orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →
como-hacer-un-flujo-de-gestión-de-eventos-Natalia

Próxima clase: Cómo hacer un flujo de gestión de eventos Jueves 04 de abril, 10:00 a.m. GMT-5.

header_academy_v2

Gestiona los activos de información y sus riesgos de forma eficiente

Por Mónica María Jiménez, en febrero 02, 2023

gestion-activos-informacion-y-riesgos-norma-ISO-27001

Un Sistema de Gestión de Seguridad de la Información tiene como principal objetivo proteger los datos (información) de una organización, es decir, evitar que estos sean modificados sin autorización, robados o que sufran una pérdida. 

Y una parte fundamental de este sistema, de acuerdo con la norma ISO 27001, es la gestión de todos los activos de información con los que cuenta la organización. 

En este artículo te contaremos más sobre qué es un activo de información, cuáles son las características que se deben proteger y cómo gestionar eficientemente los activos, así como los diferentes riesgos a los que estos están expuestos.

¿Qué puede considerarse como un activo de información?

Según la norma ISO 27001, un activo de información es todo aquello que tiene algún valor para la organización y que por ende, debe protegerse. 

Estos activos son elementos valiosos y pueden ser tangibles o intangibles, por ejemplo, bases de datos, el hardware, el software, dispositivos de red, de almacenamiento y de seguridad, equipos de cómputo de escritorio y portátiles, el personal que maneja información muy importante, entre muchos otros. 

Sobre estos activos, es importante tener claridad sobre qué tipo de información son. Según Andrés Olarte, especialista en seguridad de la información, puede ser:

  • Información confidencial: es aquella con acceso limitado para los colaboradores o terceros, es decir, solo pueden acceder a esta con previa autorización de parte del dueño de la misma porque su revelación podría causar impactos operacionales, financieros, reputacionales o legales.
  • Información restringida: es de carácter privado o de uso interno solo para las áreas o proyectos autorizados, es decir, tienen acceso controlado.
  • Información de uso interno: es toda aquella que no sea considerada como confidencial y que puede ser comunicada a nivel interno sin restricciones, además, solo puede ser divulgada o compartida a un tercero con previa autorización por parte del dueño de la información.

  • Información pública: es aquella que puede ser distribuida abiertamente al público sin que cause algún daño a la organización, a sus colaboradores, sus socios o sus clientes. Esta categoría solo es asignada por el dueño de la información.

Nueva llamada a la acción

Características de los activos de información que se deben garantizar

Un buen Sistema de Gestión de Seguridad de la Información debe servir para proteger en todo momento la confidencialidad, integridad y disponibilidad de los activos de información y a su vez, mitigar la probabilidad e impacto de los riesgos a los que están expuestos.

  • Confidencialidad: esta característica se refiere a que la información solo debe ser accesible para las personas que tengan un rol específico y la autorización.
  • Integridad: tiene que ver con que la información debe ser integral, completa, exacta, es decir, se debe resguardar correctamente para que no sea modificada o alterada sin autorización.
  • Disponibilidad: esta característica significa que la información debe estar siempre disponible para el personal que tiene el permiso de acceder a ella.

Garantizar estas características es lo que se busca con una correcta gestión de los activos de información, elementos esenciales para el adecuado funcionamiento de todas las organizaciones y, por supuesto, para el logro de los objetivos estratégicos.

¿Cómo gestionar eficientemente los activos de información y sus riesgos?

gestion-de-activos-de-informacion-y-riesgos-norma-ISO-27001

Teniendo en cuenta la norma ISO 27001, una adecuada gestión de los activos de información comienza con el inventario de los activos, esto es, identificarlos correctamente para saber con qué activos cuenta la organización. Además, es importante clasificarlos y valorarlos según su criticidad.

Para realizar el inventario de activos es recomendable definir unos elementos claves que ayudarán a su gestión, por ejemplo:

  • Nombre del activo
  • Tipo de activo
  • Descripción
  • Criticidad según la calificación de su confidencialidad, integridad y disponibilidad
  • Proceso
  • Propietario
  • Custodio 
  • Ubicación

Contar con este inventario de activos claro, que debe mantenerse actualizado, también permite realizar una mejor gestión de los riesgos y amenazas a los que están expuestos, como pueden ser: daños o alteraciones, pérdidas, destrucción lógica, destrucción física, hackeo, secuestro de datos o eliminación. 

Para la gestión de estos riesgos hay que tener en cuenta datos como:

Y por supuesto, la gestión incluye el tratamiento de los riesgos a través de controles que ayuden a mitigar su probabilidad de ocurrencia y su impacto, así como la definición y creación de planes de acción con actividades y responsables específicos. 

Para llevar a cabo la gestión de los activos de información y sus riesgos de manera eficiente, una buena práctica es apoyarse en herramientas tecnológicas que faciliten esta labor, reduciendo la operatividad y así mismo, las imprecisiones o errores que se puedan llegar a cometer. 

En general,  una herramienta como un software de gestión de riesgos de seguridad de la información sirve para facilitar y optimizar la identificación y clasificación de los activos y la gestión de los riesgos asociados, además, permite tener centralizada toda la información para una mejor administración y toma de decisiones oportunamente. 

En Pirani podemos apoyar a tu organización a hacer más simple esta gestión de activos de información y sus riesgos a través de nuestro sistema de gestión ISMS.

Nueva llamada a la acción

 

Escribe tu comentario