Para una eficaz Gestión de la Seguridad de la Información, la ISO 27001 es la norma de oro a seguir. Además, está profundamente relacionada con la Gestión de Activos de IT. En concreto, el anexo A.8.1 proporciona los datos necesarios para manejar adecuadamente los activos de información. Por lo tanto, resulta crucial comprender su alcance para crear una estrategia de ITAM integral que garantice que todos tus activos estén siempre protegidos.
En este artículo, vamos a dar una visión general de la norma ISO 27001 y la Gestión de Activos, en particular sobre la cláusula 8 y cómo se relaciona con las prácticas de ITAM. Luego, exploraremos con más detalle qué implica el anexo A.8.1, cómo su implementación garantiza que tu organización se mantenga segura, y por qué InvGate Insight te ayudará durante este proceso.
¿Estás listo para aprender sobre la ISO 27001 y la Gestión de Activos? ¡Comencemos!
Una visión general de la cláusula 8 de la ISO 27001
La cláusula 8 de la ISO 27001 especifica todos los requisitos que deben cumplirse al implementar la seguridad de la información. También establece cómo aplicar y mantener los controles de seguridad definidos en las cláusulas anteriores. En síntesis, hace hincapié en la importancia de implementar, monitorear y revisar el Sistema de Gestión de la Seguridad de la Información o Information Security Management System (ISMS) de una organización para garantizar que funciona eficazmente y cumple sus objetivos.
¿Por qué es importante ITAM? Porque se encarga de gestionar y proteger tus activos informáticos, en especial los datos que se encuentran almacenados. En ese contexto, la norma ISO 27001 y la Gestión de Activos están relacionados, ya que la primera incluye elementos específicos para la segunda, que te ayudarán a comprender cómo mantener a salvo tu información y también tus activos. En la cláusula 8, encontrarás los requisitos y las responsabilidades para las prácticas de seguridad específicas de ITAM y los tipos de activos bajo su control.
¿Qué son los “activos” según la norma ISO 27001?
En la Gestión de la Seguridad de la Información, los activos se refieren a cualquier elemento valioso para una organización que debe ser protegido del acceso no autorizado, uso, divulgación, modificación, destrucción o compromiso. Esta definición incluye no sólo herramientas tangibles, como hardware, software y equipos de red, sino también los intangibles, como información, conocimientos, propiedad intelectual y reputación.
La ISO 27001 reconoce cuatro tipos de activos:
- Humanos: conocimientos, aptitudes, nivel de formación y otros valores personales y de comportamiento de los empleados.
- Financieros: dinero, acciones, depósitos y otros activos líquidos que pueden tener o no un valor inherente o una forma física.
- Información: documentación en papel o digital, contraseñas, claves de cifrado y bases de datos.
- Intangibles: información sobre licencias o documentación relativa a marcas, patentes, certificaciones y otros activos que puedan afectar a la reputación de una organización.
Con relación a la ISO 27001 y la Gestión de Activos, la norma establece que las organizaciones deben identificar y clasificar sus activos en función de su importancia, sensibilidad de la información que contienen e impacto potencial de una violación o pérdida de seguridad.
De este modo, la ISO 27001 ayuda a las empresas a gestionar su ITAM impulsándolas a reconocer y centrarse en sus áreas de exposición más significativas, priorizando sus controles de seguridad y asignando recursos de forma más eficaz.
ISO 27001 y la Gestión de Activos: ¿Qué dice el anexo A.8.1?
El anexo A.8.1 es una parte fundamental de la relación entre la norma ISO 27001 y la Gestión de Activos, ya que proporciona las directrices para que las organizaciones identifiquen sus activos y define sus responsabilidades con el fin de protegerlos en forma eficaz.
En otras palabras, ayudará a crear un registro de activos para realizar un seguimiento correcto. También especifica las políticas y los procesos necesarios para gestionar la propiedad de estos activos, su uso adecuado y su devolución.
Ahora desglosemos las distintas secciones del anexo para entender este procedimiento con más detalle.
8.1.1 - Inventario de activos
El anexo establece que los activos e instalaciones de información deben identificarse y ponerse bajo el control de un proceso estructurado. Un inventario de activos de conformidad con la norma ISO 27001 resulta crucial para realizar un seguimiento y manejo a lo largo del ciclo de vida, incluyendo la creación, el procesamiento, el almacenamiento, la transmisión, el borrado y la destrucción de los activos.
La norma fija que estas actividades tienen que documentarse en un registro, actualizarse periódicamente y comprobar su exactitud para garantizar que lo reunido coincide con aquello instalado en tu entorno de IT.
La mejor manera de cumplir con la norma ISO 27001 es contar con la herramienta de ITAM adecuada. Con InvGate Insight puedes construir tu inventario de IT en sólo un día, ejecutar escaneos periódicos de la red para detectar nuevos activos y mantener actualizado el repositorio de software de tu organización con el Agente.
