Activos

Activos de
de Información
Información
 Índice de Contenidos

Activos de Información

Inventario de Activos de Información - ISO 27.002

Ejemplos de Inventarios de activos

Elementos claves de implementación

Conclusiones

1
 Activos de Información

2
 ¿Qué es un Activo de Información?
Información
“La información es un activo que, al igual que otros activos importantes del negocio,
es esencial para el negocio de una organización y, por consiguiente necesita ser
debidamente protegida.” (ISO 27.000:2016)

Activo
“Los activos son elementos tangibles e intangibles que son valiosos para el logro de
la misión u objetivos de negocios.” (NIST 800-37)

Activo de Información
“Componente o funcionalidad de un sistema de información susceptible de ser
atacado deliberada o accidentalmente con consecuencias para la organización.
Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos.”
(Magerit).

NOTA: El concepto de Activo de Información no esta definido en ningunas de las ISO de

3 la serie 27.000.
 La importancia de los activos de información en un SGSI

“Es un sistema que determina que requiere protegerse, y por qué, de

que debe ser protegido y como protegerlo.” (Albert, 2003)

 Los procesos de negocio Son los

¿Que requiere protegerse?
 La información y TIC habilitantes elementos que
deben ser
 El valor que tienen para el negocio debidamente
¿por qué protegerlos?
 Para preservar la CID requerida
protegidos
 Amenazas
¿De que protegerlos?
 Vulnerabilidades

 Con prácticas de gestión de riesgo

¿Cómo protegerlos?
 Implementando controles

4
 La importancia de los activos de información desde la Gestión de Riesgos

Es parte esencial de la Gestión de Riesgos de TI

5
 ¿Los riesgos deben ser gestionados desde una perspectiva de activos?
La ISO 27.001 no establece definición alguna sobre el uso de activos para la gestión
de riesgos de seguridad de la información.

Los controles de ISO 27.002 establecen en el dominio 8 de Gestión de Activos:

3 Objetivos de Control
10 Controles

Los controles de la ISO 27.002 no son del todo obligatorios, pero si desea certificar la
norma una buena práctica es la adopción de un enfoque de riesgos basado en activos
de información.

La ISO 31.000 se basa principalmente en procesos, la ISO 27.005 tiene un foco y

orientación a la gestión de riesgos desde los activos.

6
 Inventario de Activos de Información - ISO 27.002

7
 Dominio 8: Administración de Activos – ISO 27.002
Es una buena práctica establecidas en
prácticamente todos los modelos de riesgos
de TI el abordar la identificación de riesgos
desde los activos de información.
La definición de un inventario de activos de
información es clave para una adecuada
gestión de estos.
Las ISO 27.002 provee de los controles
relevantes que deberían ser implementados
en un SGSI para definir un inventario de
activos de información
El dominio 8 define los controles
relacionados a la Administración de Activos.
8
Objetivos de Control y Controles
establecidos en la norma ISO 27.002
8.1 Responsabilidad por los activos
8.1.1 Inventario de activos
8.1.2 Propiedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolución de activos
8.2 Clasificación de la información
8.2.1 Clasificación de la información
8.2.2 Etiquetado de la información
8.2.3 Manipulado de la información
8.3 Manipulación de los soportes
8.3.1 Gestión de soportes extraíbles
8.3.2 Eliminación de soportes
8.3.3 Soportes físicos en tránsito
 Inventario de Activos y su relación con ISO 27.002

8.1.1 Inventario de activos

8.1.4 Devolución de activos 8.1.2 Propiedad de los activos

8.3.2 Eliminación de
soportes
Eliminación
Propietario
Devolución

8.1.3 Uso aceptable

de los activos Clasificación 8.2.1 Clasificación de la
8.2.3 Manipulado de Uso información
la información Etiquetado 8.2.2 Etiquetado de la
8.3.1 Gestión de información
soportes extraíbles
8.3.3 Soportes
físicos en tránsito Criticidad

