Documentos de Académico
Documentos de Profesional
Documentos de Cultura
responsabilidades sobre los mismos, con el objetivo de evaluar las medidas de protección
adecuadas para cada activo en base a una evaluación de riesgos.
Como hemos visto el inventario de activos debe identificar al propietario del activo.
Para asignar al propietario de un activo debemos preguntarnos solamente quien crea, gestiona
su transferencia, almacenamiento o destrucción del activo. En definitiva, el que gestiona el
activo debe ser asignado como propietario.
El propietario del activo en ningún caso es el dueño del activo sino el que tiene una serie de
responsabilidades sobre el activo, las cuales enumeramos:
Citando la norma:
El propietario de un activo de información puede ser un individuo o una entidad que a la que la
dirección ha asignado la responsabilidad de gestionar el activo en su ciclo de vida completo.
CASO PRACTICO:
El uso aceptable de activos podría incluir medidas relacionadas con la difamación, el acoso, la
suplantación de identidad, las cadenas de cartas (especialmente el ransomware) y las compras
no autorizadas etc.
Control para que todos los empleados, contratistas etc. devuelvan los activos de información
una vez finalizado el periodo de su utilización, contrato o acuerdo.
Otras consideraciones:
El proceso de etiquetado puede tener excepciones (Activos que no necesiten etiquetado. Por
ejemplo, podemos evitar tener que poner la etiqueta: “Información no confidencial”), algo que
tiene que estar especificado en un procedimiento de etiquetado.
Los activos de los sistemas que contienen información clasificada como sensible o crítica
deberían llevar una etiqueta adecuada de clasificación.
Este control exige el desarrollo de procedimientos de manejo de activos que tengan en cuenta
la clasificación de los activos de información (8.2.1).
INTERCAMBIOS DE INFORMACION.
El etiquetado de los activos y de la información no tiene por qué coincidir de una organización a
otra por lo que en los procesos de manejo de activos en caso de intercambios de información
deberíamos incluir la información sobre la clasificación de la información para interpretar las
etiquetas de clasificación de otras organizaciones.
Se trata de proteger la información en el nivel de soportes en los que se encuentra ya sea papel
o soportes electrónicos.
La necesidad de su uso.
Los soportes reutilizables que deberían retirarse de la organización y hacerse
irrecuperables.
Cuando sea practico debemos requerir autorización para su uso.
Mantener un registro de altas y bajas.
Considerar especificaciones de almacenamiento según especificaciones del fabricante.
Encriptar datos para proteger aquellos que se consideren importantes.
Renovar dispositivos con un periodo determinado para evitar la degradación de datos
necesarios e importantes.
Proteger la información almacenada con copias de seguridad en soportes
independientes.
Crear un registro de soportes extraíbles para limitar la posibilidad de pérdida de datos.
Controlar la transferencia de información hacia medios extraíbles.
Documentar los procedimientos de autorización.
Control:
Se trata de minimizar o evitar que los datos sensibles o confidenciales puedan ser recuperados
una vez que el dispositivo se da de baja mediante procedimientos de eliminación segura.
Se trata de establecer un control para proteger la información cuando los soportes necesitan
ser trasladados entre distintas ubicaciones. Para ello deberemos establecer un control sobre: