocio, generando
Alto
demora o paralización en la entrega de los servicios o productos
ofrecidos por nuestra organización

El activo de información cuyo impacto negativo afectará a uno o

Medio varios procesos, generando demora o paralización a los otros
procesos, tales como Estratégicos, de Negocio o de Soporte.

El activo de información cuyo impacto negativo sólo afectará a uno o

Bajo
varios procesos de soporte.

El activo de información cuyo impacto negativo no afectará al

Muy Bajo
proceso en su totalidad del cual pertenece.

b. Como parte de la metodología de Gestión de Activos, los responsables del inventario de

activos de información y con el apoyo del Responsable de la Seguridad de la Información
deben proceder a tasar los Activos de Información Identificados en el punto 5.2 Identificación
de Activos de Información. Esta valoración se basa en los criterios de Seguridad de la
Información, como es la Confidencialidad, Integridad y Disponibilidad.
c. La pregunta que debe efectuare para utilizar el Cuadro Nº 1 es ¿Cómo “una pérdida o una
falla en un determinado activo afecta la Confidencialidad, la integridad y la disponibilidad?”.

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 6 de 8

Cuadro Nº 1 Criticidad de los Activos de Información

Muy Bajo Bajo Medio Alto Muy Alto

-Uso Interno,
información -Reservada, la
-Pública,
crítica, del información que
información
procesos pero -Restringida, El sólo puede ser
disponible para
que no requiere conocimiento o accedida con
el público en -El conocimiento
de medidas divulgación no autorización
general. o divulgación no
complejas de autorizada de previa del
-El autorizada de
seguridad. este activo de propietario.
conocimiento o este activo de
-El conocimiento información -El conocimiento
Confidencialidad divulgación no información
o divulgación no impacta o divulgación no
autorizada de impacta
autorizada de negativamente a autorizada de
este activo de negativamente
este activo de varias áreas y/o este activo de
información no de manera leve
información proceso de información
tiene ningún al proceso.
impacta nuestra impacta
impacto
negativamente organización. negativamente a
negativo en el
de manera toda nuestra
proceso.
importante al organización.
proceso.
-Información
‘-Hay un que sólo puede
‘-No hay impacto ser modificada
impacto en el significativo en por el personal
negocio, si la el negocio si la competente con
-La pérdida de
exactitud e exactitud e previa
-La pérdida de exactitud y
integridad de los integridad de los autorización del
exactitud y estado completo
datos se datos se propietario.
estado completo de la
degrada. degrada. -La degradación
de la información y de
-La pérdida de -La pérdida de de la integridad
información y de los métodos de
exactitud y exactitud y es inaceptable.
Integridad los métodos de procesamientos
estado completo estado completo -La pérdida de
procesamientos impacta
de la de la exactitud y
impacta negativamente a
información y de información y de estado completo
negativamente varias áreas y/o
los métodos de los métodos de de la
de manera leve proceso de
procesamientos procesamientos información y de
al proceso. nuestra
no tiene ningún impacta los métodos de
organización.
impacto negativamente procesamientos
negativo en el de manera impacta
proceso. importante al negativamente a
proceso. toda nuestra
organización

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 7 de 8

-El Activo o
Información es
-La información -El Activo o
requerida para
no es vital para Información es
la toma de
la toma de requerida para
decisiones.
decisiones. la toma de
-Hay impacto
-No hay impacto decisiones de
significativo en -La falta del
en el negocio si manera
-La falta del el negocio si el activo de
el activo o inmediata.
activo de activo o información
información no -El activo de
información información no impacta
está disponible información se
Disponibilidad impacta está disponible negativamente a
para un máximo requiere en
negativamente para un máximo varias áreas y/o
de 7 días. base a 24x7.
de manera leve de 48 horas. proceso de
-La falta del -La falta del
al proceso. -La falta del nuestra
activo de activo de
activo de organización.
información no información
información
tiene ningún impacta
impacta
impacto negativamente a
negativamente
negativo en el toda nuestra
de manera
proceso. organización.
importante al
proceso.

d. El valor de criticidad de los activos de información se calculará en base a la siguiente fórmula:

Criticidad del Activo de Información

Muy Alto {∑ (Confidencialidad, Integridad, Disponibilidad) /3} ≥ 5

Alto {∑ (Confidencialidad, Integridad, Disponibilidad) /3} ≥ 4

Medio {∑ (Confidencialidad, Integridad, Disponibilidad) /3} ≥ 3

Bajo {∑ (Confidencialidad, Integridad, Disponibilidad) /3} ≥ 2

Muy Bajo {∑ (Confidencialidad, Integridad, Disponibilidad) /3} ≥ 1

Donde el valor de la Confidencialidad, Integridad y disponibilidad se obtendrán del Cuadro Nº2

“Valorización de Criterios de Seguridad de la Información”

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX
 CÓDIGO:
Versión: 01
GUÍA METODOLÓGICA DE GESTION DE ACTIVOS Vigencia: XX.08.2012
DE LA INFORMACION Página: 8 de 8

Cuadro Nº 2: Valorización de Criterios de Seguridad de Información

Valorización de Criterios de Seguridad de la Información

Confidencialidad Integridad Disponibilidad

Criterio Valor Criterio Valor Criterio Valor

Muy Alto 5 Muy Alto 5 Muy Alto 5

Alto 4 Alto 4 Alto 4

Medio 3 Medio 3 Medio 3

Bajo 2 Bajo 2 Bajo 2

Muy Bajo 1 Muy Bajo 1 Muy Bajo 1

e. Después de llevar a cabo la valorización de los activos de información, es preciso definir su

criticidad. En ese sentido, sólo serán considerados críticos aquellos activos de información del
cual, como resultado de su valorización sea MUY ALTO o ALTO, considerando que éstos son
sensibles, los cuales deben ser sometidos al análisis y evaluación de riesgos
correspondientes.

5.5. Clasificación de Activos de Información

a. Los activos de información serán clasificados en los talleres convocados previamente por el
responsable de Seguridad de la Información siguiendo el “Procedimiento para la
Clasificación y Tratamiento de la Información (Código:XXXXXX) “.

6. CUADRO DE CONTROL DE CAMBIOS

Fecha de Nº de
Motivo del Cambio
Aprobación Versión
xx.08.2012 01 - Documento nuevo

7. ANEXOS
7.1. Anexo: Matriz de Activos de Información

IMPORTANTE: Documento de Uso Interno

Prohibida su reproducción sin autorización XXXXXX