Inventario de activos
En la hoja “Inventario de Activos”, de la planilla Implantación SGSI - Inventario activos y Evaluación riesgos se presenta un modelo a utilizar para identificar y caracterizar los activos de información.
Descripción de campos:
Organismo/UE: Nombre de la organización u organismo para el cual se esté realizando la identificación de activos.
Nombre del Proceso: Corresponde al nombre del proceso al cual pertenecen los activos de información incluidos en el inventario.
Subproceso: Son aquellos subprocesos en los que puede estar dividido el proceso transversal mencionado anteriormente, dependiendo de la complejidad de este.
ACTIVOS DE INFORMACION IDENTIFICADOS
Activo: Nombre del activo de información, en este campo debe incluirse todos los activos de información identificados para la fase, independientemente de su medio de soporte y sus características.
Tipo: Categorías o agrupaciones dentro de un mismo Grupo. Por ejemplo: Grupo=Base de datos; Tipo=Pruebas.
Grupo: Clasificación o categorización del activo. Esta puede ser: Persona, Software, Base de datos, Hardware, Servicio, Documentación impresa, Documentación digital, etc.
Descripción: Descripción u observaciones del activo inventariado.
Ubicación: Corresponde al lugar físico donde se encuentra el activo, esta descripción debe ser lo suficientemente detallada como para determinar a partir de esta información las condiciones de seguridad en las que se encuentra el activo.
Responsable: Corresponde al nombre y al cargo de la persona responsable del activo. El dueño del activo puede no tener derechos de propiedad sobre el activo, pero tiene responsabilidad sobre su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El dueño del activo a menudo es la persona más apropiada para determinar el valor que el activo tiene para la organización.
Soporte: Corresponde al medio en el cual se encuentra registrado el activo, este puede ser: Papel, Digital o Base de datos.
Clasificación: Pública, Confidencial, Reservada o Secreta según los criterios establecidos en la ley de acceso a la información pública.
VALORACIÓN DE LOS ACTIVOS
Disponibilidad: Valor establecido según tabla que se presenta a continuación.
| Valor | Concepto |
|---|---|
| Bajo | Refiere a toda la información, medios de procesamiento de información y recursos donde la disponibilidad no es crítica y es suficiente para este activo el estar disponible dentro de 1 semana o más. |
| Medio | Refiere a toda la información, medios, recursos, que deberían estar disponibles dentro de un día, y la no disponibilidad del activo ocasionaría un impacto menor. |
| Medio-Alto | Refiere a toda la información, medios, recursos, que deberían estar disponibles dentro de algunas horas, y su no disponibilidad ocasionará un impacto notable. |
| Alto | Refiere a toda la información, medios, recursos, que deberían estar disponibles en todo momento, y su no disponibilidad ocasionaría un impacto importante. |
Integridad: Valor establecido según tabla que se presenta a continuación.
| Valor | Concepto |
|---|---|
| Bajo | Refiere a toda la información, medios de procesamiento de información y recursos donde la pérdida de integridad no tiene influencia, o influencia negativa. |
| Medio | Refiere a toda la información, medios, recursos, donde la integridad no es muy importante, pero debería ser mantenida. Para este activo, la perdida de integridad tiene cierta influencia menor en la organización. |
| Medio-Alto | Refiere a toda la información, medios, recursos, donde la integridad es importante y debería ser mantenida. Para este activo la perdida de integridad tiene influencia notable y se debería evitar. |
| Alto | Refiere a toda la información, medios, recursos, donde la integridad es muy importante y debería ser mantenida bajo todas las circunstancias. Para este activo, la perdida de integridad tiene una importante influencia negativa y se debería evitar. |
Confidencialidad: Valor establecido según tabla que se presenta a continuación.
| Valor | Concepto |
|---|---|
| Bajo | Refiere a información abierta, medios de procesamiento de información y recursos, información que esta libremente accesible por cualquiera. Por ejemplo, la información en el sitio web de la organización. |
| Medio | Refiere a toda la información, medios y recursos que es de uso Interno. Esto implica que el activo puede ser accesible por cualquier miembro de la empresa sin ninguna restricción, pero no debería ser accesible por cualquier otro externo. El impacto sobre la empresa seria medio. |
| Medio-Alto | Refiere a toda la información, medios, recursos, que está considerada de acceso restringido. Esto implica que el activo puede ser solamente accesible por miembros de la empresa, si son autorizados para eso. El impacto de que cualquiera no autorizado acceda a este activo seria notada y debería ser evitado. |
| Alto | Refiere a toda la información, medios, recursos, que este considerado como confidencial. Este activo debería ser solamente accesible con una autorización explícita. El impacto sería serio y debería ser evitado en todas las circunstancias. |