Referencia documental

Logo Versión

Publicado

Autor

Propietario

Gestión de
Activos

Referencia documental

Versión

Publicado [Insertar fecha]

1/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

Autor [Insertar Nombre]

Propietario del documento  [Insertar nombre/Rol]

2/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

Control de cambios

Versión Fecha Revisó Cambios

Distribución 

Nombre Área / Rol / Departamento

Aprobó 

Nombre Puesto Firma Fecha

3/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

INDICE

1. Alcance....................................................................................................................................................................3
2. Objetivo................................................................................................................................................................... 3
3. Términos y definiciones...........................................................................................................................................3
4. Desarrollo de actividades........................................................................................................................................4
5. Políticas y especificaciones......................................................................................................................................6

4/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

1. Alcance
Este procedimiento aplica para todos los activos utilizados para prestar los servicios y los activos requeridos
para la evaluación de riesgos de seguridad de la información.

2. Objetivo
Establecer las actividades necesarias para asegurar la adecuada gestión de los activos del SGX y los incluidos en el
análisis de riesgos.

3. Términos y definiciones
Ver el anexo A. Glosario de términos y definiciones del Manual del Sistema de Gestión XXX.

5/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

4. Desarrollo de actividades

Actividad Responsable
1. Identificar activos primarios Gestor de activos
El responsable deberá identificar los activos primarios que ayuden a la entrega del servicio de
(Nombre de la empresa), un ejemplo de estos activos puede ser:
- Procesos y actividades de negocio
- Información confidencial
- Servicios
- Reputación
2. Identificar activos de soporte o favorables Responsables de
servicios
Los responsables de cada proceso deberán identificar los activos de soporte o favorables, estos
activos podrían ser:
- Hardware
- Software
- Red
- Personales
- Controles físicos
3. Valoración de activos (Cuantitativa) Gestor de activos

Los activos de información y sobre todo los activos de soporte, deberán ser valorados a razón de
su costo de remplazo, es decir, si un firewall queda inservible, que costo tendría traer uno nuevo,
si por ejemplo el activo se encuentra arrendado, se debe de valorar el costo cuando el proveedor
no aplique garantía y la organización tenga que cubrir los gastos.

NOTA 1: Es importante no solo agregar el costo de cuánto podría costar el activo, si no también
considerar gastos de envío, aduana, tiempo, etc.
4. Valoración de activos (Cualitativa) Gestor de activos

Los Activos de información también poseen un grado de importancia para la organización, esto se
debe medir a razón de que activos participan en que servicios, ya que en su ausencia podrían no
ser entregados.
5. Consolidar los activos en una base común Gestor de activos

El gestor de activos deberá consolidar la información obtenida de la identificación y evaluación en

una base común llamada Inventario de activos
6/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

6. Identificar necesidades de comprar o contratar Gestor de

Determinar si es necesario contratar personal faltante, en su caso, gestionar a través del Proceso activos/Responsable de
Selección y contratación de personal. Determinar si es necesario comprar un activo o contratar Mesa de servicios.
un servicio, en su caso, lo gestiona a través del Proceso Gestión de proveedores.
7. Determinar responsables de dar mantenimiento Gestor de activos
Identificar a los responsables que deberán proporcionar mantenimiento continuo a cada activo y
solicita la elaboración de un programa de mantenimiento a los responsables.

7/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

NOTA 2: El plan de mantenimiento podrán realizarse en formato libre, siempre y cuando

incluyan: actividades, responsable, si requieren de un proveedor y fechas de inicio y fin
programadas; así mismo, los planes de mantenimiento deberán ser por periodos anuales.
8. Revisar y autorizar programa de mantenimiento Gestor de activos
Recibir los planes de mantenimiento, revisar que cumplan con los criterios establecidos en la
actividad anterior y presentar al comité del SGX, junto con el inventario de activos para su visto
bueno.
9. Proporcionar el inventario de activos al gestor de riesgos Gestor de activos
Enviar el inventario de activos actualizado al gestor de riesgos para que realice la valoración de
riesgos con base en el Proceso de riesgos.
10. Revisar el cumplimiento a los programas de mantenimiento Gestor de activos
Al menos una vez al año, realiza una revisión de los programas de mantenimiento para verificar
que se estén llevando a cabo conforme a lo planeado. En caso de identificar desviaciones,
comunica al comité del SGX, formular los planes de acción correspondientes en conjunto con el
responsable de dar mantenimiento a los activos involucrados.
12. Evaluar necesidad de actualización Gestor de activos
Una vez al año, identificar si dentro del Inventario de activos existen activos que deban darse de
baja, integrarse nuevos activos, cambiar responsables, reclasificar o realizar cualquier cambio
al inventario de activos.

8/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

5. Políticas y especificaciones

Primero Generales
A. El dueño de este procedimiento, así como, las responsabilidades asignadas, deberán estar definidas.
B. Este procedimiento deberá ser revisado y evaluar posibles modificaciones derivadas de mejoras
identificadas o necesidades de adecuación a la operación; al menos una vez al año, de lo cual, deberá
quedar constancia en una minuta.

Segundo Criterios de evaluación de activos

A. Para la evaluación cualitativa se establecerán los siguientes esquemas:

a. ALTO  La ausencia del activo podría detonar un incidente mayor o incluso la activación de
planes de continuidad.
b. MEDIO  La ausencia del activo puede generar fallas en la operación
c. BAJO  Se podría seguir operando sin el activo durante 48 horas y sin afectar servicios
B. Para la evaluación cuantitativa se establecerán los siguientes valores
a. $$$  100,000 MNX - MÁS
b. $$  10,000 MNX – 100,000 MNX
c. $  Costo de remplazo de 1.00 MNX - 10,000 MNX
C. Es importante considerar dependencias entre activos, sobre todo si estos activos soportan a varios activos
primarios.

Tercero Nivel de criticidad

A. La evaluación de impacto de cada activo se dará conforme al siguiente mapa de calor:

Cualitativa
Alto Medio Bajo
$$$ Critico Muy Alto Alto
Costo $$ Muy Alto Alto Medio
$ Alto Medio Bajo

Cuarto Revisión de la eficacia del procedimiento

A. La revisión de la eficacia del procedimiento se realizará a través del procedimiento gestión de la eficacia de
9/4
 Referencia documental

Logo Versión

Publicado

Autor

Propietario

procesos.

10/
4