MDB301 La gestión de activos y la seguridad de la información
Este es un documento compuesto siguiendo un patrón general a una guía de objetivos de auditoría. Las guías de auditoría, establecen, en principio, los objetivos de auditoría que se persiguen, las prácticas requeridas para los procesos de control, los responsables de las prácticas, la pruebas que se pueden aplicar para evaluar el estado y las guías para el dictamen.
En el caso del documento, esboza el siguiente objetivo de responsabilidad de los activos: “identificar los activos de la organización y definir las responsabilidades para su apropiada protección”. De esta manera, establece la práctica: “mantener un inventario de los activos de información y los recursos de procesamiento de dicha información”. Señala la importancia de que el inventario identifique el ciclo de vida del activo de información, por lo menos en las fases: creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción.
De la misma manera, señala la necesidad de que cada activo debe estar alineado a un propietario. Las personas que tiene aprobada responsabilidad sobre la gestión del ciclo de vida del activo son apropiadas para que se les asigne la propiedad de los activos.
Contents
Responsabilidad del propietario del activo
- Inventariar los activos.
- Clasificar los activos.
- Proteger los activos.
- Definir periódicamente las restricciones de acceso y la clasificación de activos importantes.
- Velar por un adecuado manejo durante la destrucción o eliminación.
Uso aceptable de los activos
Identificar, documentar e implementar reglas para el uso aceptable de la información, de los activos asociados con la información, así como de los recursos de procesamiento. Así mismo, las partes externas que acceden o utilizan dichos activos deben ser conscientes de sus requisitos de seguridad.
Devolución de activos
Empleados y partes externas deben devolver los activos en su poder a la organización del finalizar su relación laboral o su contrato. Dicho proceso de finalización debe ser formalizado para incluir todos los activos físicos y electrónicos, incluyendo el borrado de la información en caso de utilizarse el equipo de un tercero.
Clasificación de la información
Objetivo: asegurar que la información recibe un nivel de protección apropiado según su importancia. Por lo tanto, la información debe ser clasificado en función de su valor, criticidad y sensibilidad, así como los requerimientos legales. Dicha clasificación y control debe tener en cuenta las necesidades del negocio de compartir o restringir información.
Estos esquemas de clasificación deben ser coherentes a lo largo de la organización para que la información y los activos relacionados sean clasificados de la misma forma. Los resultados de esta clasificación deben ajustarse conforme se produzcan cambios en el valor de la información misma, en particular, como efecto de su ciclo de vida.
El desarrollo de mecanismos y prácticas de etiquetado, siendo las etiquetas físicas o los metadatos formas comunes de etiqueta. Los etiquetados tienen la desventaja que hacen más evidente la información sensible frente a lo que no lo es, para una tercera parte interesada en hacerse con la información. Manejo de medios / Eliminación de medios / Destrucción de medios
Se detallan con alto nivel de granularidad, sugerencias de directrices para el manejo de medios removibles dónde puede transportarse la información. Todas giran alrededor de la idea de minimizar la salida de información en medios removibles, la creación de pistas de control de quienes, bajo necesidad, tienen acceso a información en medios removibles y los procedimientos para eliminar la información de dichos medios cuando ya no es necesaria en tales dispositivos.
Autor
Bibliografía
- Valverde, Claudio. La gestión de activos y la seguridad de la información. Obtenido de moodle.ucenfotec.com: http://moodle.ucenfotec.ac.cr/mod/resource/view.php?id=15955
