Con nuestro template para crear un inventario de activos, acabarás rápidamente la actividad y con altas probabilidades de cumplir con el requisito. Después de todo, estamos aquí para ayudarte.
A continuación te explicaremos cómo usar este template, qué significa cada columna, cómo debes llenarla, y los pasos a seguir.
Versionado del documento
Lo primero que verás al abrir nuestro template será la portada, como se muestra en la siguiente imagen.
En ella tienes que completar la información solicitada, la cual corresponde al versionado del documento.
Recuerda que el versionado es una de las partes más importantes de cualquier documento. Ya que, te permite identificar a las personas responsables de la elaboración, revisión y aprobación del documento.
Al versionar un documento puedes saber si está vigente, si cuenta con versiones obsoletas y tener registro de los cambios que ha sufrido.
Nuestro template te pide identificar los siguientes puntos:
Pone tu logo:
Aquí debes colocar el logo de tu empresa utilizando la imagen que te parezca más adecuada.
Código de documento:
No existe una regla para generar códigos de documentos. Lo único que tienes que tener en cuenta es que debe ayudar a identificarlos fácilmente.
Sugerimos hacer una combinación de varios elementos, como puede ser el nombre de la empresa, el número de documento, una abreviatura de política (POL) o procedimiento (PRO), el número de versión (v1, v2, v3), etcétera.
Algunos ejemplos pueden ser: DM-001A, SGSI-V1-DM, POL-SGSI-V1.
En el recuadro superior derecho, al lado del título debes identificar también, la siguiente información:
Elaborado por:
Se recomienda indicar el nombre y rol de la persona responsable de la creación del documento.
Versión:
Al crear este descriptivo por primera vez, tendremos la versión 1 del documento (lo cuál se puede indicar cómo v1). Por lo tanto, al actualizar este documento, su versión cambiará.
Las modificaciones que le sigan se pueden indicar cómo v2, v3, v4, y así sucesivamente.
Fecha última de actualización:
Se debe actualizar esta fecha cada que se realice algún cambio al documento o se renueve su vigencia.
Revisado por:
Se recomienda indicar el nombre y rol de la persona responsable de la revisión del documento.
Aprobado por:
Se recomienda indicar el nombre y rol de la persona responsable de la aprobación del documento.
Hackmetrix insight:
Las personas involucradas en la elaboración, revisión y aprobación del documento no deben ser las mismas.
Esto porque además de que te permite tener varios niveles de validación a tu documentación, te ayuda a cumplir y mantener la segregación de funciones dentro de tu empresa.
Cuando termines de completar la información, debería verse algo similar al ejemplo siguiente:
Documentar la información de tus activos
Nombre de activo: Enlista todos los activos de información de tu empresa que se encuentren dentro de tu alcance del SGSI.
Por ejemplo:
NOTA: Se recomienda indicar a tus colaboradores más importantes uno a uno (el caso de Juan Pérez). Sin embargo, si tu empresa está en constante crecimiento o ya cuentan con una gran cantidad de empleados, podemos consolidarlos como un solo activo, bajo un nombre como: Capital Humano.
Descripción del activo: Indica más a detalle las características del activo para poder identificarlo.
Por ejemplo:
Sistema involucrado: Coloca el nombre del repositorio, herramienta, plataforma, sistema, base de datos, etcétera, asociado a ese activo, si aplica.
Por ejemplo:
Tipo de activo: Selecciona la opción más adecuada para describir al activo. Nuestro template te sugiere las siguientes opciones:
Información.
Es cualquier activo que resguarde información y que no entre en ninguna otra categoría, como lo pueden ser archivos digitales.
Software.
Es cualquier programa, sistema, aplicación, herramientas de desarrollo, etcétera.
Físico.
Es cualquier activo tangible como puede ser equipos y accesorios de cómputo, servidores, dispositivos móviles, documentos impresos, etcétera.
Intangibles.
Algunas empresas consideran como un activo muy importante la experiencia de sus colaboradores o las relaciones públicas, esto podría indicarse como un activo intangible.
Personas.
Es todo el capital humano.
Servicios.
Son activos relacionados a la prestación de algún servicio, como lo pueden ser servicios de telecomunicaciones, internet, consultorías, etcétera.
Por ejemplo:
Tipo de ubicación: Selecciona la opción más adecuada para indicar dónde se encuentra el activo. Nuestro template te sugiere las siguientes opciones:
Física.
El activo se encuentra en alguna ubicación física donde la empresa tiene acceso.
Lógica.
El activo se encuentra alojado de manera digital, en la nube, etcétera.
Física-Lógica.
El activo se encuentra en ambos tipos de ubicación. Un ejemplo de esto puede ser un contrato que se tenga tanto en papel, con las firmas autógrafas de los involucrados y posterior a ello se digitaliza para su doble resguardo.
Por ejemplo:
Criticidad del activo: Selecciona la opción más adecuada para definir la criticidad del activo con base en su importancia dentro de los procesos alcanzados en tu alcance del SGSI. Nuestro template te sugiere las siguientes opciones:
Muy Alto.