8.2.1 Clasificación de la información

9
 Inventario de Activos y su relación con ISO 27.002

Excel/Sistema

Propio de cada Activo  Cargo

 Tipo de Resguardo
 Tiempo de Resguardo
Eliminación
Propietario
Devolución  Tipo de Activo
 Categoría
 Subcategoría
Propio de cada Activo  Soporte
 Procedimientos Clasificación  Medio
 Instructivos Uso  Formato
Etiquetado
 Publicación
 Dependencia
 Ubicación
 Generación (FR)
Criticidad  Actualización (FR)

Evaluación del CID

10
 Ejemplos - Incibe

Instituto de Ciberseguridad de España

https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci
11
 Ejemplos – MINTIC - Colombia

Guía para la Gestión y Clasificación de Activos de Información – MINTIC- Gob de Colombia

https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf
12
 Ejemplos – PMG Seguridad – Gobierno de Chile

Guía Metodológica del PMG de Seguridad de la Información – Gobierno de Chile

http://www.dipres.gob.cl/598/articles-51683_intro_Guia_Metodologica04_2015.pdf

13
 Ejemplos Prácticos

Ejemplo de Incibe

Ejemplo del PMG Seguridad

14
 Ejemplos con mayor información

15
 Atributos de los activos de información

 Nombre del Activo  Identificador  Nombre

 Identificador  Proceso  Descripción
 Tipo  Nombre  Identificador
 Ubicación  Descripción  Tipo
 Responsable  Tipo  Propietario
 Soporte  Ubicación  Responsable
 Persona Aut. Manipular  Confidencialidad  Ubicación
 Persona Aut. Copiar  Integridad  Valoración
 Medio de  Disponibilidad  Confidencialidad
almacenamiento  Criticidad  Criticidad
 Tiempo de Retención  Propietario  Costo
 Confidencialidad  Custodio
 Integridad  Usuarios
 Disponibilidad  Fecha Ingreso
 Criticidad  Fecha de Salida

16
 Ejemplos de Tipo de Activos – Cada Gobierno

 Base de Datos  Información  Servicios  Procesos

 Documento  Software  Datos/Información  Información
 Equipo  Recurso Humano  Aplicaciones  Hardware
 Expediente  Servicio  Hardware  Software
 Formulario  Hardware  Redes de comunicación Red
 Infraestructura  Otros  Soporte de  Personal
Física Información  Sitio
 Persona  Equipamiento Auxiliar  Organización
 Sistema  Instalaciones
 Software  Personal
Es algo que se determina de acuerdo a la necesidad

http://www.dipres.gob.cl/598/articles-51683_intro_Guia_Metodologica04_2015.pdf - Chile
https://www.mintic.gov.co/gestionti/615/articles-5482_G5_Gestion_Clasificacion.pdf - Colombia
https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España

17
 Ejemplos de Sub categoría de Activos – España (PILAR)
Servicios Datos/Información

Es algo que se determina de acuerdo a la necesidad

https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España
18
 Ejemplos de Evaluación de Criticidad – Magerit (España)
Para los activo se evalúa:
Disponibilidad
Integridad
Confidencialidad
Autenticidad usuario
Autenticidad del origen de datos
Trazabilidad del servicio
Trazabilidad de Datos

https://www.pilar-tools.com/doc/magerit/v2/cat-es-v11.pdf - España
19
 Ejemplos de Evaluación de Criticidad – PMG Seguridad Inf. Chile

Para cada activo se

evalúa

Estima Criticidad

http://www.dipres.gob.cl/598/articles-51683_intro_Guia_Metodologica04_2015.pdf - Chile
20
 Ejemplos de Evaluación de Criticidad – NIST 800-60

Para cada
activo se
evalúa

https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-60v1r1.pdf - NIST 800-60

21
 Ejemplos de Inventarios

22
 Ejemplos usando el PMG de Seguridad

23
 Ejemplos usando Magerit

Datos/Información Persona Soporte

Electrónico
Físico
Persona

Servicios

24
 Presentación ejemplo en Excel

25
 Elementos claves de la Implementación

26
 Elementos claves

Articulación con la Gestión de Riesgos

Definición del Inventario y elementos de apoyo

Propiedad y Responsabilidades

Gestionar la baja de activos

Mecanismos de monitoreo, control y supervisión

27
 Elementos claves

 Alineado a la Metodología de Gestión de Riesgos

Articulación con la  La gestión del inventario se realiza desde la Gestión de Riesgos
Gestión de Riesgos
 Puede establecer una Política de Gestión de Activos

