Cómo desarrollar un Inventario de Activos para ISO 27001

Melisa Wrobel mayo 10, 2023
- 7 minutos de lectura

ISO 27001 establece las condiciones necesarias para garantizar una gestión eficaz de la seguridad en tu organización. Debido a que el marco incluye requisitos específicos relativos a los activos de IT, es fundamental saber cómo desarrollar un inventario de activos para ISO 27001. Esto te ayudará a que tus activos de información -tanto físicos como no físicos- se encuentren adecuadamente protegidos. Consecuentemente, tu organización también estará más segura.

En el Anexo A.8.1 de ISO 27001, se presentan las normas para la Gestión de Activos. El primer paso para poner en marcha el proceso es la elaboración de un inventario de activos, el cual te permitirá filtrar, priorizar y clasificar cada uno de ellos en función de su estado o riesgo. 

Aunque la mayoría tiende a pensar en los activos en términos de hardware (como PCs y servidores), existen otros elementos que deben tenerse en cuenta. Según la norma de seguridad, también hay que incluir a las personas, la propiedad intelectual o incluso los intangibles (por ejemplo, la marca de la organización).

En este artículo, vamos a dar cuenta de la importancia de desarrollar un inventario de activos para ISO 270001 y cómo puedes hacerlo con InvGate Insight

¡Profundicemos en el tema!

¿Qué es la política de gestión de activos ISO 27001?

ISO 27001 es una norma mundialmente reconocida para la Gestión de la Seguridad de la Información que establece los requisitos necesarios para construir un Sistema de Gestión de la Seguridad de la Información o Information Security Management System (ISMS). Las organizaciones utilizan la norma para gestionar y proteger toda su información sensible, así como para demostrar que disponen de dichos conocimientos y que existe un cumplimiento efectivo. 

Como mencionamos, la gestión de activos IT (ITAM) es fundamental para el cumplimiento de la norma ISO 27001. Esta operación implica identificar, clasificar y proteger los activos de la organización, especialmente aquellos que son relevantes para la seguridad de la información.

Mediante la creación y el mantenimiento de un inventario preciso de los activos IT, las organizaciones pueden evaluar sus riesgos asociados y aplicar las medidas de seguridad correspondientes. Por eso, resulta fundamental construir un inventario de activos para ISO 27001 desde el principio para obtener la certificación. 

¿Qué debe incluirse en un inventario de activos para ISO 27001?

En la norma ISO 27001, un activo se define como cualquier ítem de valor para la organización donde se almacena y procesa información. 

La versión 2013 de la norma introdujo un cambio significativo en los requisitos, que ahora considera todos los activos de información, y no solo los físicos. Así, esta definición contempla los recursos tangibles e intangibles en los que se apoya una organización para llevar a cabo su actividad.

Entonces, un inventario de activos para ISO 27001 incluirá: 

  • Hardware.
  • Software y datos.
  • Empleados.
  • Personal temporal, contratistas y voluntarios.
  • Marca y reputación.
  • Propiedad intelectual. 

El proceso de gestión de activos implica la identificación y clasificación de todos ellos, la evaluación de su importancia y la aplicación de controles de seguridad para protegerlos. Cada activo puede agruparse según su clasificación, tipo de información y valor financiero o no financiero. Además, todos deben tener asignados un propietario y una clasificación. 

Así, un auditor espera ver un inventario o varios inventarios que cubran todos los activos relevantes, dentro del ámbito del Sistema de Gestión de la Seguridad de la Información.

¿Quién debe ser el propietario de los activos y cuáles son sus responsabilidades según la norma ISO 27001?

El propietario de los activos es responsable de su correcta gestión. Esta tarea incluye tanto inventariarlos como asegurarse de que están debidamente clasificados y protegidos. 

Si bien no tiene que ser necesariamente el propietario legal o físico del activo, su tarea es garantizar el cumplimiento de los requisitos de protección, las restricciones de acceso y que se encuentren en consonancia con las políticas y normas de la organización.

