Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es realizar el inventario de activos que contendrá todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI. En un principio puede parecer un poco abrumador para un principiante(como yo) por la enorme cantidad de activos que se te van ocurriendo por eso decidí empezar por clasificarlos de alguna forma, de entre las múltiples maneras que me encontré elijo la definida por los expertos del foro ISO27k ya que me parece la más completa, mostrando ejemplos de cada tipo y es válida para entidades de muy distinta naturaleza. Éste podría ser un buen punto para comenzar siempre teniendo en cuenta lo que nos aconsejan también en ese foro:
"Debido a que los activos son algo cambiante, incluso si pudieras cubrir absolutamente todo lo que hay hoy, mañana la situación sería un poco diferente y más en unas semanas, meses o años. Así que es perfectamente aceptable seguir con un inventario "suficientemente bueno por ahora", siempre incluyendo en el SGSI la revisión y actualización de procesos como parte de la mejora continua"
Traducción del artículo:
ACTIVOS DE INFORMACIÓN PURA
- Datos digitales: Personales, financieros, legales, de investigación y desarrollo, estratégicos y comerciales, correo electrónico, contestadores automáticos, bases de datos, unidades lógicas(particiones) privadas y compartidas, copias de seguridad(cintas, CDs, DVDs), claves de cifrado.
- Activos tangibles: Personales, financieros, legales, de investigación y desarrollo, estratégicos y comerciales, correo tradicional/electrónico, FAXs, microficheros y otros materiales de copia de seguridad/archivo, llaves de oficinas/cajas fuertes y otros medios de almacenamiento, libros, revistas, periódicos.
- Activos intangibles: Conocimiento, relaciones y secretos comerciales, licencias, patentes, experiencia, conocimientos técnicos, imagen corporativa/marca/reputación comercial/confianza de los clientes, ventaja competitiva, ética, productividad.
- Software de aplicación: propietario desarrollado por la empresa, de cliente(compartido y aplicaciones de escritorio), COTS, de planificación de recursos empresariales(ERP), de gestión de la información(MIS), utilidades y herramientas de bases de datos, aplicaciones de comercio electrónico, middleware.
- Sistemas operativos: Para los servidores, ordenadores de sobremesa, ordenadores centrales, dispositivos de red, dispositivos de mano e incrustados (incluyendo la BIOS y el firmware).
ACTIVOS FÍSICOS
- Infraestructura de TI: Edificios, centros de datos, habitaciones de equipos y servidores, armarios de red/cableado, oficinas, escritorios/cajones/archivadores, salas de almacenamiento de medios físicos y cajas de seguridad, dispositivos de identificación y autentificación/control acceso del personal (tornos, tarjetas, etc) y otros dispositivos de seguridad (circuito cerrado de televisión(CCTV), etc.)
- Controles del entorno de TI: Equipos de alarma/supresión contra incendio, sistemas de alimentación ininterrumpida (SAI), alimentación de potencia y de red, acondicionadores/filtros/supresores de potencia, deshumificadores/refrigeradores/alarmas de aire, alarmas de agua.
- Hardware de TI: Dispositivos de almacenamiento y cómputo como ordenadores de sobremesa, estaciones de trabajo, portátiles, equipos de mano, servidores, mainframes, módems, líneas de terminación de red, dispositivos de comunicaciones (nodos de la red), impresoras/fotocopiadoras/faxes y equipos multifunción.
ACTIVOS DE SERVICIOS DE TI
Servicios de autenticación de usuario y administración de procesos de usuario, enlaces, cortafuegos, servidores proxy, servicios de red, servicios inalámbricos, anti-spam/virus/spyware, detección/prevención de intrusiones, teletrabajo, seguridad, FTP, correo electrónico/mensajería instantánea, etc., servicios web, contratos de soporte y mantenimiento de software.
ACTIVOS HUMANOS:
- Empleados: Personal y directivos, en particular los que tienen roles de gestión como altos cargos o directores ejecutivos, arquitectos de software y desarrolladores/probadores, administradores de sistemas, administradores de seguridad, operadores, abogados, auditores, usuarios con poder y expertos en general.
- Externos: Trabajadores temporales, consultores externos o asesores especialistas, los contratistas especializados (por ejemplo, los que entienden el mantenimiento del entorno físico de TI), proveedores y socios ...
En lo referente a software para crear el inventario en este wiki sobre ISO 27000 se nos ofrece alguna opción de pago y una hoja de cálculo gratis, pero una vez más me quedo con la alternativa de foro ISO2K7 [ muchas gracias ;) ], en su toolkit tenemos una hoja de cálculo mucho más completa organizada por tipo de activo (ISO27k Asset Register.xls)
Nota: Esta entrada tiene licencia Attribution-Noncommercial-Share Alike 3.0 Unported para respetar la del texto original.
Jesús Pérez