Piraní Academy

Gestión y clasificación de activos de información

by Maria Camila Arévalo, on octubre 14, 2020

h_gestion_de_riesgos_6

Quienes están a cargo de la seguridad de la información en las empresas deben regirse por diferentes lineamientos para realizar una adecuada gestión y clasificación de los activos que les permita conocer en detalle qué es lo que poseen, cómo deben usarlos, quiénes son los responsables y cuál es el rol que se le da a cada uno. 

De acuerdo con la norma ISO 27001 es necesario hacer un inventario y clasificación de los diferentes activos de información de la empresa como parte del cumplimiento del Modelo de Seguridad y Privacidad de la Información, que estipula lo siguiente:

  • Inventario de activos: se deben identificar todos los activos de la compañía y a su vez, crear un inventario de estos.
  • Propiedad de activos: cada activo identificado debe contar con un responsable o propietario. 
  • Clasificación de la información: se debe realizar la respectiva clasificación dependiendo del requerimiento legal, valor, criticidad, divulgación y modificación.
  • Manipulación de información: se debe contar con procedimientos que permitan etiquetar la información y que funcione con el sistema de clasificación que definió la empresa. 

Descarga gratis un manual para implementar la seguridad de la información

¿Cómo hacer el inventario de activos de información?

  • Obtener la información del activo: nombre, procesos, observaciones, entre otras.
  • Saber cuál es el nivel de clasificación de la información.
  • Ubicar la información física y digital.
  • Conocer quién es el propietario y responsable de cada activo.
  • Identificar quiénes son los usuarios y qué derechos tienen sobre esta información. 

Sistema de clasificación de activos de información

Hay que tener en cuenta que el sistema de clasificación de un activo de información se basa en las propiedades de confidencialidad, integridad y disponibilidad como principios para el tratamiento de los datos, y de igual manera evalúa el impacto que tendría en caso de que no se respetara alguno de estos fundamentos. 

Es importante saber que a cada propiedad se le deben establecer criterios específicos acerca de cómo va a ser el tratamiento del activo. Cada organización puede definir los niveles que permitirán determinar el valor del activo. Generalmente se usan tres clasificaciones: alta, media y baja para saber cuáles activos se deben tratar con prioridad.

  • Alta: cuando los activos de información tienen clasificación en dos en todas las propiedades (confidencialidad, integridad y disponibilidad). 
  • Media: cuando la clasificación de la información de una de las propiedades es alta o nivel medio.
  • Baja: cuando la clasificación de la información en todos sus niveles es baja. 

¿Cómo clasificar los activos de información?

Para realizar la clasificación de los activos de información, es importante que vaya de la mano del MSPI, proceso en el que se implementa la seguridad de la información. La gestión de los activos debe estar basada en la norma ISO 27001 para darle cumplimiento a cada uno de los siguientes puntos:

  • Inventario de activos: una vez se identifiquen todos los activos relacionados a la información se debe crear un inventario que permita tener los datos en un solo lugar y de manera organizada.
  • Propiedad de activos: cada activo debe tener un responsable y un propietario.
  • Uso de activos: se debe contar con políticas y controles que indiquen de qué manera se debe llevar a cabo el uso de la información y de los activos.
  • Devolución de activos: una vez el propietario finalice la relación con la organización debe hacer entrega de todos los datos de los activos, no debe conservarla. 
  • Manejo de activos: contar con procedimientos para el manejo de estos teniendo como referente el sistema de clasificación que adoptó la empresa. 
Topics:Seguridad de la informaciónNorma ISO 27001Activos de informaciónClasificación de activos

Sobre el Blog

Infórmate sobre todo lo que necesitas saber sobre la gestión integral de riesgos y la prevención del fraude LAFT

Nueva llamada a la acción