El propietario debe revisar periódicamente el estado de sus activos, y también asegurarse de que se gestionan correctamente, por ejemplo, cuando se desechan o destruyen. Aunque las tareas cotidianas (como la actualización de inventarios y la realización de auditorías) pueden delegarse, la responsabilidad última de todo el proceso sigue recayendo en el propietario de los activos.

Cómo desarrollar un inventario de activos para ISO 27001 con InvGate Insight

A la hora de crear un inventario de activos para ISO 27001, podrías considerar la hoja de cálculo de Excel. Pero como se trata de un documento estático, tarde o temprano será muy difícil mantenerlo actualizado con precisión, lo cual pondría en peligro los esfuerzos por aumentar la seguridad en la organización.

monitoreo-de-activos-invgate-insight

InvGate Insight te ayuda a evitar eso brindándote una visión centralizada, actualizada y automatizada de tu inventario, que será la columna vertebral de tu proceso de Gestión de Activos y seguridad informática.

 

 

El primer paso para iniciar el proceso es generar un inventario detallado y unificado. En InvGate Insight, tienes la posibilidad de clasificar todos los activos que se consideran en la norma ISO 27001, incluyendo los físicos y no físicos. Puedes elegir diferentes opciones para hacerlo:

  • Instalar un Agente en tus dispositivos.
  • Utilizar la función Discovery.
  • Importar activos desde tu nube.
  • Cargar un archivo .xls o .csv.
  • Crear activos manualmente.

inventario-invgate-insight

Luego, hay una lista de CI preestablecidos para categorizarlos: activos rastreables y activos no rastreables, software, aplicaciones de negocios, usuarios, ubicación y contratos. También es posible añadir campos personalizados o crear tus propias categorías de activos.

El siguiente paso es establecer relaciones entre esos activos: ¿Quién es el usuario propietario de esa laptop? ¿Qué software corresponde a ese contrato? Ten en cuenta que si trabajas con entornos más complejos, las CMDB constituyen la herramienta perfecta.

Una vez sentadas las bases, es momento de verificar que todo es seguro y cumple la norma ISO 27001. Por supuesto, resulta imposible -o insume mucho tiempo y es muy propenso a errores- comprobar activo por activo, por lo que la automatización es la solución ideal. Veamos cómo hacerlo en InvGate Insight.

Las Reglas de Salud permiten asignar parámetros de estado a cada tipo de activo y personalizarlos según tus necesidades. Cada vez que algo no funciona como debería, recibes una notificación o accedes directamente en el perfil del activo. Hay tres estados -dependerá cómo los configures-: 

  • Verde significa que tus dispositivos son seguros. 
  • Amarillo implica que hay una advertencia.
  • Rojo, que están en estado crítico. 

it-activos-vista-de-reglas-salud-invgate-insight

Otra opción son las etiquetas inteligentes: permiten establecer ciertas reglas y colores a diferentes etiquetas, y asignarlas automáticamente a los activos que se ajusten a ellas. Esto es útil cuando se trata de reportes ITAM.

smart-tags-invgate-insight-1

Reflexiones finales

La norma ISO 27001 garantiza una sólida gestión de la seguridad de la información para tu organización. Además, estar certificado te permitirá mostrar que dispones de este conocimiento.

Sin embargo, es importante considerar que el proceso tiene ciertos componentes clave: exige que se implementen prácticas eficaces de gestión de activos, siguiendo ciertos requisitos específicos. 

InvGate Insight te ayudará a gestionar tu inventario de activos para ISO 27001, ya que proporcionará los recursos para mantenerlo en forma precisa, evaluar los posibles riesgos e implementar las medidas de seguridad adecuadas para protegerlos.

Para estar un paso más cerca de la norma, ¡accede a la prueba gratuita de 30 días de InvGate Insight!

Read other articles like this : ITAM

Prueba a InvGate cómo tu solución ITSM

Pruébalo 30 días sin costo - Sin tarjeta de crédito