Columnista: Marco Montenegro, CISO de eBIZ
La Identificación de Activos de Información es uno de los procesos clave de todo Sistema de Gestión de Seguridad de Información. Su importancia radica en que nos sirve para determinar prioridades en nuestros esfuerzos de protección, efectuando una clasificación de Activos de Información y/o iniciando un proceso formal de evaluación de riesgos de activos de información tomando en cuenta los activos priorizados.
Las empresas que mantienen Sistemas de Gestión de Seguridad de Información (SGSI) basados en la Norma ISO 27001 (Estándar para la Gestión de Seguridad de información) buscan cumplir con el requisito establecido en su Anexo A de identificar activos asociados a la información, manteniendo un inventario de estos activos. En atención a ello, es común encontrar empresas con un inventario único, que listan documentos y registros de los procesos en el alcance del SGSI, al que suman aplicaciones informáticas y servidores, en función del interés del negocio con el fin de determinar su valor y criticidad. Esto normalmente es realizado por las funciones responsables de mantener el SGSI, independientemente si otras áreas mantienen inventarios específicos -de hardware y software, por ejemplo- los cuales podrían o no conversar con el Inventario de Activos efectuado para el SGSI.
El principal reto de este modelo radica en cómo mantener permanentemente actualizado un Inventario de Activos de Información y a la vez evitar redundancias en la identificación de activos. La receta no es única, pues cada organización es particular y las soluciones deben ser adaptadas a cada modelo de negocio. Sin embargo, podemos ensayar una propuesta que sirva para reflexión, a fin de evaluar cómo generar eficiencias al momento de desarrollar este tipo de actividades. La Norma ISO 27002 (Guía de buenas prácticas para controles de Seguridad de Información) nos da una pista, al señalar que la documentación debe mantenerse en inventarios específicos o existentes, y que el inventario de activos debe ser alineado con otros inventarios, que pueden ser necesarios para otros fines, tales como el de Salud y Seguridad, Seguros o Razones Financieras (gestión de activos).
Asimismo, con más detalle, la Norma ISO 27005 (Gestión de Riesgos de Seguridad de Información) nos presenta la Identificación de Activos como etapa primaria para el Análisis de Riesgo en la que se diferencian los activos primarios (actividades y procesos del negocio, o información) de aquellos activos de soporte de los que dependen los elementos primarios del alcance (tales como hardware, software, redes, personal, sitio, estructura de la organización). A partir de esta premisa, podríamos proponer un modelo simple de pasos a seguir:
- Inventariar Activos de Información Primarios: Por ejemplo, procesos core del negocio y dentro del alcance del SGSI, cuya pérdida o degradación hace imposible llevar a cabo la misión de la organización. Otro caso puede ser el de la información personal, pudiendo ser definida específicamente en atención a regulaciones relacionadas con la privacidad.
- Identificar los Inventarios Activos de Información de Soporte existentes: Por ejemplo, las empresas que tienen Sistemas de Gestión basados en ISO normalmente mantienen una Lista Maestra de Documentos y Registros. Asimismo, el Hardware y Software pueden ser inventariados mediante una solución informática; o los puestos de trabajo, determinados en Descripciones de Puestos de manera manual o mediante una solución informática, entre otros.
- Alinear los Inventarios existentes con Activos de Información Primarios: Los activos de información de soporte deben guardar correspondencia con los activos de información primarios. Para lograrlo, podemos adicionar elementos en los Inventarios de Activos de Información de Soporte existentes que nos faciliten identificar su vinculación, tales como campos o etiquetas.
Como resultado, los Inventarios activos de información de soporte existentes continuarían siendo actualizados por cada responsable asignado, permitiendo identificar su relación hacia activos de Información primarios clasificados y/o priorizados. Más importante aún, podemos mantener un Inventario de Activos de Información Primarios que realmente identifique «Las Joyas de la Corona» y todos sus elementos relacionados para fines de protección, el cual es el objetivo primordial de toda actividad de Seguridad de Información.
CISM. Ing. Marco Montenegro Díaz es especialista con más de 10 años de experiencia en Sistemas de Gestión de Seguridad de Información, Ciberseguridad, Privacidad, Gestión de Continuidad de Negocio y Gestión de Riesgos en el sector de Servicios Financieros, de Seguridad y Tecnologías de Información. Actualmente se desempeña como CISO en eBIZ Latin America
