Contáctanos Prueba Gratis
Optimize ITSM and ESM processes.
Service Management
Optimiza tus procesos de ITSM y ESM.
Vista general
Gain total network visibility & IT Asset control.
Asset Management
Visibilidad total de las redes y control de los activos de IT.
Vista general
Tour de producto Ver Integraciones
Tour de producto Ver Integraciones
Casos de uso
Gestión de Servicios Inventario de Activos Gestión del Ciclo de Vida IT Optimización del Gasto en IT
Ver todos los Casos de Uso
ESM Crea una organización centrada en los empleados
ESM
Casos de éxito Arcos Dorados logo Conoce cómo Arcos Dorados consolidó todas sus mesas de ayuda en una única plataforma Mirgor logo Conoce cómo Mirgor ahorró 2.500 horas en trabajo manual con InvGate Asset Management Ver todos los Casos de éxito
Customer Experience Partners Comunidad de Usuarios
Nuevo
Carreras
Trust Center
Sobre nosotros Quiénes somos
About Us
AI HubIA al servicio de los equipos IT
AI Hub
ENVISION'25 Nuestra segunda user conference
AI Hub
Casos de éxito ITSM ITDB Curso ESM Curso ITALM
Nuevo
Ver todos los Recursos
Blog InvGate Últimas tendencias en IT
InvGate’s Blog
Ticket VolumePodcast ITSM
Ticket Volume
Canal de YoutubeVideos de productos
Youtube Channel
Contáctanos Prueba Gratis
Seguridad Gobierno, Riesgo y Cumplimiento

La ISO 27001 y la Gestión de Activos: ¿Qué dice el anexo A.8.1?

hero image
Únete al IT Pulse

Recibe las últimas noticias del mundo de IT una vez por semana.
Prueba InvGate como tu solución ITSM e ITAM Pruébalo 30 días sin costo - No precisa tarjeta de crédito
Comienza ahora

Tabla de contenidos

    La ISO 27001 es el estándar de referencia para una eficaz Gestión de la Seguridad de la Información, la cual está estrechamente relacionada con la Gestión de Activos de IT. En concreto, el anexo A.8.1 proporciona todos los detalles necesarios para administrar adecuadamente los datos. Por lo tanto, resulta esencial comprender su alcance para crear una estrategia de ITAM integral que garantice la protección de todos los bienes.

    En este artículo, ofrecemos una visión general de la cláusula 8 de la norma ISO 27001 y la Gestión de Activos. A continuación, exploramos qué implica el anexo A.8.1 y la forma en que impulsa la seguridad de la organización.

    ¿Estás listo para aprender más sobre esta norma e ITAM? Entonces comencemos.

    ¿Qué es ISO 27001? 8 pasos para su implementación
    Video thumbnail

    Resumen de la cláusula 8 de la norma ISO 27001

    La cláusula 8 de la norma ISO 27001 especifica todos los requisitos que deben cumplirse al aplicar la seguridad de la información. También establece cómo implementar y mantener los controles de este tipo definidos en los puntos anteriores.

    En síntesis, hace hincapié en la importancia de ejecutar, supervisar y revisar el Sistema de Gestión de Seguridad de la Información (ISMS - Information Security Management System) de una organización para garantizar su eficacia, a la vez de cumplir con los objetivos previstos.

    ¿Por qué es importante para ITAM? Dicha práctica se encarga de administrar y proteger los recursos tecnológicos, incluyendo los datos almacenados. En ese contexto, la norma ISO 27001 y la Gestión de Activos están relacionadas, ya que la primera contempla elementos específicos de la segunda que ayudan a comprender cómo mantener segura la información y los bienes.

    En la cláusula 8, se encuentran los requisitos y las responsabilidades de las iniciativas de seguridad específicas de ITAM y los tipos de activos que están bajo su control.

    ¿Qué son los “activos” según la norma ISO 27001?

    En la Gestión de la Seguridad de la Información, los activos se refieren a cualquier elemento valioso para una organización que tiene que ser protegido del acceso no autorizados, así como del uso, la divulgación, la modificación, la destrucción o las vulnerabilidades.

    Esta definición contempla tanto los elementos tangibles, como hardware, software y equipos de red, como también los intangibles, que incorporan otros ítems, como la información, los conocimientos, la propiedad intelectual y la reputación.

    La norma ISO 27001 reconoce cuatro tipos de activos:

    • Humanos: conocimientos, habilidades, nivel de formación y otros valores y conductas de los empleados.
    • Financieros: dinero, acciones, depósitos y demás recursos líquidos que pueden tener o no un valor inherente o una forma física.
    • Información: documentación en papel o digital, contraseñas, claves de cifrado y bases de datos.
    • Intangibles: información sobre licencias o documentos relativos a marcas comerciales, patentes, certificaciones y otros activos que tienen el potencial de afectar la reputación de una empresa.

    Con relación a la ISO 27001 y la Gestión de Activos, la primera establece que las organizaciones deben identificar y clasificar sus recursos en función de su importancia para el negocio, la sensibilidad de los datos y el impacto probable ante una violación o pérdida de seguridad.

    De esta manera, la norma ayuda a las compañías a gestionar su ITAM, impulsándolas a reconocer y centrarse en sus áreas de exposición más significativas, priorizando sus controles y asignando los bienes de manera más eficaz para la protección de aquellos que son más críticos.

    ISO 27001 y Gestión de Activos: detalles del anexo A.8.1

    El anexo A.8.1 se refiere a la relación de la norma ISO 27001 y la Gestión de Activos, porque proporciona las directrices para que las organizaciones identifiquen sus recursos y definan las responsabilidades para una protección óptima.

