Guía de Implementación del Marco de Ciberseguridad 5.0

GA.1 Identificar formalmente los activos de la organización junto con la definición de su responsable

Requisito GA.1Identificar formalmente los activos de la organización junto con la definición de su responsable
ObjetivoGarantizar la gestión de los activos asociados a la información, los sistemas e instalaciones.
Controles

Nivel 1

  • GA.1-1: se confecciona y mantiene un inventario de activos físicos del centro de procesamiento de datos, incluyendo servidores, dispositivos de red, racks, UPS y otros componentes relevantes.
  • GA.1-2: se elabora y mantiene un inventario detallado del software base (ej.: sistemas operativos, servidores de aplicación, servidores de base de datos, hipervisores) y del software de aplicación instalado en los activos del centro de procesamiento de datos.
  • GA.1-3: cada activo registrado en el inventario debe tener un responsable asignado, cuya información debe estar documentada en el sistema de gestión de activos o inventario utilizado.

Nivel 2

  • GA.1-4: el inventario de activos físicos debe incluir todos los dispositivos utilizados dentro y fuera del centro de procesamiento de datos, tales como estaciones de trabajo (PCs), dispositivos de almacenamiento extraíble, impresoras, dispositivos de red, entre otros.
  • GA.1-5: el inventario debe incluir las plataformas de software y aplicaciones implementadas, independientemente de su ubicación física o modalidad (on premise o en la nube).
  • GA.1-6: se debe llevar un control actualizado del licenciamiento del software instalado, incluyendo información sobre tipo de licencia, vigencia y uso asignado.
  • GA.1-7: el inventario debe estar debidamente documentado y accesible para las personas autorizadas por la organización.

Nivel 3

  • GA.1-8: las políticas, procesos y procedimientos para la actualización del inventario de activos deben estar formalmente documentados.
  • GA.1-9: la organización debe utilizar una herramienta de software especializada para registrar, seguir y controlar sus activos de información y tecnológicos.
  • GA.1-10: los procesos y procedimientos de actualización del inventario deben incorporar, total o parcialmente, mecanismos de automatización.
  • GA.1-11: se debe establecer y mantener un proceso de control y monitoreo continuo del licenciamiento del software, con alertas ante vencimientos o irregularidades.

Nivel 4

  • GA.1-12: se realizan auditorías internas periódicas para verificar el cumplimiento y alineación de la política y los procedimientos establecidos.
  • GA.1-13: se elimina el software y/o hardware que esté fuera de soporte o que represente un riesgo no aceptable.
Guía de implementación

Inventario de activos 
Se debe identificar e inventariar los activos que contienen información y las instalaciones de su procesamiento, incluyendo todo activo que tenga asignada una IP e incluyendo los servicios alojados en la nube.

Asimismo, es necesario identificar el software de base y de aplicación. Es importante identificar la ubicación de los activos de información y, de ser posible, si se trata de un dispositivo móvil (celulares, notebooks, tablets, etc.) y/o si es personal o de la organización.  

Responsables de los activos 
Se debe identificar un responsable de gestión para cada activo mantenido en el inventario.  

Herramientas de apoyo 
Es recomendable la utilización de software de inventario que permita su clasificación y, cuando sea posible su uso, que se definan procesos que permitan la automatización del inventario. Dichos procesos (y/o procedimientos asociados) deben documentarse.

Instituciones de saludEs recomendable identificar especialmente los activos de información que procesan y/o almacenan información de los usuarios (sistemas de historias clínicas, equipamiento médico, etc.).
Es necesario que todo aquel equipamiento que procese o almacene información de salud se ubique en el centro de procesamiento de datos. En aquellos casos que esto no sea posible, es necesario documentar la justificación y tomar las medidas de seguridad pertinentes y de similares características a las definidas en el centro de procesamiento de datos.
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Inventario de los activos de la organización.
  • Responsable de cada uno de los activos definidos en el inventario de activos.
  • Procedimiento de administración de activos.
  • Procedimientos o instructivos formales de alta, baja y modificación de activos.
  • Capturas o informes de la herramienta de inventario utilizada.
  • Evidencia de automatización en las políticas, procesos y/o procedimientos.
  • Controles o reportes de licenciamiento de software y su monitoreo continuo.
  • Registros de auditorías internas.
Normativa asociadaNo aplica

Etiquetas