7.1 RESPONSABILIDAD POR LOS ACTIVOS
Objetivo: lograr y mantener la protección adecuada de los activos de la organización.Todos los activos se deben incluir y deben tener un dueño designado.
Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el
mantenimiento de los controles adecuados. La implementación de los controles específicos
puede ser delegada por el dueño, según el caso, pero él sigue siendo responsable de la
protección adecuada de los activos.
7.1.1 Inventario de activos
Control
Todos los activos deberían estar claramente identificados y se debería elaborar y mantener uninventario de todos los activos importantes.
Guía de implementación
La organización debería identificar todos los activos y documentar su importancia. El inventario
de activos debería incluir toda la información necesaria para recuperarse de los desastres,
incluyendo el tipo de activo, el formato, la ubicación, la información de soporte, la información
sobre licencias y el valor para el negocio. Este inventario no debería duplicar innecesariamente
otros inventarios, pero se debería garantizar que el contenido esté acorde.
Además, se deberían acordar y documentar la propiedad (véase el numeral 7.1.2) y la
clasificación de la información (véase el numeral 7.2) para cada uno de los activos. Con base
en la importancia del activo, su valor para el negocio y su clasificación de seguridad se
recomienda identificar los niveles de protección según la importancia de los activos
(información adicional sobre la forma de valorar los activos para representar su importancia se
puede encontrar en la norma ISO/IEC TR 13335-3).
Información adicional
Existen muchos tipos de activos, incluyendo:
a) información: bases de datos y archivos de datos, contratos y acuerdos, documentación
del sistema, información sobre investigación, manuales de usuario, material de
formación, procedimientos operativos o de soporte, planes para la continuidad del
negocio, acuerdos de recuperación, registros de auditoría e información archivada;
b) activos de software: software de aplicación, software del sistema, herramientas de
desarrollo y utilidades;
c) activos físicos: equipos de computación, equipos de comunicaciones, medios
removibles y otros equipos;
d) servicios: servicios de computación y comunicaciones, servicios generales como por
ejemplo iluminación, calefacción, energía y aire acondicionado;
e) personas y sus calificaciones, habilidades y experiencia;
f) intangibles tales como reputación e imagen de la organización.
Los inventarios de activos ayudan a garantizar que se logra la protección eficaz de los
activos y también se puede requerir para otros propósitos del negocio como por ejemplo por
razones de salud y seguridad, financieras o de seguros (gestión de activos). El proceso
para obtener un inventario de activos es un prerrequisito importante de la gestión de
riesgos (véase el numeral 4).
7.1.2 Propietario de los activos
Control
Toda la información y los activos asociados con los servicios de procesamiento de informacióndeberían ser "propietario"2) de una parte designada de la organización.
Guía de implementación
El propietario del activo debería ser responsable de:
a) garantizar que la información y los activos asociados con los servicios de procesamiento
de información se clasifican adecuadamente;
b) definir y revisar periódicamente las restricciones y clasificaciones del acceso, teniendo
en cuenta las políticas aplicables sobre el control del acceso.
La propiedad se puede asignar a:
a) un proceso del negocio;
b) un conjunto definido de actividades;
c) una aplicación;
d) un conjunto definido de datos.
Información adicional
Las labores rutinarias se pueden delegar, por ejemplo a un custodio que cuide el activo
diariamente, pero la responsabilidad sigue siendo del propietario.
En los sistemas complejos de información puede ser útil asignar grupos de activos que actúan juntos para suministrar una función particular como "servicios". En este caso, el propietario del servicio es responsable de la entrega de éste, incluyendo el funcionamiento de los activos que lo proporcionan.
2) El término "propietario" identifica a un individuo o una entidad que tiene responsabilidad aprobada de la
dirección por el control de la producción, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. El término "propietario" no implica que la persona tenga realmente los derechos de propiedad de los activos.
7.1.3 Uso aceptable de los activos
Control
Se deberían identificar, documentar e implementar las reglas sobre el uso aceptable de lainformación y de los activos asociados con los servicios de procesamiento de la información.
Guía de implementación
Todos los empleados, contratistas y usuarios por tercera parte deberían seguir las reglas para el uso aceptable de la información y de los activos asociados con los servicios de
procesamiento de información, incluyendo:
a) reglas para el uso del correo electrónico y de Internet (véase el numeral 10.8).
b) directrices para el uso de los dispositivos móviles, especialmente para su utilización
fuera de las instalaciones de la organización (véase el numeral 11.7.1).
