Tal vez hayas escuchado hablar sobre activos de información, pero ¿sabes qué son los activos de información en una organización? De acuerdo a la ISO 27000, estos activos se refieren a cualquier información o elemento relacionado con el tratamiento de dicha información que tengan valor para la organización. Algunos ejemplos de activos son bases de datos, archivos físicos, sistemas de información, cableado y redes, dispositivos de almacenamiento e incluso las mismas personas que manejan datos o conocimiento específico del negocio.
Algo de historia...
En 1993, en el Reino Unido se creó el Institute of Asset Management (IAM) con una filosofía gerencial denominada Gestión de Activos (Asset Management). Esta organización crea un comité llamado British Standard en Asset Management, donde en 2004 publica el British Standard PAS 55, el cual establece 28 requerimientos dando respuesta a la demanda de la estandarización de la gestión de activos para la industria. Lo anterior, tuvo tan buena acogida, que en el 2008 se internacionalizó dándole paso a la norma ISO 55000 sobre gestión de activos.
La ISO 55000 clasificó los activos en 5 super categorías, donde una de ellas fue la de activos de información:
Activos Humanos
Activos Financieros
Activos Intangibles
Activos de Información
Activos Físicos
Hoy en día contamos con una serie de estándares internacionales definidos por la ISO para la gestión de la seguridad de la información en la serie de normas 27000.
Imaginemos que en nuestra organización asignamos un equipo de cómputo portátil con las últimas características del mercado a un colaborador, sin ningún tipo de reporte ni control del mismo. Tiempo después, el trabajador se retira de la compañía y en su paz y salvo de retiro no se detalla la devolución de dicho activo. En otras palabras, no sabemos en dónde está dicho computador, en este escenario surgen varias incógnitas: ¿El computador lo devolvió a algún colaborador de la empresa? Si efectivamente se realizó la devolución del equipo, ¿dónde está?, ¿En qué condiciones se entregó?, ¿Cuánto tiempo tardaremos en investigar el destino del equipo?, ¿Realmente el colaborador requería un computador de estas características?, ¿El control de la confidencialidad de la información de dicho equipo se controló desde un principio?
Buena práctica:
Contar con un inventario no necesariamente tiene que ser algo sofisticado; con una hoja de cálculo es suficiente donde se defina un propietario del activo, etiqueta (número, siglas, letras) que también tenga un sticker físico en el dispositivo, localización, autorizados con acceso del dispositivo, estado, último mantenimiento realizado. También se recomienda realizar un acta tipo bitácora donde estipule quien lo recibe, las condiciones en que es entregado, quién realiza la entrega, las fechas de entrega o recepción del mismo que pueden ir adjuntas a la hoja de cálculo.
Adicionalmente, es importante controlar que el inventario de equipos cumpla con las políticas empresariales; como por ejemplo, hacer un backup de la información del computador por retiro de un colaborador o si es necesario formatearlo cuando se le asigna a un nuevo empleado, verificar qué programas deben ir instalados, así como los accesos estrictos de acuerdo con el rol que desempeñe en la compañía. Es importante tener en cuenta que se debe destinar un equipo acorde a la función y rol del colaborador, ya que si solo necesitamos un software ofimático como Word, Excel, PowerPoint y navegación para internet, es probable que no se requiere un equipo con las últimas características del mercado.
Controles que deberías implementar según el Anexo A ISO 27001:
A.8.1.1 Inventario de activos
A.8.1.2 Propiedad de los activos
A.8.1.3 Uso aceptable de los activos
A.8.1.4 Devolución de activos
Establecer los propietarios de los activos informáticos según su rol y responsabilidad es de vital importancia para tener un mejor control y/o manejo de la información clave de la empresa. Los activos de información se asignan según su importancia. Si bien es cierto que podemos subsanar en cierta manera etiquetando e inventariando los recursos disponibles también debemos definir un propietario que no es igual al dueño. El propietario es el responsable principal del activo y de toda la información que custodia el medio magnético o digital, y el dueño es la persona o compañía que compró dicho activo.
Buena práctica
Seamos congruentes!. Asignar el propietario del servidor X al área de Compras, que se asignó erróneamente dado que allí se ejerció la adquisición del equipo, ¿No es congruente verdad? Partimos de la lógica que se debe asignar al Director de Tecnología, ¡mejor, verdad! ; además el director podrá delegar la responsabilidad al subordinado encargado de Infraestructura, Es más fácil, verdad! Se recomienda establecer niveles de acceso según su importancia en la organización; por ejemplo, no podemos dar un acceso de administrador al servidor de la base de datos de producción al Auxiliar de sistemas con pocos días de haber ingresado a la compañía sin haber recibido la capacitación requerida para dicha responsabilidad.
Controles que deberías implementar según el Anexo A ISO 27001:
A.8.2.1 Clasificar los activos por su importancia
A.8.2.2 Clasificar los activos por el tipo de activo o información
A.8.2.3 Identificar al propietario del activo
Pensando en ser práctico y aprovechando las facilidades que brinda la gestión de información en la nube, es importante analizar la posibilidad de almacenar los archivos en una herramienta con esta tecnología, que nos permite administrar niveles de acceso, con una alta disponibilidad, en tiempo real y a un bajo costo, evitando el uso continuo de medios físicos.
Ahora, nunca está de más bloquear los puertos de salida como los USB y definir políticas administrativas en cuanto a la creación, uso permitido, modificación o eliminación de archivos que reposan allí, que sólo brinden esos privilegios únicamente cuando sea necesario y con los medios removibles que estén previamente autorizados por el área de IT, su escaneo en el antivirus, almacenamiento suficiente y con su mantenimiento al dia, donde en lo posible solo se utilicen para transferencia de información y/o respaldos (copias) de seguridad.
Buena práctica
Supongamos que la empresa cuenta con una base de datos de clientes y prospectos, la cual se almacena en un archivo de Excel y se comparte con los ejecutivos comerciales para que realicen sus actividades diarias de llamadas y cierre de negocios con clientes. Es posible que si uno de los colaboradores renuncia a la compañía pueda llevarse consigo una copia del archivo de Excel de forma deshonesta para trabajar en la competencia y obtener una ventaja en sus resultados comerciales con información que no es de su propiedad.
Por tanto, si vamos a gestionar este tipo u otra información en Excel es recomendable que tengamos establecidos los permisos de modificación, creación, eliminación, visualización y descarga. Analicemos previamente las necesidades reales de las personas frente a los archivos para brindar los permisos adecuados; por ejemplo, si solo necesitamos que la persona lea información solo le asignaremos privilegios de visualización.
Así mismo se recomienda que de acuerdo a la jerarquía organizacional se deleguen los accesos. Por ejemplo, el Gerente General asigna permisos de información a sus directivos, estos a su vez asignan permisos a los colaboradores a cargo, y así sucesivamente hasta llegar al último nivel de cargos en la compañía.
Controles que deberías implementar según el Anexo A ISO 27001:
A.8.3.1. Gestión de medios removibles
A.8.3.2. Disposición de los medios
A.8.3.3. Transferencia de medios físicos
Lee también: Tips para implementar la declaración de aplicabilidad de la seguridad de la información
Te invito a que de manera práctica implementes en tu empresa estos controles que permitan identificar y gestionar los activos de información más importantes. Puedes empezar con un inventario, luego definir las responsabilidades, el uso permitido y su clasificación. La primera barrera de seguridad somos las personas, por eso es importante comunicar y hacer conciencia de cuidar los activos de información como si fueran de nuestra propiedad.
Hasta pronto!