Definición del  Inventario estandarizado, definido con instructivo

Inventario y  Establece la propiedad del activo
elementos de apoyo  Incluye mecanismos de clasificación y etiquetado

 Reglas de uso
Propiedad y
Responsabilidades  Capacitación y concientización
 Alineamiento con riesgos y controles

 Procedimientos de devolución de Activos

Gestionar la baja de  Articulado con RRHH, Operaciones
activos
 Procedimientos de Mantenciones

 Indicadores y SLAs
Mecanismos de
 Evaluación de controles
monitoreo, control y
supervisión  Esquema de Gobierno
 Roles y responsabilidades
28
 Consideraciones
Es un proceso en si fácil en su definición autónoma, pero requiere de mucha
integración con estos procesos para una correcta implementación:
Proceso de RRHH
Proceso de Gestión de Riesgos
Procesos Operativos en General

Es una labor que conlleva un esfuerzo importante, el inventariar activos puede ser
muy extenso, más aún cuando se requiere que este debidamente actualizado y
vigente.

Hay múltiples formas de trabajar con activos de información que pueden ayudar a
establecer el proceso de una mejor forma: Agregando por tipo, por ejemplo.

29
 Conclusiones

30
 Conclusiones
La gestión de activos de información es una actividad muy relevante en el contexto de un SGSI,
dado que:
Determina que proteger
Permite establecer por que protegerlo

No existe definición alguna en la ISO 27.001 que establezca la identificación de activos como
elemento foco en la Gestión de Riesgos.

Es relevante contar con un inventario de activo actualizado y con información completa y

suficiente para la gestión de riesgos y temas específicos (por ejemplo RGPD).

La información que contenga el inventario debe ser formalizada en un instructivo, ya sea

dentro del proceso de gestión de riesgos o no.

El apoyo de software es crucial para una gestión de activos eficiente, las planillas en Excel
tienen limites pobres de operación.

31
 Recursos de Aprendizaje

32
 Información de referencia
Magerit – Catalogo de elementos
Capitulo 2 Tipos de Activos – Relación de Tipos

Magerit
Sección 3.1.1 Paso 1:Activos
Sección 8.2 Para identificar Activos

Guía Metodología PMG Seguridad de la Información

1.b Sección “IDENTIFICACION DE LOS ACTIVOS DE INFORMACIÓN”

Guía para la Clasificación y Gestión de Activos - MINTIC - Gob de Colombia

33
  carlos.lobos@usach.cl
 david.lopez.c@usach.cl

Recuerde utilizar los foros de cada módulo

34
 Cuerpo Académico

CARLOS LOBOS MEDINA – PROFESOR TITULAR

Ingeniero Civil en Informática y Magister en Informática (c) de la Universidad de Santiago de Chile,

Diplomado en Auditoría de Sistemas, Postítulo en Seguridad Computacional y Gestión de Procesos de
Negocios de la Universidad de Chile.
Especialista en gobernanza, gestión y control de tecnologías de información empleando modelos como
COBIT, ITIL, ISO 27001 e ISO 22301. Posee certificaciones internacionales CISA, CISM, COBIT, ISO Lead
Auditor 27001, ISO Lead Auditor BS 25599 e ITIL V3, entre otras.
Email: carlos.lobos@usach.cl

DAVID LÓPEZ CARREÑO – PROFESOR AUXILIAR

Ingeniero en Control de Gestión de la Universidad Diego Portales y Diplomado en Dirección de Proyecto

de la Universidad de Santiago de Chile.
Especialista la implementación de modelos de gestión y mecanismos de control de gestión. Posee
certificaciones COBIT, MTA Specialist, MOS Expert, Implementador ISO 9001, Auditor Líder ISO 27001 y
Cybersecurity Fundamentals de ISACA.
Email: david.lopez.c@usach.cl

35
Activos
Activos de
de Información
Información