Cómo desarrollar un inventario de activos para ISO 27001

Melisa Wrobel mayo 10, 2023
- 5 min read

ISO 27001 establece las condiciones necesarias para garantizar una gestión eficaz de la seguridad en tu organización. Debido a que el marco incluye requisitos específicos relativos a los activos de IT, es fundamental saber cómo desarrollar un inventario de activos para ISO 27001. Esto te ayudará a que tus activos de información -tanto físicos como no físicos- se encuentren adecuadamente protegidos. Consecuentemente, tu organización también estará más segura.

En el Anexo A.8.1 de ISO 27001, se presentan las normas para la Gestión de Activos. El primer paso para poner en marcha el proceso es la elaboración de un inventario de activos, el cual te permitirá filtrar, priorizar y clasificar cada uno de ellos en función de su estado o riesgo. 

Aunque la mayoría tiende a pensar en los activos en términos de hardware (como PCs y servidores), existen otros elementos que deben tenerse en cuenta. Según la norma de seguridad, también hay que incluir a las personas, la propiedad intelectual o incluso los intangibles (por ejemplo, la marca de la organización).

En este artículo, vamos a dar cuenta de la importancia de desarrollar un inventario de activos para ISO 270001 y te ayudaremos a construir uno.

¡Empecemos!

¿Qué es la política de Gestión de Activos ISO 27001?

ISO 27001 es una norma mundialmente reconocida para la Gestión de la Seguridad de la Información que establece los requisitos necesarios para construir un Sistema de Gestión de la Seguridad de la Información o Information Security Management System (ISMS). Las organizaciones utilizan la norma para gestionar y proteger toda su información sensible, así como para demostrar que disponen de dichos conocimientos y que existe un cumplimiento efectivo. 

Como mencionamos, la Gestión de Activos IT (ITAM) es fundamental para el cumplimiento de la norma ISO 27001. Esta operación implica identificar, clasificar y proteger los activos de la organización, especialmente aquellos que son relevantes para la seguridad de la información.

Mediante la creación y el mantenimiento de un inventario preciso de los activos IT, las organizaciones pueden evaluar sus riesgos asociados y aplicar las medidas de seguridad correspondientes. Por eso, resulta fundamental construir un inventario de activos para ISO 27001 desde el principio para obtener la certificación. 

¿Qué debe incluirse en un inventario de activos para ISO 27001?

En la norma ISO 27001, un activo se define como cualquier ítem de valor para la organización donde se almacena y procesa información. 

La versión 2013 de la norma introdujo un cambio significativo en los requisitos, que ahora considera todos los activos de información, y no solo los físicos. Así, esta definición contempla los recursos tangibles e intangibles en los que se apoya una organización para llevar a cabo su actividad.

Entonces, un inventario de activos para ISO 27001 incluirá: 

  • Hardware.
  • Software y datos.
  • Empleados.
  • Personal temporal, contratistas y voluntarios.
  • Marca y reputación.
  • Propiedad intelectual. 

El proceso de gestión de activos implica la identificación y clasificación de todos ellos, la evaluación de su importancia y la aplicación de controles de seguridad para protegerlos. Cada activo puede agruparse según su clasificación, tipo de información y valor financiero o no financiero. Además, todos deben tener asignados un propietario y una clasificación. 

Así, un auditor espera ver un inventario o varios inventarios que cubran todos los activos relevantes, dentro del ámbito del Sistema de Gestión de la Seguridad de la Información.

¿Quién debe ser el propietario de los activos y cuáles son sus responsabilidades según la norma ISO 27001?

El propietario de los activos es responsable de su correcta gestión. Esta tarea incluye tanto inventariarlos como asegurarse de que están debidamente clasificados y protegidos. 

Si bien no tiene que ser necesariamente el propietario legal o físico del activo, su tarea es garantizar el cumplimiento de los requisitos de protección, las restricciones de acceso y que se encuentren en consonancia con las políticas y normas de la organización.

El propietario debe revisar periódicamente el estado de sus activos, y también asegurarse de que se gestionan correctamente, por ejemplo, cuando se desechan o destruyen. Aunque las tareas cotidianas (como la actualización de inventarios y la realización de auditorías) pueden delegarse, la responsabilidad última de todo el proceso sigue recayendo en el propietario de los activos.

Cómo desarrollar un inventario de activos para ISO 27001

A la hora de crear un inventario de activos para ISO 27001, podrías considerar la hoja de cálculo de Excel. Pero como se trata de un documento estático, tarde o temprano será muy difícil mantenerlo actualizado con precisión, lo cual pondría en peligro los esfuerzos por aumentar la seguridad en la organización.

En cambio, una solución ITAM te ayuda a evitar eso brindándote una visión centralizada, actualizada y automatizada de tu inventario, que será la columna vertebral de tu proceso de Gestión de Activos y seguridad informática.

El primer paso para iniciar el proceso es generar un inventario detallado y unificado.

El siguiente paso es establecer relaciones entre esos activos: ¿Quién es el usuario propietario de esa laptop? ¿Qué software corresponde a ese contrato? Ten en cuenta que si trabajas con entornos más complejos, las CMDB constituyen la herramienta perfecta.

Una vez sentadas las bases, es momento de verificar que todo es seguro y cumple la norma ISO 27001. Por supuesto, resulta imposible -o insume mucho tiempo y es muy propenso a errores- comprobar activo por activo, por lo que la automatización es la solución ideal. 

Por ejemplo, puedes valerte de reglas de salud o alertas de monitoreo para asignar parámetros de estado a cada tipo de activo y personalizarlos según tus necesidades. Así, recibirás notificaciones cada vez que algo no funciona como es debido.

Otra opción es utilizar algún tipo de etiquetado de activos para establecer ciertas reglas y colores que se asignen automáticamente a los activos que se ajusten a ellas. Esto te será útil al momento de reportar el estado de tu inventario.

Reflexiones finales

La norma ISO 27001 garantiza una sólida gestión de la seguridad de la información para tu organización. Además, estar certificado te permitirá mostrar que dispones de este conocimiento.

Sin embargo, es importante considerar que el proceso tiene ciertos componentes clave: exige que se implementen prácticas eficaces de gestión de activos, siguiendo ciertos requisitos específicos. 

Una herramienta ITAM te ayudará a gestionar tu inventario de activos para ISO 27001, ya que proporcionará los recursos para mantenerlo en forma precisa, evaluar los posibles riesgos e implementar las medidas de seguridad adecuadas para protegerlos.

Read other articles like this : ITAM