ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

8. Gestión Activos

El objetivo del presente dominio es que la organización tenga conocimiento preciso sobre los activos que posee como parte importante de la administración de riesgos.


Algunos ejemplos de activos son:

  • Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.
  • Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.
  • Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, PABXs, máquinas de fax, contestadores automáticos, switches de datos, etc.), medios magnéticos (cintas, discos, dispositivos móviles de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.
  • Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).

Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.


Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una política predeterminada por la propia organización. Se debería considerar la cantidad de categorías a definir para la clasificación dado que los esquemas demasiado complejos pueden tornarse engorrosos y antieconómicos o resultar poco prácticos.



Objetivo de control


Objetivo

El objetivo es identificar los activos en la organización y definir las responsabilidades para una protección adecuada.


8.1 Responsabilidad sobre los activos

Todos los activos deberían ser justificados y tener asignado un propietario y se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados.


La implantación de controles específicos podría ser delegada por el propietario convenientemente. No obstante, el propietario permanece como responsable de la adecuada protección de los activos.


El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento, uso y seguridad de los activos. El término “propietario” no significa que la persona disponga de los derechos de propiedad reales del activo.


Elabore y mantenga un inventario de activos de información (similar al preparado en su día para el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).


Use códigos de barras para facilitar las tareas de realización de inventario y para vincular equipos de TI que entran y salen de las instalaciones con empleados.


Actividades de control del riesgo

8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.


8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.


8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.


8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.


Métricas asociadas

Porcentaje de activos de información en cada fase del proceso de clasificación (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).


Porcentaje de activos de información claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la información según sea necesario y para mantener dichos riesgos en niveles aceptables.


Enlaces a soluciones recomendadas

Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


DMOZ: Proyecto abierto que ha recopilado a modo de directorio todo tipo de políticas de seguridad en diversas áreas.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un gestor centralizado de activos TI que permite el mapeo con su módulo de análisis de riesgos.


GLPI: GLPI es una herramienta gratuita de inventario de activos TI, con funcionalidades de gestión de los mismos. Es integrable con OCS Inventory.


INTECO: Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.


INTECO: Guía para proteger y usar de forma segura el teléfono móvil.


OCS Inventory NG: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


SpiceWorks: Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.



Objetivo de control


Objetivo

El objetivo es el de asegurar que se aplica un nivel de protección adecuado a la información.


8.2 Clasificación de la información

Se debería clasificar la información para indicar la necesidad, prioridades y nivel de protección previsto para su tratamiento.


La información tiene diversos grados de sensibilidad y criticidad. Algunos ítems podrían requerir niveles de protección adicionales o de un tratamiento especial. Debería utilizarse un esquema de clasificación de la información para definir el conjunto adecuado de niveles de protección y comunicar la necesidad de medidas especiales para el tratamiento.


Mantenga la sencillez! Distinga los requisitos de seguridad básicos (globales) de los avanzados, de acuerdo con el riesgo. Comience quizás con la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.


Actividades de control del riego

8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.


8.2.2 Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.


8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.


Métricas asociadas

Porcentaje de activos de información en cada categoría de clasificación (incluida la de "aún sin clasificar").


Enlaces a soluciones recomendadas

CLUSIF: MEHARI 2010 : Guide de l’analyse des enjeux et de la classification.


CNI: Directrices de clasificación y tratamiento de información en España. Publicadas por la Autoridad Delegada para la Seguridad de la Información Clasificada.


MICROSOFT: Esta solución está diseñada para ayudar y permitir a una organización identificar, clasificar y proteger los datos en sus servidores de archivos. Ejemplos de reglas y de clasificación ayudan a las organizaciones a crear e implementar sus políticas para proteger la información crítica.



Objetivo de control


Objetivo

El objetivo es evitar la divulgación, modificación, retirada o destrucción de activos no autorizada almacenada en soportes de almacenamiento.


8.3 Manejo de los soportes de almacenamiento

Los medios deberían ser controlados y físicamente protegidos.


Se deberían establecer los procedimientos operativos adecuados para proteger los documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos no autorizadas.


Asegure los soportes y la información en tránsito no solo físico sino electrónico (a través de las redes). Cifre todos los datos sensibles o valiosos antes de ser transportados.


Actividades de control del riego

8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización.


8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.


8.3.3 Soportes físicos en tránsito: Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los limites físicos de la organización.


Métricas asociadas

Porcentaje de soportes de backup o archivo que están totalmente encriptados.


Enlaces a soluciones recomendadas

AENOR: Norma UNE-EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Establece requerimientos para la gestión y control de recogida, transporte y destrucción de material confidencial para su destrucción. Aplicable, principalmente a empresas que prestan servicio de recogida y destrucción de soportes (especialmente, papel).


AyS: Artículo de introducción a la destrucción segura de soportes.


BSIA: Resumen de requisitos expuestos en la norma EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Editado por BSIA (Asociación británica de la industria de seguridad.


CITICUS: Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento dispone de una aplicación free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.


DARIK'S BOOT AND NUKE: Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- autoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).


Harwipe: Herramienta gratuita de borrado seguro.


HEIDI-Eraser: Eraser es una herramienta gratuita para Windows de borrado seguro de soportes por sobreescritura de ficheros, soportes completos o espacios sin utilizar.


INTECO: Guía sobre almacenamiento y borrado seguro de información: aborda cuestiones como por qué se debe controlar la información en la empresa, cómo se almacena dicha información en los dispositivos de almacenamiento más comunes, en qué consiste la recuperación en caso de pérdida y qué debe hacerse si se quiere eliminar de modo permanente la información. Disponible la guía completa en castellano e inglés y la reseña de la misma en catalán, euskera, gallego y valenciano.


INTECO: Listado de utilidades recomendadas para el borrado seguro de información en dispositivos de almacenamiento.


NAID: NAID ® es la asociación internacional de empresas que prestan servicios de destrucción de la información. Enlace para localizar sus miembros de los distintos paises e información sobre normas, ética y auditorías de certificación de empresas.


ROHOS: Rohos Mini Drive es una aplicación gratuita que permite crear particiones con cifrado, ocultarlas y protegerlas con contraseña en cualquier unidad USB flash. Con los datos cifrados puede trabajar en cualquier ordenador aún sin derechos administrativos. El programa crea una partición protegida con el estándar AES 256 bits accesible sólo con la clave secreta que elijas.


TRUECRYPT: Free Open-Source Disk Encryption Software


UCSDCSE: Artículo de investigación sobre la no aplicabilidad de métodos tradicionales de borrado seguro en discos duros a discos SSD (de estado sólido).


Wikipedia: Información en inglés sobre tipos de destructoras de papel y referencia a la norma DIN 32757.