1. Identificar activos
Elaborar un inventario de forma de tener identificados todos los activos de la organización que es necesario mantener protegidos a través de controles adecuados.
Si la organización ya cuenta con inventarios, modelos de procesos de negocio o diagramas de red, por ejemplo, se puede comenzar por ellos verificando que estén debidamente actualizados.
Es recomendable la utilización de software que permita su clasificación y definir procesos que permitan la automatización del inventario. Dichos procesos, y/o los procedimientos asociados, deben además documentarse.
No es necesario contar con un inventario exhaustivo de cada activo, pero si tener identificados al menos grupos de ellos que puedan necesitar los mismos controles, por ejemplo, agrupar sistemas que tienen configuraciones similares y que se utilizan para las mismas tareas.
Como regla general se pueden agrupar los componentes cuando:
⦁ Son del mismo tipo.
⦁ Tienen configuraciones idénticas o casi idénticas.
⦁ Están integradas en la red de la misma o casi de la misma manera.
⦁ Están sujetos a las mismas condiciones administrativas y de infraestructura.
⦁ Usan las mismas aplicaciones.
⦁ Tienen los mismos requisitos de protección.
Se debe tener precaución al determinar los objetos que se desea agrupar, si se hace con activos que tienen diferentes requisitos de protección puede dar lugar a vulnerabilidades de seguridad.
Fases propuestas para la identificación de activos
Se deberán identificar:
a. Procesos de negocios
b. Aplicaciones
c. Diagrama de redes
d. Equipos de TI
e. Espacios físicos