    En otras palabras, contribuye a crear un registro de bienes para realizar un seguimiento correcto. También especifica las políticas y los procesos para administrar la propiedad de estos activos, su uso adecuado y su devolución.

    Ahora analicemos las diferentes secciones del anexo para comprender este procedimiento con más detalle.

    8.1.1 - Inventario de activos

    La sección se refiere al mantenimiento de un inventario de activos en cumplimiento con la norma ISO 27001, que facilita el seguimiento y la gestión a lo largo de su ciclo de vida, incluyendo la creación, el procesamiento, el almacenamiento, la transmisión, la eliminación y la destrucción.

    También establece que estas actividades tienen que documentarse en un registro de activos, actualizarse periódicamente y verificarse para garantizar que el inventario se ajusta a las instalaciones en el entorno informático real.

    En definitiva, los recursos de información y las instalaciones tienen que identificarse y someterse al control como parte de un proceso estructurado.

    La mejor manera de cumplir con la norma ISO 27001 es contar con el apoyo de una herramienta ITAM adecuada para mantener el inventario, administrar los bienes y generar reportes.

    8.1.2 - Propiedad de los activos

    Al momento de su creación, todos los activos cuentan con un propietario, que es responsable de su gestión a lo largo de su ciclo de vida: puede tratarse de personas, equipos o departamentos.

    Los propietarios son los encargados de mantener actualizada la información de los recursos en la base de datos o el inventario, asegurándose de que todo se encuentre clasificado correctamente y de que se apliquen los controles adecuados. También revisan la documentación relacionada para garantizar que se someten a un ciclo de examinación periódico y que, cuando se retire un bien, se elimine por los canales correctos.

    8.1.3 - Uso aceptable de los activos

    Se trata de la generación de una política de uso aceptable orientada a las personas con acceso a activos informáticos seguros. Aunque el equipo de IT sabe qué implica una conducta correcta a la hora de utilizar los equipos, posiblemente el resto del personal y los usuarios finales no lo tengan tan en claro.

    Así que es clave generar una política que defina el uso aceptable de los activos tecnológicos y los requisitos de seguridad. A continuación, hay que difundir esta información a todos los involucrados.

    Cabe aclarar que dichas políticas deben revisarse, actualizarse y ejecutarse periódicamente mediante actividades de formación.

    8.1.4 - Devolución de los activos

    Esta sección se ocupa de garantizar la devolución de todos los activos cuando una persona o un tercero deja de trabajar en la empresa. Los empleados, contratistas externos, proveedores y socios retornan dichos recursos a la organización al momento de finalizar su empleo o contrato.

    Supongamos que un antiguo trabajador o un tercero compró el equipo. En ese caso, hay que seguir un proceso estipulado previamente para transferir los datos de la empresa antes de abandonar el negocio. Dicho procedimiento requiere ser documentado. Cualquier bien no devuelto se marca como incidente de seguridad, a menos que se firme y acuerde como parte del offboarding.

    ¿Por qué es importante la norma ISO 27001 para la Gestión de Activos y quién debe utilizarla?

    La norma ISO 27001 es importante para la Gestión de Activos porque proporciona un enfoque sistemático y basado en el manejo de los riesgos para evaluar y administrar la seguridad de los recursos de una organización. Su implementación permite establecer un ISMS que la ayude a proteger sus bienes críticos y garantizar la confidencialidad, integridad y disponibilidad (CIA - confidentiality, integrity, availability) de su información y de los activos.

    CIA significa que los activos están protegidos de manera que cualquier información confidencial almacenada en ellos permanezca segura, que su integridad no se vea comprometida y que dicho recurso esté disponible cuando sea necesario.

    La norma ISO 27001 puede ser utilizada por cualquier persona responsable de implementar, mantener o auditar un ISMS. Entre los usuarios habituales se encuentran los responsables y especialistas en seguridad de la información, los riesgos, las finanzas y compras, la gobernanza, la regulación, el cumplimiento (GRC - Gobernanza, Riesgo y Cumplimiento) y los auditores internos.

    También es relevante para proveedores, socios y prestadores de servicios que son responsables de manejar los activos de una organización o de ofrecer prestaciones relacionadas con la Gestión de la Seguridad de la Información o de los Activos de IT.

    La implementación de la norma es importante especialmente para las organizaciones con requisitos legales, normativos o de cumplimiento en relación con sus activos y los datos contenidos en ellos, que suelen manejar información confidencial. Por ejemplo, hospitales y proveedores de atención médica, empresas farmacéuticas, instituciones financieras y organismos gubernamentales.

    Conclusión

    La norma ISO 27001 y la Gestión de Activos poseen un fuerte vínculo. En concreto, el anexo A.8.1 se centra en las prácticas de ITAM, proporcionando a las organizaciones requisitos específicos para identificar sus recursos y definir sus responsabilidades de modo de protegerlos de forma eficaz.

    Las cuatro actividades principales descriptas en el anexo son:

    • Inventario de activos.
    • Propiedad de los activos.
    • Uso aceptable de los activos.
    • Devolución de los activos.

    Para llevar adelante este proceso es ideal contar con una solución de ITAM. Así que asegúrate de encontrar la que mejor se adapte a tus necesidades.

    Prueba InvGate como tu solución ITSM e ITAM

    Pruébalo 30 días sin costo - Sin tarjeta de crédito

    COMIENZA AHORA

    Precios claros

    Sin sorpresas ni cargos ocultos: solo precios claros que se adaptan a tus necesidades.

    Ver Precios

    Migración sencilla

    Nuestro equipo garantiza que tu transición a InvGate sea rápida, fluida y sin complicaciones.

    Ver Customer Experience