El director correspondiente debería suministrar las reglas o directrices específicas. Los
empleados, contratistas y usuarios de tercera parte que utilizan o tienen acceso a los activos de la organización deberían estar concientes de los límites que existen para el uso de la información y de los activos de la organización asociados con los servicios de procesamiento de información, así como de los recursos. Deberían ser responsables del uso que hagan de los recursos de procesamiento de información y de cualquier uso efectuado bajo su responsabilidad.
7.2 CLASIFICACIÓN DE LA INFORMACIÓN
Objetivo: asegurar que la información recibe el nivel de protección adecuado.La información se debería clasificar para indicar la necesidad, las prioridades y el grado
esperado de protección al manejar la información.
La información tiene diferentes grados de sensibilidad e importancia. Algunos elementos
pueden requerir un grado adicional de protección o manejo especial. Se recomienda utilizar un esquema de clasificación de la información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas especiales de manejo.
7.2.1 Directrices de clasificación
Control
La información se debería clasificar en términos de su valor, de los requisitos legales, de lasensibilidad y la importancia para la organización.
Guía de implementación
Las clasificaciones y los controles de protección asociados para la información deberían
considerar las necesidades del negocio respecto a compartir o restringir la información, al igual que los impactos del negocio asociados con tales necesidades.
Las directrices de clasificación deberían incluir convenciones para la clasificación inicial y la
reclasificación con el paso del tiempo, de acuerdo con alguna política predeterminada de
control del acceso (véase el numeral 11.1.1).
Debería ser responsabilidad del propietario del activo (véase el numeral 7.1.2) definir la
clasificación del activo, revisarlo periódicamente y asegurarse de que se mantiene actualizado y en el nivel adecuado. La clasificación debería considerar el efecto de suma mencionado en el
numeral 10.7.2.
Es conveniente considerar la cantidad de categorías de clasificación y los beneficios a obtener con su utilización. Los esquemas demasiado complejos pueden volverse engorrosos y de uso costoso o no ser prácticos. Se debería tener cuidado al interpretar las etiquetas de clasificación
en los documentos de otras organizaciones, las cuales pueden tener diferentes definiciones
para etiquetas iguales o similares.
Información adicional
El nivel de protección se puede evaluar analizando la confidencialidad, la integridad y la
disponibilidad como también otros requisitos para la información en consideración.
Con frecuencia, la información deja de ser sensible o importante después de un periodo de
tiempo dado, por ejemplo, cuando la información se hace pública. Se deberían considerar estos aspectos puesto que la super clasificación puede originar la implementación de controles innecesarios que llevan a un costo adicional.
La consideración de documentos con requisitos de seguridad similares cuando se asignan los niveles de clasificación puede ser útil para simplificar la labor de clasificación.
En términos generales, la clasificación que se da a la información es una manera corta de
determinar la forma en que se debe manejar y proteger esta información.
7.2.2 Etiquetado y manejo de la información
Control
Se debería desarrollar e implementar un conjunto de procedimientos adecuados para eletiquetado y el manejo de la información de acuerdo al esquema de clasificación adoptado por la organización.
Guía de implementación
Es necesario que los procedimientos para el etiquetado de la información comprendan los
activos de información en formatos físico y electrónico.
Las salidas de los sistemas que contienen información que se clasifica como sensible o crítica deberían portar una etiqueta de clasificación adecuada (en la salida). El etiquetado debería reflejar la clasificación según las reglas establecidas en el numeral 7.2.1. Los elementos a considerar incluyen informes impresos, presentaciones en pantalla, medios grabados (por ejemplo, cintas, discos, discos compactos), mensajes electrónicos y transferencias de archivos.
Para cada nivel de clasificación es recomendable definir los procedimientos de manejo,
incluyendo procesamiento, almacenamiento, transmisión, desclasificación y destrucción
seguros. Ello debería incluir los procedimientos para la cadena de custodia y el registro de
cualquier evento importante de seguridad.
Los acuerdos con otras organizaciones que incluyen compartir información deberían incluir
procedimientos para identificar la clasificación de dicha información y para interpretar las
etiquetas de clasificación de otras organizaciones.
Información adicional
El etiquetado y el manejo seguro de la información clasificada son un requisito clave de los
acuerdos para compartir información. Las etiquetas físicas son una forma común de etiquetado.
No obstante, algunos activos de información, tales como los documentos en formato
electrónico, no se pueden identificar físicamente y es necesario emplear medios electrónicos de etiquetado. Por ejemplo, el etiquetado de notificación puede aparecer en la pantalla o en la presentación. Cuando el etiquetado no es viable, se pueden aplicar otros medios para designar la clasificación de la información, por ejemplo a través de procedimientos o meta-datos.
No hay comentarios.:
Publicar un comentario