Además, Insight te permite incluir usuarios y ubicaciones, así como contratos y CIs. Y una vez que tu instancia esté en funcionamiento, generas paneles para realizar un seguimiento de los datos en tiempo real, crear reportes y compartirlos con otras partes interesadas, y construir CMDBs para mapear cómo se interrelacionan los múltiples activos de tu empresa.
|
|
8.1.2 - Propiedad de los activos
Otra cuestión importante de la ISO 27001 y la Gestión de Activos es cómo se asigna la propiedad. En concreto, todos los activos deben contar con un propietario -individuos, equipos o departamentos- definido en el momento de su creación, que será responsable de gestionarlos durante su ciclo de vida.
Los propietarios se encargan de mantener actualizada la información de los activos en la base de datos o el inventario, asegurándose de que todo está clasificado correctamente y de que se aplican los controles de seguridad adecuados.
También asumen el rol de revisar la documentación relacionada, garantizar de que se somete a un ciclo de evaluación regular y de que, al momento de retirar el activo, se lo hace utilizando los canales correctos.
8.1.3 - Uso aceptable de los activos
Se trata de la creación de una política de uso aceptable orientada a las personas que tienen acceso a los activos informáticos. Aunque el equipo de IT sepa qué implica una conducta correcta a la hora de utilizar los equipos, posiblemente el resto del personal y los usuarios finales no lo tengan tan en claro.
Así que elabora una política que establezca el uso aceptable de los activos informáticos y los requisitos de seguridad al momento de utilizarlos. A continuación, difunde esta información a todos.
Cabe destacar que estas políticas deben revisarse, actualizarse y aplicarse siempre con regularidad mediante actividades de capacitación.
8.1.4 - Devolución de los activos
Este apartado se ocupa de garantizar la devolución de todos los activos cuando una persona o un prestador deja de trabajar en la empresa. Los empleados, contratistas externos, proveedores y socios tienen que retornar los activos informáticos a la organización al momento de finalizar su empleo o contrato.
Supongamos que un antiguo empleado o un proveedor compró el equipo. En ese caso, deben seguir un proceso acordado previamente para transferir los datos a la empresa antes de abandonar el negocio. Este proceso requiere ser documentado. Cualquier activo no devuelto tiene que marcarse como incidente de seguridad, a menos que se firme y acuerde como parte del proceso de offboarding.
La ISO 27001 y la Gestión de Activos: ¿Por qué es importante la norma para ITAM y quién debería utilizarla?
La norma ISO 27001 es importante para la Gestión de Activos porque proporciona un enfoque sistemático y basado en el manejo de riesgos para evaluar y dirigir cuestiones de seguridad de los activos en una organización. Mediante su aplicación, es posible establecer un ISMS que ayude a proteger los activos críticos y garantice la confidencialidad, integridad y disponibilidad o confidentiality, integrity, availability (CIA) de la información y los recursos.
CIA significa que los activos están protegidos para que cualquier información confidencial almacenada en ellos permanezca segura, que la integridad del activo no se vea comprometida y que esté disponible cuando se necesite.
La norma ISO 27001 puede ser utilizada por cualquier persona responsable de implementar, mantener o auditar un ISMS. Los usuarios habituales son gerentes y especialistas en seguridad de la información, así como gerentes de riesgo, finanzas y compras, de gobernanza, regulación y cumplimiento (GRC) y auditores internos. También es relevante para proveedores externos y de servicios, al igual que para socios, responsables de manejar los activos de una organización o prestar servicios relacionados con la Gestión de la Seguridad de la Información o la Gestión de Activos de IT.
La aplicación de la norma es especialmente importante para las organizaciones con requisitos legales, reglamentarios o de cumplimiento en torno a sus activos y los datos que soportan. Son aquellas que suelen manejar información sensible, como hospitales y proveedores de atención sanitaria, empresas farmacéuticas, instituciones financieras y organismos gubernamentales.
Conclusión
La norma ISO 27001 y la Gestión de Activos tienen un fuerte vínculo. En concreto, el anexo A.8.1 se centra en las prácticas de ITAM, y proporciona a las organizaciones requisitos específicos para identificar sus activos y definir sus responsabilidades para protegerlos eficazmente.
Las cuatro actividades principales descritas por el anexo son:
- Inventario de activos
- Propiedad de los activos
- Uso aceptable de los activos
- Devolución de los activos
Para todo este proceso, InvGate Insight es un software de ITAM de referencia que permite realizar un seguimiento correcto y proteger tus activos durante todo su ciclo de vida. Solicita una prueba gratuita de 30 días para comenzar a mejorar tu ISMS.
