Gestión de Activos (ID GA)
Los datos, dispositivos, sistemas e instalaciones que permiten a la organización alcanzar los objetivos de negocio, se identifican y gestionan en forma consistente, en relación con los objetivos y la estrategia de riesgo de la organización.
| Subcategoría | Nivel 1 | Nivel 2 | Nivel 3 | Nivel 4 |
|---|---|---|---|---|
ID.GA-1. Los dispositivos físicos y sistemas se encuentran inventariados. | Se confeccionan y mantienen inventarios de los dispositivos físicos (servidores, racks, dispositivos de networking, UPS, etc.) del centro de datos. | Se incluyen en el inventario los dispositivos físicos (PC, almacenamiento extraíble, dispositivos de networking, impresoras, otro tipo de equipamiento utilizado, etc.) y sistemas de otras áreas de la organización. | Los procesos y procedimientos de actualización de inventario se encuentran documentados y están basados en software de inventario. Se automatiza el proceso cuando esto es posible. | Se realizan actividades periódicas de control interno para verificar el cumplimiento y alineación con los procedimientos establecidos. |
ID.GA-2. Las plataformas de software y aplicaciones se encuentran inventariadas. | Se confeccionan y mantienen inventarios de software de base y software de aplicación del centro de datos. | Se incluyen en el inventario las plataformas de software y aplicaciones de otras áreas de la organización. Se lleva control del licenciamiento de software de equipos servidores. | Ver ID.GA-1 (nivel 3) Además, se lleva control del licenciamiento de software de equipos personales. | Ver ID.GA-1 (nivel 4) |
ID.GA-3 Se utilizan medidas de seguridad y procedimientos de gestión para proteger y controlar el flujo de información interna y externa. | Ver PR.SD-2 (nivel 1) | Ver PR.SD-2 (nivel 2) | Ver PR.SD-2 (nivel 3) | Ver PR.SD-2 (nivel 4) |
ID.GA-4. El equipamiento y los sistemas de información utilizados fuera de las instalaciones se encuentran identificados y se aplican medidas para mantener la seguridad de la información. | Los equipos portátiles y móviles de la organización que serán usados fuera de las instalaciones se encuentran inventariados, así como las aplicaciones y sistemas instalados en dichos dispositivos. Estos activos cuentan con al menos un factor de autenticación para acceder a la información. Los equipos móviles cuentan con un sistema de borrado del dispositivo en caso extravió o robo. Los equipos portátiles cuentan con medidas mínimas de protección física (como por ejemplo linga de seguridad). | Los activos informáticos de la organización a los que acceden los usuarios cuentan con un responsable identificado. Se limita el almacenamiento de información sensible en el activo, o la misma cuenta con controles adicionales (por ejemplo, cifrado de la información). | Se han definido una política para el uso adecuado de los activos informáticos y de los sistemas de información que son usados fuera de las instalaciones de la organización. Se cuenta con un programa de capacitación a los usuarios que hacen uso de los activos. Se realiza un control periódico de los activos que contienen información sensible y existe un plan de respuesta en caso de pérdida o robo de los mismos. Los activos de información identificados como críticos son accedidos con doble factor de autenticación. | Las medidas de protección implementadas en los activos informáticos se monitorean de forma proactiva 7x24. Los sistemas de cifrado de los activos manejan clave única a nivel de la organización, además utilizan una clave de cifrado personal. |
ID.GA-5. Los activos (por ejemplo: hardware, dispositivos, datos y software) se encuentran clasificados en función del tipo de información que contienen o procesan y en el valor que poseen para el negocio. | Se identifican los activos (servidores, PC, dispositivos móviles o de almacenamiento) que contienen la información más crítica de la organización. | Se clasifican los activos de acuerdo a los criterios de clasificación de la información establecidos (alineados a la normativa vigente) y a la valoración de esta. | Ver ID.GA-1 (nivel 3) Además, el software de inventario gestiona la clasificación de la información contenida en los activos. | La clasificación de la información es parte integral de la gestión de los activos. Se realizan actividades periódicas de control interno, o cuando el negocio así lo requiere, para verificar que el inventario de activos se encuentra clasificado y actualizado. |
ID.GA-6. Los roles y responsabilidades de seguridad de la información y ciberseguridad se encuentran asignados. | Se ha designado al RSI y al CSI. Se definen los propietarios de los activos, los cuales son responsables por su protección. | El CSI sesiona periódicamente y se registran las reuniones.
| Se definen formalmente y documentan las responsabilidades del RSI y del CSI. Se definen otros roles y responsabilidades de seguridad de la información que incluyen, por ejemplo, responsable por la gestión de riesgos de seguridad, responsable de la gestión de incidentes, responsable de la gestión de vulnerabilidades y parches, responsable de monitoreo, entre otros. Los roles y responsabilidades se encuentran documentados. | Se realizan actividades de control interno para verificar la segregación de roles en conflicto y áreas de responsabilidad. El resultado de estas actividades es comunicado al RSI y demás interesados. |