¿Sábes que es un activo de información y que hacer para protegerlo?

Dentro del contexto de la Norma ISO 27001 “la información es un activo, que al igual que otros activos importantes para el negocio, tiene valor para la organización y consecuentemente necesita ser protegido adecuadamente”. Podemos decir que un activo de información es aquel elemento que contiene o gestiona información.

Se puede considerar como un activo de información a:

Los datos creados o utilizados por un proceso dela organización en medio digital, papel o en otros medios.

Para su gestión será requerido obtener el inventario y clasificación de los activos de información en base a CID (confidencialidad, integridad y disponibilidad)lo cual será la base para la gestión de riesgos en seguridad de la información.

De lo mencionado anteriormente, podemos clasificar los activos de información:

  1. Personas: conocimiento de las personas
  2. Físicos: computadores, medios removibles
  3. Información: contratos, guías, resoluciones, base de datos
  4. Servicios: internet, correo, energía o de terceros
  5. Software: aplicativos y software de sistemas
  6. Intangibles: imagen y marca, reputación, confianza de clientes

¿Cómo clasificamos los activos de información?

Los activos de información son clasificados de acuerdo con su sensibilidad y criticidad con el fin de establecer las bases para la protección de estos.  Los tipos de clasificación que normalmente aplican las organizaciones son las siguientes:

  1. Tipo “uso público”:Es aquella información que puede ser accedida por cualquier persona o incluso por personas o entidades externas a la compañía. Ejemplos: avisos publicitarios, comunicados internos, informes de prensa, entre otros.
  2. Tipo “uso interno”:Es aquella información que puede ser accedida por cualquier persona de la compañía. Ejemplos: políticas, procedimientos, información publicada en la intranet, directorios telefónicos, etc.
  3. Tipo “uso confidencial”:Es aquella información que es de uso exclusivo para empleados de la compañía y terceros que hayan firmado un acuerdo de confidencialidad. Ejemplos: información de datos personales de clientes, campañas comerciales previo a su lanzamiento, planes estratégicos, acuerdos de junta directiva, etc.
  4. Tipo “uso restringido”:Es aquella información que es de uso exclusivo de una persona o grupo reducido de personas de la compañía. Su divulgación a un tercero debe tener el aval de la Alta Dirección. Ejemplos: claves de caja fuertes, información enviado a entidades de control (juzgados, fiscalía, etc).

¿Cuáles son los roles que gestionan los activos de información?

Entre los roles que hacen frente a los activos de información tenemos:

  1. Propietario: Es quien define el criterio de clasificación y los derechos de acceso a los activos de información, estableciendo los controles apropiados.
  2. Custodio: Encargado de resguardar la información, y sigue los lineamientos definidos por el propietario de la información para su protección.
  3. Usuario: Es quien utiliza la información, responsable de aplicar las buenas prácticas de seguridad de la información.

Recomendaciones:

Para llevar una adecuada gestión de los activos de información, es relevante que se establezca e implemente en las organizaciones las siguientes pautas:

  1. Definir e implementar una política de seguridad de la información que incluya la gestión de los activos de información.
  2. Contar con un método para la identificación de la información que debe protegerse, incluyendo las revisiones periódicas a fin de que se mantenga actualizado.
  3. Mantener y sensibilizar al personal en la protección y control de la información.
  4. Redactar guías de uso aceptable de los activos de información dependiendo de su clasificación.
  5. Establecer un sistema de alerta y reporte para los casos que exista un uso y/o tratamiento inadecuado de la información.