Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Activos de Información
Activos de Información
Activos de
de Información
Información
Índice de Contenidos
Activos de Información
Conclusiones
1
Activos de Información
2
¿Qué es un Activo de Información?
Información
“La información es un activo que, al igual que otros activos importantes del negocio,
es esencial para el negocio de una organización y, por consiguiente necesita ser
debidamente protegida.” (ISO 27.000:2016)
Activo
“Los activos son elementos tangibles e intangibles que son valiosos para el logro de
la misión u objetivos de negocios.” (NIST 800-37)
Activo de Información
“Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.”
(Magerit).
4
La importancia de los activos de información desde la Gestión de Riesgos
5
¿Los riesgos deben ser gestionados desde una perspectiva de activos?
La ISO 27.001 no establece definición alguna sobre el uso de activos para la gestión
de riesgos de seguridad de la información.
Los controles de la ISO 27.002 no son del todo obligatorios, pero si desea certificar la
norma una buena práctica es la adopción de un enfoque de riesgos basado en activos
de información.
6
Inventario de Activos de Información - ISO 27.002
7
Dominio 8: Administración de Activos – ISO 27.002
Es una buena práctica establecidas en Objetivos de Control y Controles
prácticamente todos los modelos de riesgos establecidos en la norma ISO 27.002
de TI el abordar la identificación de riesgos
desde los activos de información. 8.1 Responsabilidad por los activos
8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
La definición de un inventario de activos de 8.1.3 Uso aceptable de los activos
información es clave para una adecuada 8.1.4 Devolución de activos
gestión de estos.
8.2 Clasificación de la información
8.2.1 Clasificación de la información
Las ISO 27.002 provee de los controles 8.2.2 Etiquetado de la información
relevantes que deberían ser implementados 8.2.3 Manipulado de la información
en un SGSI para definir un inventario de
activos de información 8.3 Manipulación de los soportes
8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes
El dominio 8 define los controles 8.3.3 Soportes físicos en tránsito
relacionados a la Administración de Activos.
8
Inventario de Activos y su relación con ISO 27.002
9
Inventario de Activos y su relación con ISO 27.002
Excel/Sistema
10
Ejemplos - Incibe
13
Ejemplos Prácticos
Ejemplo de Incibe
14
Ejemplos con mayor información
15
Atributos de los activos de información
16
Ejemplos de Tipo de Activos – Cada Gobierno
http://www.dipres.gob.cl/598/articles-51683_intro_Guia_Metodologica04_2015.pdf - Chile
https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf - Colombia
https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España
17
Ejemplos de Sub categoría de Activos – España (PILAR)
Servicios Datos/Información
https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España
18
Ejemplos de Evaluación de Criticidad – Magerit (España)
Para los activo se evalúa:
Disponibilidad
Integridad
Confidencialidad
Autenticidad usuario
Autenticidad del origen de datos
Trazabilidad del servicio
Trazabilidad de Datos
https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España
19
Ejemplos de Evaluación de Criticidad – PMG Seguridad Inf. Chile
Estima Criticidad
http://www.dipres.gob.cl/598/articles-51683_intro_Guia_Metodologica04_2015.pdf - Chile
20
Ejemplos de Evaluación de Criticidad – NIST 800-60
Para cada
activo se
evalúa
22
Ejemplos usando el PMG de Seguridad
23
Ejemplos usando Magerit
Servicios
24
Presentación ejemplo en Excel
25
Elementos claves de la Implementación
26
Elementos claves
Propiedad y Responsabilidades
27
Elementos claves
Reglas de uso
Propiedad y
Responsabilidades Capacitación y concientización
Alineamiento con riesgos y controles
Indicadores y SLAs
Mecanismos de
Evaluación de controles
monitoreo, control y
supervisión Esquema de Gobierno
Roles y responsabilidades
28
Consideraciones
Es un proceso en si fácil en su definición autónoma, pero requiere de mucha
integración con estos procesos para una correcta implementación:
Proceso de RRHH
Proceso de Gestión de Riesgos
Procesos Operativos en General
Es una labor que conlleva un esfuerzo importante, el inventariar activos puede ser
muy extenso, más aún cuando se requiere que este debidamente actualizado y
vigente.
Hay múltiples formas de trabajar con activos de información que pueden ayudar a
establecer el proceso de una mejor forma: Agregando por tipo, por ejemplo.
29
Conclusiones
30
Conclusiones
La gestión de activos de información es una actividad muy relevante en el contexto de un SGSI,
dado que:
Determina que proteger
Permite establecer por que protegerlo
No existe definición alguna en la ISO 27.001 que establezca la identificación de activos como
elemento foco en la Gestión de Riesgos.
El apoyo de software es crucial para una gestión de activos eficiente, las planillas en Excel
tienen limites pobres de operación.
31
Recursos de Aprendizaje
32
Información de referencia
Magerit – Catalogo de elementos
Capitulo 2 Tipos de Activos – Relación de Tipos
Magerit
Sección 3.1.1 Paso 1:Activos
Sección 8.2 Para identificar Activos
33
carlos.lobos@usach.cl
david.lopez.c@usach.cl
34
Cuerpo Académico
35
Activos
Activos de
de Información
Información