El activo es esencial para los procesos.
Alto.
El activo es requerido dentro de los procesos.
Medio.
El activo es importante para los procesos.
Bajo.
El activo tiene poca importancia dentro de los procesos.
Muy Bajo.
El activo no tiene importancia dentro de los procesos.
Por ejemplo:
Nivel de confidencialidad: Selecciona la opción más adecuada para clasificar la confidencialidad de la información de tus activos. Nuestro template te sugiere las siguientes opciones:
Información Confidencial o Sensible.
Es la que tiene el mayor nivel de importancia y/o secrecía para la organización. Su afectación puede traer consecuencias graves al negocio. Por ejemplo: contratos (cliente - proveedor), datos personales, contraseñas de acceso, etcétera.
Información Organizacional.
Es la que tiene un nivel de importancia y/o secrecía medio para la organización. Por ejemplo: documentos de operación (políticas, procedimientos), reportes de indicadores, etcétera.
Información Pública.
Es la que tiene un nivel de importancia y/o secrecía nulo. Por ejemplo: aviso de privacidad, catálogo de servicios o productos ofertados, etcétera.
Por ejemplo:
Propietario del activo: Define quién es el rol o área responsable directa del activo. Esta información es de suma importancia y todos los activos deben tener un propietario asignado.
Por ejemplo:
Medidas de seguridad: Describe de manera breve las medidas y controles de seguridad con los que cuenta el activo para su protección.
Por ejemplo:
NOTA: También podrás encontrar toda esta información dentro de nuestro template en la pestaña “Referencias Inventario”.
Debes valorizar tus activos.
Una vez completadas estas columnas con la información de tu empresa, debes realizar la valorización de tus activos. Esta valorización se basa en los tres atributos de la información:
Confidencialidad: Conjunto de reglas que limita el acceso a la información.
Integridad: Garantía de que la información es confiable y precisa.
Disponibilidad: Asegura que, las personas autorizadas, pueden acceder a la información en cualquier momento.
A continuación te explicamos cada una de las columnas que te muestra nuestro template, cómo funcionan y los pasos a seguir.
Evalúa los atributos: Asigna al activo un valor de 1 a 5 para cada uno de los atributos, considerando lo siguiente:
Para la confidencialidad el valor 1 indica que el activo contiene información de dominio público. Mientras que el valor 5 indica que la información es crítica para la empresa y solo personas de alto rango pueden acceder a ella.
Para la integridad el valor 1 indica que el activo puede perder o sufrir modificaciones en toda su información y no afectaría las operaciones de la empresa. Mientras que el valor 5 indica que el activo no tiene tolerancia a pérdidas o alteraciones.
Para la disponibilidad el valor 1 indica que el activo puede no estar disponible por tiempo indefinido y no afectaría las operaciones de la empresa. Mientras que el valor 5 indica que el activo debe estar disponible en todo momento.
Valor: Una vez que asignes un valor para cada atributo, nuestro template calculará el valor final del activo, el cual es un promedio de los atributos.
Categoría: Una vez calculado el promedio anterior, nuestro template te mostrará la categoría del activo considerando los siguientes parámetros:
Muy Alto: 4.001 - 5.000
Alto: 3.001 - 4.000
Medio: 2.001 - 3.000
Bajo: 1.001 - 2.000
Muy Bajo: 1.000 - 1.000
Activos para la identificación, análisis y evaluación de riesgos: Con base en lo establecido en la Metodología de Gestión de Riesgos, debes indicar en esta columna los activos que serán evaluados en tu análisis de riesgos.
La forma para identificar los activos a evaluar, es a tu preferencia, puedes indicarlo con un “sí” o “no”, “aplica”, “no aplica”, etcétera.
Al comenzar con una implementación del SGSI se recomienda, con base en la metodología propuesta, sólo realizar el análisis de riesgo a los activos valorados con Muy Alto y Alto.
NOTA: Toda esta información y otros datos relevantes también los puedes encontrar dentro del template en la pestaña de “Referencias Valorización”.
Al finalizar se verá algo así:
Recuerda que:
Debes enfocarte específicamente en los activos que aplican a tu SGSI y que se encuentren dentro del alcance que la certificación tendrá dentro de tu empresa.
Cualquier activo que se encuentre fuera de este alcance no deberá formar parte del inventario.
Por otro lado, asegúrate de definir de una manera precisa los valores de cada activo. Claro que todos son importantes, pero calificar a la gran mayoría con valores muy altos no siempre es lo correcto.
Tómate el tiempo de analizar y calificar cada uno de acuerdo a su relevancia real.
Conclusión
El inventario de activos es un documento indispensable porque es la base para la Matriz de Riesgos (otro de los documentos indispensables), donde evaluarás las amenazas y vulnerabilidades asociadas a cada activo, con el propósito de conocer los riesgos a los que se exponen, evaluarlos y tratarlos.
Si tienes un inventario de activos correctamente documentado, podrás identificar los riesgos asociados a tu operación y dentro del alcance del SGSI sin ningún problema.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.