👉¿El inventario de activos de información debe incluir todos los activos que tenga mi organización, por ejemplo: TVs, impresoras, etcétera?
R: Para comenzar es importante comprender que un activo contable y un activo de información no es lo mismo. Un activo de información, que es lo que nos importa en esta actividad, es cualquier cosa que genere valor para la organización y que almacena, transfiere o procesa información de la empresa, esto dentro del alcance SGSI. Algunos ejemplos son servidores, software, computadoras, dispositivos móviles e incluso el capital humano.
👉¿Qué tipo de activo sería la “nube”?
R: Los servicios cloud deben ser clasificados con el tipo de activo “Servicios | Productos de proveedores”, así como también entran en esta clasificación los activos que se encuentren dentro de este servicio, como lo pueden ser las máquinas virtuales, aplicaciones, cluster, etcétera.
👉¿Qué tipo de activo sería una VPN (red privada virtual)?
R: Si es instalada por medio de un software, entraría en el tipo de activo con ese nombre: “Software”. Si es proporcionada por tu proveedor de Cloud, entraría en el tipo de activo “Servicios | Productos de proveedores”.
👉¿Debo incluir en el inventario activos que no son directamente de la empresa? De ser así, ¿cómo debe documentarse?
R: Todos los activos que sean alcanzados por el SGSI de tu empresa deben ser inventariados, ya sean propios o arrendados, siempre aclarando de quién es la responsabilidad y la gestión de los mismos, es decir que debes indicar si son propiedad de la organización o de un proveedor.
👉¿La clasificación de la información se realiza sólo dentro del inventario de activos?
R: No, la clasificación de la información realizada en el inventario de activos nos permite clasificar la información contenida en dichos activos. Sin embargo, dentro de los templates que te proporciona Hackmetrix también se te solicitará indicar la clasificación de ese documento en la sección de “Versionado”.
👉¿El inventario debe incluir todos los contratos con clientes y proveedores, sin excepciones?
R: No es mandatorio por la norma incluir los contratos en el inventario, esto debe ocurrir cuando la empresa considere que son un activo importante y/o que son críticos para los procesos alcanzados por el SGSI. Si deciden añadirlos, recomendamos lo siguiente: Si cuentan con un formato base de contrato y solo cambian el nombre del cliente o proveedor, las fechas y ese tipo de datos, lo pueden agrupar en una sola fila, por ejemplo bajo el nombre de “Contratos con clientes”, “Contratos con proveedores”o algo similar. Solo será muy importante tener en cuenta que se debe definir un propietario del activo, en este caso del “agrupamiento” de activos.
👉¿Los monitores o pantallas se pueden dejar fuera del inventario de activos?
R: Sí, es correcto ya que recordemos que un activo de información es algo que almacena, transfiere o procesa información y en este caso un monitor solo funciona como “proyector” y lo que contiene la información es la laptop o la PC como tal.
👉¿El inventario solo debe incluir las áreas que están involucradas en el alcance del SGSI?
R: Es correcto, en el inventario, como en el resto de documentos sólo se deben incluir a las áreas, procesos y/o servicios dentro del alcance definido para tu SGSI en la actividad 1 del plan de acción de Hackmetrix.
👉¿Se deben enlistar cada una de las laptops que tiene la compañía? ¿O podría nombrarse el activo como “Laptops” y englobar todos los equipos?
R: Si las laptops o computadores son "iguales", esto en cuanto a configuración, criticidad, etcétera, sí podrían englobarse como un sólo activo. Pero recuerda que es importante considerar que debes enlistar solo los activos de las áreas, procesos y/o servicios dentro del alcance definido para tu SGSI en la actividad 1 del plan de acción de Hackmetrix.