b. Aplicaciones
Implica identificar las soluciones de Tecnologías de la Información (TI) que respaldan los procesos comerciales y operativos de la organización. Este tipo de activos requiere, por parte de quienes están involucrados en estos procesos, de un nivel mínimo de protección de acuerdo a requisitos de confidencialidad, integridad y disponibilidad*.
* Se recomienda realizar talleres que involucren no solo al departamento de TI de la organización sino también a quienes utilizan estos activos como responsables de los procesos y aplicaciones.
Para cada aplicación identificada como esencial puede crearse una tabla con el siguiente nivel de detalle:
⦁ Identificador único (un número o abreviatura)
⦁ Nombre
⦁ Breve descripción de su finalidad y la información tratada
⦁ Responsable
⦁ Quienes usan la aplicación
Además, se deberán documentar las dependencias que existen entre aplicaciones, procesos de negocios y tareas especializadas, es decir, identificar los procesos y tareas en los que se usa una aplicación determinada.
Al identificarlas, es mejor aplicar un nivel adecuado de granularidad y considerar su nivel de detalle.
Por ejemplo, no es aconsejable dividir un producto de Microsoft Office en sus partes constituyentes (procesamiento de texto, presentaciones, hojas de cálculo, entre otras.) y describirlos individualmente. Por otra parte, no ser lo suficientemente granular (software, base de datos, portales, entre otras), impedirá lograr la diferenciación necesaria y, en particular, definir los controles específicos.