EQUIPO SEGURIDAD DE LA INFORMACIÓN

GESTIÓN DE LOS
ACTIVOS DE INFORMACIÓN

¿Qué es un Activo de información?

Es la información (datos, documentos físicos,
electrónicos, bases de datos, procedimientos
documentados, manuales, formatos, etc) y los
recursos encargados de su procesamiento durante
su ciclo de vida.

Los activos de información se deben:

 Identificar
 Clasificar
 Valorar
 Etiquetar

IDENTIFICACIÓN
Los activos de información deben ser identificados según el tipo de servicio que
ofrece en:

1. Activos tecnológicos e información

2. Activos de comunicación
3. Recursos físicos

1. ACTIVOS TECNOLÓGICOS E INFORMACIÓN

Los activos tecnológicos e información abarcan lo siguiente:

Software
 Software de Sistema: Sistemas Operativos, Controladores de dispositivos,
Herramientas de diagnóstico, Herramientas de corrección y optimización,
Utilidades para el sistema.

 Software de Programación: Editores de texto, Compiladores, Intérpretes,

Enlazadores, Depuradores, Entornos de desarrollo integrados (IDE).

EQUIPO SEGURIDAD DE LA INFORMACIÓN

 Software de Aplicación: Aplicaciones
para control de sistemas y automatización
industrial, Aplicaciones ofimáticos, Software
educativo, Software empresarial,
Administrador de Bases de datos,
Telecomunicaciones (por ejemplo; Internet y
toda su estructura lógica), Software
publicitario, Videojuegos, Software médico,
Software de cálculo numérico y simbólico,
Software de diseño asistido (CAD), Software
de control numérico (CAM).

Hardware
 Hardware Móvil: Computadores portátiles, Tabletas,
PDA (Asistente Digital Personal), teléfonos corporativos.

 Hardware Fijo: Servidor, Computadores de Mesa,

Kioscos, Puntos de atención Virtual.

 Periférico de procesamiento: Impresora, reproductor

de discos extraíble, proyectores, televisores, teléfonos IP.

Periféricos externos
 USB: Dispositivos externos para transferir
información.

 CDs: Dispositivos externos para copiar informes,

base de datos, información enviada a
proveedores o clientes.

 Token: Dispositivos físicos para realizar

autenticación a sistemas transaccionales o de
operación crítica para la compañía.

 Modem Inalámbricos: Dispositivos de

comunicación alterna como contingencia de
acceso a internet.
 Discos Duros: Dispositivo de almacenamiento,
que se usa como Backup del área o transporte
de información.

 Otros periféricos: Dispositivos especializados de trasmisión o dispositivos

de recepción de información.

EQUIPO SEGURIDAD DE LA INFORMACIÓN

Datos/Información
 Formatos: Formularios, Plantillas, Fichas
Técnicas.

 Registros: Base de datos, Hojas de vida,

Historias clínicas, Registros de matrículas, Registro de
tarjetas, Registros Crediticios, Informes, Bitácoras.

 Documentos: Procedimientos, Políticas,

Manuales de usuarios, Material de capacitación, Planes
de continuidad y contingencia.

2. ACTIVOS DE COMUNICACIÓN
Servicios Internos
 Comunicación: Línea telefónica, Conmutador, Redes
telefónicas internas.

 Intranet: Servicios de información interna.

 Correo electrónico: Correo electrónico interno, correo

electrónico vía web.

Servicios Subcontratados

 Centro de Cómputo: Resguardo de

los servidores, Call centers, Centros de
operación alternos.

 Administración de plataformas:
Administración de herramientas de soporte
a la operación, herramientas auxiliares.

 Soporte y Mantenimiento:
Contratos de mantenimiento Físicos,
digitales, desarrollo, control, mejoras.

EQUIPO SEGURIDAD DE LA INFORMACIÓN

Redes de Comunicaciones
 Subcontratistas - Proveedores –
Industriales: Empresa de gestión informática
externalizada, empresa de externalización,
empresa consultora.

 Medios y soportes: Ethernet, GigabitEthernet,

cable, fibra, ADSL sobre par de cobre, WiFi
802.11, BlueTooth, FireWire.

 Repetidor pasivo o activo: Puente, enrutador,

concentrador, switch, conmutador automático.

