Una guía ejemplificada para hacer tu inventario rápidamente
Aquí te dejamos el índice para que veas cuáles son los siguientes artículos de la saga.
Uno de los primeros pasos que debe dar una empresa para cumplir con ISO 27001 es realizar un inventario de activos de información.
No es una tarea que hagas frecuentemente, y quizás por eso mismo (o porque tiene un nombre muy técnico), pienses que es algo muy difícil de hacer.
Si bien, crear este listado de recursos que guardan información valiosa no será la misión más divertida de tu semana, verás que es mucho más fácil de lo que parece.
Si continúas leyendo, encontrarás el paso a paso con ejemplos para que puedas hacer el tuyo.
¿Qué es un inventario de activos?
Quizás todavía creas que un activo es meramente el hardware o un recurso físico. En realidad, esto era correcto hace veinte años (¡Saludos, Internet Explorer!).
Un inventario de activos de información es una lista de recursos (como hardware, software, archivos, personas, etc.) que contienen información valiosa para una empresa.
Para hacerlo sencillo, veámoslo de esta forma: ¿recuerdas cuando preparabas tu CV para entrar en aquella empresa? En esa hoja listabas todas las experiencias relevantes para el puesto que buscabas. Bueno, el “CV” sería el inventario y las “experiencias relevantes” serían los bienes con información de valor para tu startup.
Algunos ejemplos de activos de información pueden ser:
- Un software de gestión donde se registra la contabilidad o las finanzas de la empresa.
- Un contrato con un cliente en formato papel.
- Tu computadora y las de tu equipo.
Entonces podemos decir que así sean tangibles o intangibles, si contienen información importante para los procesos de tu startup debes identificarlo como un activo, de lo contrario se te hará más difícil aplicar medidas para protegerlos de los riesgos.
¿Para qué sirve un inventario de activos?
Un inventario te permite visualizar los activos de tu empresa, conocer los más críticos y, en base a ello, determinar medidas de seguridad que minimicen los riesgos.
Después de todo, los activos de información están relacionados, directa o indirectamente, con los procesos de información de una empresa, por lo tanto, si no los identificamos no podremos conocer si existe información crítica o no, o si están asociados a procesos que debemos proteger.
Por otro lado, el inventario de activos es un requisito obligatorio para cumplir con la normativa ISO 27001. Sin embargo, y más allá de eso, debes saber que también es una herramienta indispensable para cualquier proyecto de seguridad, por lo tanto, tenerlo te ayudará también con el cumplimiento de regulaciones específicas de un país o cuestionarios de ciberseguridad de un cliente.
4 pasos para hacer un inventario de activos
Antes de comenzar, es bueno aclarar que el trabajo colaborativo es crucial para avanzar rápidamente con esta tarea. Es decir, necesitarás de la colaboración de cada líder de área para completar todos los pasos. Una vez dicho esto, ¡comencemos!
1. Recolectar los activos de cada área
Haz una planilla con tres columnas: Nombre del activo, Descripción del activo y Sistema involucrado. Ahora, cada encargado debe registrar aquí los activos de información que existan en su área. Recuerda: si contienen información de valor para tu startup entonces debes identificarlo como un activo, así sean tangibles o intangibles.
Hackmetrix Insight: Lo ideal es registrar todos los activos posibles para asegurar la mayor parte.
2. Clasificación de los activos
Ahora cada quién deberá clasificar sus activos. Para ello, agrega tres columnas más en la planilla:
- Tipo de activo (si es: Información, Software, Físico, Intangibles, Personas o Servicios)
- Tipo de ubicación (si tiene ubicación lógica, física o lógica-física)
- Nivel de confidencialidad (si es: No clasificado, Confidencial de los empleados, Confidencial de la compañía o Confidencial del cliente)
Sigue estas referencias para cada caso.
Y puedes dejarlas en otra pestaña adicional al Inventario de Activos para que todos las tengan presentes. Puedes nombrarlo Referencias de Inventario para darle mayor claridad a tu equipo.
3. Definir los propietarios del activo
Agrega una séptima columna que se llame Propietario del activo. Aquí debes indicar el puesto o el rol del propietario. Ten en cuenta que si el activo está asignado a un empleado en particular, deberías identificarlo con su nombre y apellido (en lugar de su rol).
4. Valorización de los activos
La valorización nos dirá si un activo es crítico o no, y si deberá ser evaluado luego en la matriz de riesgos.
Para comenzar debemos tener en cuenta tres criterios de valorización: confidencialidad, integridad y disponibilidad. Ahora a seguir estos pasos:
1.Puntuar por cada criterio
Debes asignarle a cada criterio una puntuación de 1 (Muy Bajo), 2 (Bajo), 3 (Medio), 4 (Alto) o 5 (Muy Alto).
Por ejemplo, si un activo recibe 5 en confidencialidad significa que su divulgación afectaría irremediablemente a tu empresa. En cambio, una puntuación de 1 significa que su divulgación no impacta en nada, o incluso es de conocimiento público. En el caso de la integridad, tiene que ver con cuánto afectaría a la empresa que el activo sufra modificaciones. Y en la disponibilidad, cuánto afectaría que esté inaccesible o inutilizable.
De todas formas, aquí tienes las referencias de cada uno:
2. Obtener el valor final:
Para obtenerlo, simplemente haz un promedio de los tres valores anteriores.
3. Obtener el nivel de tasación:
se asigna a partir del dato anterior y la siguiente tabla.
Ahora que sabes el nivel de tasación de cada activo, también sabes cuáles son los activos más críticos de tu empresa. A partir de esto, ya podrás gestionar los riesgos tomando medidas y controles.
Conclusión
Un inventario de activos es un registro formal de aquellos objetos (como hardware, software, archivos o personas) que guardan o manipulan información valiosa para tu compañía. Su objetivo principal es dar a conocer los activos críticos y no críticos para protegerlos de los riesgos.
Aunque es un documento obligatorio para cumplir con la ISO 27001, también es indispensable para cualquier proyecto de seguridad, por lo tanto, crearlo te permitirá también cumplir con regulaciones específicas de un país y con cuestionarios de seguridad de un cliente.
Ahora ya sabes cómo funciona el inventario y tienes las indicaciones necesarias para crearlo junto con tu equipo.
Esperamos que esta guía te haya sido de utilidad. Recuerda que en el apartado de contacto puedes escribirnos para que te demos una asesoría todavía más completa.
Índice
Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.
1. Mantén la calma: Esto es la ISO 27001 2. Mi startup debería cumplir con ISO 27001?
3. Cómo prepararte para la auditoría de certificación en ISO 27001
4. 7 beneficios de invertir en ISO 27001
5. Guía para implementar la ISO 27001
6. Creando un inventario en 4 sencillos pasos
7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso
8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. 6 pasos para armar un plan de continuidad del negocio (BCP)
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. Cómo hacer un descriptivo de roles y responsabilidades
12. Cómo hacer tu política de seguridad de la información