orm_icon

 

Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

Gestión
de seguridad de la información


Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

Cumplimiento
normativo


Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →
planes-de-accion-Natalia

Próxima clase: Planes de Acción: formulación, implementación y seguimiento Jueves 21 de marzo, 10:00 a.m. GMT-5.

Piraní Academy
Descarga gratis el estudio de gestión de riesgos en latinoamérica 2024 en PDF

Clasificación y gestión de activos de información

Por Maria Camila Arévalo, en octubre 14, 2022

Clasificación-y-gestión-de-activos-de-información-según-la-norma-ISO-27001

Los encargados de la seguridad de la información en las empresas deben tener en cuenta diferentes lineamientos para hacer una adecuada gestión y clasificación de los activos y poder conocer en detalle qué es lo que poseen, cómo deben usarlos, quiénes son los responsables y cuál es el rol de cada uno.

De acuerdo con la norma ISO 27001, es necesario hacer un inventario y clasificación de los activos de información de la empresa como parte del cumplimiento del Modelo de Seguridad y Privacidad de la Información, que estipula lo siguiente:

  • Inventario de activos: se deben identificar todos los activos de la compañía y a su vez, crear un inventario de estos para tener los datos en un solo lugar y de manera organizada.
  • Propiedad de activos: cada activo identificado debe contar con un responsable o propietario. 
  • Clasificación de la información: se debe realizar la respectiva clasificación dependiendo del requerimiento legal, valor, criticidad, divulgación y modificación.
  • Manipulación de información: se debe contar con procedimientos que permitan etiquetar la información y que funcione con el sistema de clasificación que definió la empresa. 

Guía para obtener la certificación ISO 27001

¿Cómo hacer el inventario de activos de información?

  • Obtener la información del activo: nombre, procesos, observaciones, entre otras.
  • Saber cuál es el nivel de clasificación de la información.
  • Ubicar la información física y digital.
  • Conocer quién es el propietario y responsable de cada activo.
  • Identificar quiénes son los usuarios y qué derechos tienen sobre esta información. 

Sistema de clasificación de activos de información

Hay que tener en cuenta que el sistema de clasificación de un activo de información se basa en las propiedades de confidencialidad, integridad y disponibilidad como principios para el tratamiento de los datos, y de igual manera evalúa el impacto que tendría en caso de que no se respete alguno de estos fundamentos. 

A cada propiedad se le deben establecer criterios específicos acerca de cómo va a ser el tratamiento del activo. Cada organización puede definir los niveles que permitirán determinar el valor del activo. Generalmente, se usan tres clasificaciones: alta, media y baja para saber cuáles activos se deben tratar con prioridad.

  • Alta: cuando los activos de información tienen clasificación de dos en todas las propiedades (confidencialidad, integridad y disponibilidad). 
  • Media: cuando la clasificación de la información de una de las propiedades es alta o nivel medio.
  • Baja: cuando la clasificación de la información en todas sus propiedades es baja. 

¿Cómo clasificar los activos de información?

La clasificación y gestión de los activos de información en las organizaciones debe hacerse a partir de lo propuesto en la norma ISO 27001, que además del inventario de activos, establece los siguientes puntos:

  • Uso de activos: según la ISO 27001 se debe contar con políticas y controles que indiquen de qué manera se debe llevar a cabo el uso de la información y de los activos.
  • Devolución de activos: una vez el propietario finalice la relación con la organización debe hacer entrega de todos los datos de los activos.
  • Manejo de activos: contar con procedimientos para el manejo de estos, teniendo como referente el sistema de clasificación que adoptó la empresa.

Todo esto es posible hacerlo de una manera más simple y eficiente a través del uso de herramientas tecnológicas como Pirani, que también permite gestionar los activos de información y los riesgos a los que estos están expuestos a través del módulo de seguridad de la información.

Empieza a gestionar tus riesgos gratis 

Te invitamos a contarnos en los comentarios sobre qué otros temas de seguridad de la información te gustaría aprender o profundizar más a través de los artículos de nuestro blog.

escuela de gestión de riesgos gratis inscribete ahora
Nueva llamada a la acción
Surface Web, Deep Web y Dark Web

Escribe tu comentario