3. RECURSOS FÍSICOS
Personal
 Contratistas Externos: Personal que administra
plataformas o realizan labores operativas y de servicio a
Colsubsidio.

 Empleados de Planta: Empleados nombrados

directamente por la caja (Jefes, Analistas, Operativos,
mantenimiento, entre otros).

 Empleados Temporales: Recursos contratados por

otras agencias de empleo que ejecutan labores operativas.

 Contratistas Proyectos: Recursos que se asignan específicamente para la

labor de iniciativas y proyectos de mejora o implementación de nuevas
funcionalidades o servicios.

Instalaciones / Infraestructura Física:

 Lugares: Perímetros, barreras físicas.

 Áreas de Apoyo: Áreas de procesamiento de

información, Call Center asociados, áreas de
recreación y eventos.

EQUIPO SEGURIDAD DE LA INFORMACIÓN

  Entorno externo: Domicilio del personal, instalaciones de otro organismo,
entorno externo al establecimiento (zona urbana, zona de riesgo).

 Racks en el área: El área tiene Rack que contenga servidores, Router,

Firewall, especificar si los accesos físicos y lógicos a los equipos son
seguros.

Equipamiento Auxiliar:

 Bóvedas de seguridad: Cajas Fuertes utilizadas

para guardar token, claves de acceso, llaves de
seguridad, dispositivos de comunicación.

 Archivadores de almacenamiento:
Almacenamiento de cintas, equipos portátiles de
respaldo, documentos físicos.

 Planta Eléctrica: Ups, sistemas alternos de energía.

 CLASIFICACIÓN
Los activos de información deben ser clasificados según:

Confidencialidad
• Identifica el nivel de perjuicio que causaría que el activo sea
publicado, divulgado o conocido por personas no autorizadas,
es importante utilizar mecanismos de cifrado seguro en el
almacenamiento y transmisión de los datos.

Integridad
• Identifica el nivel de perjuicio que causaría que el activo sea
alterado en su contenido o información.

Disponibilidad
• Identifica el perjuicio que causaría el no disponer del activo de
información o no poder utilizarlo cuando sea requierido.

EQUIPO SEGURIDAD DE LA INFORMACIÓN

 VALORACIÓN
Los activos de información deben ser valorados según su criticidad:

EXTREMO
• Son los activos de información con mayor importancia dentro de
Colsubsidio, de alto valor y su información no debe nunca estar
comprometida por ningún motivo, se les debe dar el grado más
alto de seguridad y protección, cualquier daño a estos activos
puede tener repercusión directa en los estados financieros de la
Caja o dañar gravemente su operación o reputación. Además,
debe estar disponible en todo momento.

ALTO
• Son aquellos activos de información que deben mantenerse
seguros en todo momento, su pérdida o daño pueden traer
perjuicios operativos, legales o pérdida de imagen para
Colsubsidio, se deben tratar con un alto nivel de seguridad y ser
almacenados de manera segura.

MEDIO
• Si llega a ser comprometido el activo de información, no trae
consecuencias graves para Colsubsidio, sin embargo deben
mantenerse con un nivel medio de seguridad, mantenerse
disponibles según el caso y no ser divulgados al público sin
autorización.

BAJO
• Los activos de información no representan un riesgo para
Colsubsidio, generalmente son de acceso público y no requieren
una disponibilidad crítica, por lo que no deben ser
cuidadosamente resguardados, sin embargo, deben mantenerse
en inventario y no ser mal utilizados

EQUIPO SEGURIDAD DE LA INFORMACIÓN

  ETIQUETADO

El etiquetado de cada activo de información debe cumplir con los siguientes

parámetros:

Código Activo Codificación del Activo de Información, es el consecutivo

utilizado por la Gerencia de Tecnología/ Seguridad de la
Información para su fácil identificación.
Subdirección Código de la subdirección responsable de(l) lo(s) Información.
Secciones / Código del área o dependencia responsable de(l) lo(s)
Coordinaciones Información.
Tipo de Activo Abreviatura del tipo del Activo de Información según
Identificación de Activos.
Clasificación Abreviatura de la clasificación del activo según el acceso:
Confidencial, Privado, Uso Interno y Publico.
Consecutivo N° Consecutivo asignado al activo de información inicia en 1.

EQUIPO SEGURIDAD DE LA INFORMACIÓN