7. GESTIÓN DE ACTIVOS
7.1 RESPONSABILIDAD
POR LOS ACTIVOS
Objetivo: lograr y mantener la protección adecuada de los
activos de la organización.
Todos los activos se deben incluir y deben tener un dueño
designado.
Se deberían identificar los dueños para todos los activos y
asignar la responsabilidad para el mantenimiento de los controles adecuados. La
implementación de los controles específicos puede ser delegada por el dueño,
según el caso, pero él sigue siendo responsable de la protección adecuada de
los activos.
7.1.1 Inventario de
activos
Control
Todos los activos deberían estar claramente identificados y
se debería elaborar y mantener un inventario de todos los activos importantes.
Guía de implementación
La organización debería identificar todos los activos y
documentar su importancia. El inventario de activos debería incluir toda la
información necesaria para recuperarse de los desastres, incluyendo el tipo de
activo, el formato, la ubicación, la información de soporte, la información sobre
licencias y el valor para el negocio. Este inventario no debería duplicar
innecesariamente otros inventarios, pero se debería garantizar que el contenido
esté acorde.
Además, se deberían acordar y documentar la propiedad (véase
el numeral 7.1.2) y la clasificación de la información (véase el numeral 7.2)
para cada uno de los activos. Con base en la importancia del activo, su valor
para el negocio y su clasificación de seguridad se recomienda identificar los
niveles de protección según la importancia de los activos (información
adicional sobre la forma de valorar los activos para representar su importancia
se puede encontrar en la norma ISO/IEC TR 13335-3).
Información adicional
Existen muchos tipos de activos, incluyendo:
a) información:
bases de datos y archivos de datos, contratos y acuerdos, documentación del
sistema, información sobre investigación, manuales de usuario, material de formación,
procedimientos operativos o de soporte, planes para la continuidad del negocio,
acuerdos de recuperación, registros de auditoría e información archivada;
b) activos de
software: software de aplicación, software del sistema, herramientas de desarrollo
y utilidades;
c) activos
físicos: equipos de computación, equipos de comunicaciones, medios removibles y
otros equipos;
d) servicios:
servicios de computación y comunicaciones, servicios generales como por ejemplo
iluminación, calefacción, energía y aire acondicionado;
e) personas y sus
calificaciones, habilidades y experiencia;
f) intangibles
tales como reputación e imagen de la organización.
Los inventarios de activos ayudan a garantizar que se logra
la protección eficaz de los activos y también se puede requerir para otros
propósitos del negocio como por ejemplo por razones de salud y seguridad,
financieras o de seguros (gestión de activos). El proceso para obtener un
inventario de activos es un prerrequisito importante de la gestión de riesgos
(véase el numeral 4).
7.1.2 Propietario de
los activos
Control
Toda la información y los activos asociados con los
servicios de procesamiento de información deberían ser "propietario"2)
de una parte designada de la organización.
Guía de implementación
El propietario del activo debería ser responsable de:
a) garantizar que
la información y los activos asociados con los servicios de procesamiento de
información se clasifican adecuadamente;
b) definir y
revisar periódicamente las restricciones y clasificaciones del acceso, teniendo
en cuenta las políticas aplicables sobre el control del acceso.
La propiedad se puede asignar a:
a) un proceso del
negocio;
b) un conjunto
definido de actividades;
c) una
aplicación;
d) un conjunto
definido de datos.
Información adicional
Las labores rutinarias se pueden delegar, por ejemplo a un
custodio que cuide el activo diariamente, pero la responsabilidad sigue siendo
del propietario.
En los sistemas complejos de información puede ser útil
asignar grupos de activos que actúan juntos para suministrar una función
particular como "servicios". En este caso, el propietario del servicio
es responsable de la entrega de éste, incluyendo el funcionamiento de los
activos que lo proporcionan.
7.1.3 Uso aceptable
de los activos
Control
Se deberían identificar, documentar e implementar las reglas
sobre el uso aceptable de la información y de los activos asociados con los
servicios de procesamiento de la información.
Guía de implementación
Todos los empleados, contratistas y usuarios por tercera
parte deberían seguir las reglas para el uso aceptable de la información y de
los activos asociados con los servicios de procesamiento de información,
incluyendo:
a) reglas
para el uso del correo electrónico y de Internet (véase el numeral 10.8).
b) directrices
para el uso de los dispositivos móviles, especialmente para su utilización fuera
de las instalaciones de la organización (véase el numeral 11.7.1).
El director correspondiente debería suministrar las reglas o
directrices específicas. Los empleados, contratistas y usuarios de tercera
parte que utilizan o tienen acceso a los activos de la organización deberían
estar concientes de los límites que existen para el uso de la información y de
los activos de la organización asociados con los servicios de procesamiento de
información, así como de los recursos. Deberían ser responsables del uso que
hagan de los recursos de procesamiento de información y de cualquier uso
efectuado bajo su responsabilidad.
7.2 CLASIFICACIÓN DE
LA INFORMACIÓN
Objetivo: asegurar que la información recibe el nivel de
protección adecuado.
La información se debería clasificar para indicar la necesidad,
las prioridades y el grado esperado de protección al manejar la información.
La información tiene diferentes grados de sensibilidad e
importancia. Algunos elementos pueden requerir un grado adicional de protección
o manejo especial. Se recomienda utilizar un esquema de clasificación de la
información para definir un conjunto apropiado de niveles de protección y
comunicar la necesidad de medidas especiales de manejo.
7.2.1 Directrices de
clasificación
Control
La información se debería clasificar en términos de su
valor, de los requisitos legales, de la sensibilidad y la importancia para la
organización.
Guía de implementación
Las clasificaciones y los controles de protección asociados
para la información deberían considerar las necesidades del negocio respecto a
compartir o restringir la información, al igual que los impactos del negocio
asociados con tales necesidades.
Las directrices de clasificación deberían incluir
convenciones para la clasificación inicial y la reclasificación con el paso del
tiempo, de acuerdo con alguna política predeterminada de control del acceso
(véase el numeral 11.1.1).
Debería ser responsabilidad del propietario del activo (véase
el numeral 7.1.2) definir la clasificación del activo, revisarlo periódicamente
y asegurarse de que se mantiene actualizado y en el nivel adecuado. La
clasificación debería considerar el efecto de suma mencionado en el numeral
10.7.2.
Es conveniente considerar la cantidad de categorías de
clasificación y los beneficios a obtener con su utilización. Los esquemas
demasiado complejos pueden volverse engorrosos y de uso costoso o no ser
prácticos. Se debería tener cuidado al interpretar las etiquetas de
clasificación en los documentos de otras organizaciones, las cuales pueden
tener diferentes definiciones para etiquetas iguales o similares.
Información adicional
El nivel de protección se puede evaluar analizando la confidencialidad,
la integridad y la disponibilidad como también otros requisitos para la
información en consideración.
Con frecuencia, la información deja de ser sensible o importante
después de un periodo de tiempo dado, por ejemplo, cuando la información se
hace pública. Se deberían considerar estos aspectos puesto que la
superclasificación puede originar la implementación de controles innecesarios
que llevan a un costo adicional.
La consideración de documentos con requisitos de seguridad
similares cuando se asignan los niveles de clasificación puede ser útil para
simplificar la labor de clasificación.
En términos generales, la clasificación que se da a la información
es una manera corta de determinar la forma en que se debe manejar y proteger
esta información.
7.2.2 Etiquetado y
manejo de la información
Control
Se debería desarrollar e implementar un conjunto de procedimientos
adecuados para el etiquetado y el manejo de la información de acuerdo al esquema
de clasificación adoptado por la organización.
Guía de implementación
Es necesario que los procedimientos para el etiquetado de la
información comprendan los activos de información en formatos físico y
electrónico.
Las salidas de los sistemas que contienen información que se
clasifica como sensible o crítica deberían portar una etiqueta de clasificación
adecuada (en la salida). El etiquetado debería reflejar la clasificación según
las reglas establecidas en el numeral 7.2.1. Los elementos a considerar
incluyen informes impresos, presentaciones en pantalla, medios grabados (por ejemplo,
cintas, discos, discos compactos), mensajes electrónicos y transferencias de
archivos.
Para cada nivel de clasificación es recomendable definir los
procedimientos de manejo, incluyendo procesamiento, almacenamiento,
transmisión, desclasificación y destrucción seguros. Ello debería incluir los
procedimientos para la cadena de custodia y el registro de cualquier evento
importante de seguridad.
Los acuerdos con otras organizaciones que incluyen compartir
información deberían incluir procedimientos para identificar la clasificación
de dicha información y para interpretar las etiquetas de clasificación de otras
organizaciones.
Información adicional
El etiquetado y el manejo seguro de la información
clasificada son un requisito clave de los acuerdos para compartir información.
Las etiquetas físicas son una forma común de etiquetado.
No obstante, algunos activos de información, tales como los
documentos en formato electrónico, no se pueden identificar físicamente y es
necesario emplear medios electrónicos de etiquetado. Por ejemplo, el etiquetado
de notificación puede aparecer en la pantalla o en la presentación. Cuando el
etiquetado no es viable, se pueden aplicar otros medios para designar la
clasificación de la información, por ejemplo a través de procedimientos o
meta-datos.
No hay comentarios:
Publicar un comentario