ISO 27001

Mdulo 7: Los activos de Seguridad de la Informacin

Se explica en este tema cmo deben abordarse la elaboracin de un inventario de activos que recoja los principales activos de informacin de la organizacin, y cmo deben valorarse esos activos en funcin de su relevancia para la misma y del impacto que ocasionara un fallo de seguridad en ellos. El contenido de este mdulo es: Identificacin de los activos de informacin. Inventario de activos. Valoracin de los activos. Evaluacin.

I.

Identificacin de los activos de informacin:

Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto debe protegerse. De manera que un activo de informacin es aquel elemento que contiene o manipula informacin. Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones, software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos y de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan, transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerar todos los tipos de activos de informacin.

Ing. Jos Manuel Poveda

ISO 27001

Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir diferentes categoras de los mismos: Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en la organizacin. Aplicaciones: El software que se utiliza para la gestin de la informacin. Personal: En esta categora se encuentra tanto la plantilla propia de la organizacin, como el personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una manera u otra a los activos de informacin de la organizacin. Servicios: Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por ejemplo la gestin administrativa), como los externos, aquellos que la organizacin suministra a clientes y usuarios (por ejemplo la comercializacin de productos). Tecnologa: Los equipos utilizados para gestionar la informacin y las comunicaciones (servidores, PCs, telfonos, impresoras, routers, cableado, etc.) Instalaciones: Lugares en los que se alojan los sistemas de informacin (oficinas, edificios, vehculos, etc.) Equipamiento auxiliar: En este tipo entraran a formar parte todos aquellos activos que dan soporte a los sistemas de informacin y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de destruccin de datos, equipos de climatizacin, etc.)

Cada uno de los activos que se identifiquen debe contar con un responsable, que ser su propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque no necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede existir un activo que sea la base de clientes, cuyo propietario sea el Director Comercial, sin embargo sern los comerciales de la organizacin los usuarios del mismo y el responsable de sistemas el encargado del mantenimiento de la base de datos. Pero el propietario decide quin accede y quin no a la informacin, si es necesario aplicarle alguna medida de seguridad o existe algn riesgo que deba ser tenido en cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad exigidas por la Ley, etc.

Ing. Jos Manuel Poveda

ISO 27001 II. Inventario de activos: El inventario de activos que se va a utilizar para la gestin de la seguridad no debera duplicar otros inventarios, pero s que debe recoger los activos ms importantes e identificarlos de manera clara y sin ambigedades.

El inventario de activos es la base para la gestin de los mismos, ya que tiene que incluir toda la informacin necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta informacin como mnimo es: Identificacin del activo: Un cdigo para ordenar y localizar los activos. Tipo de activo: A qu categora de las anteriormente mencionadas pertenece el activo. Descripcin: Una breve descripcin del activo para identificarlo sin ambigedades. Propietario: Quien es la persona a cargo del activo. Localizacin: Dnde est fsicamente el activo. En el caso de informacin en formato electrnico, en qu equipo se encuentra.

El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un equipo informtico no es probable que vaya a proporcionar informacin relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organizacin y adems complicar enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos haya ms laborioso ser el mismo. Ing. Jos Manuel Poveda 3

ISO 27001

El inventario deber recoger los activos que realmente tengan un peso especfico y sean significativos para la organizacin, agrupando aquellos que, por ser similares, tenga sentido hacerlo. Por ejemplo, si hay treinta PCs de parecidas caractersticas tcnicas y en la misma ubicacin fsica, pueden agruparse en un nico activo, denominado por ejemplo equipo informtico. En el caso de que hubiera veinte PCs y diez porttiles, si los porttiles no salieran nunca y los treinta equipos permanecieran siempre en la misma ubicacin, tambin se podra asumir que constituyen un nico activo pero si los porttiles se utilizan fuera de las instalaciones de la organizacin, ya no se podran agrupar los treinta equipos, ya que las circunstancias en las que se utilizaran los equipos son distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico fijo para los PCs y Equipo informtico mvil para los porttiles. En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto, puede hacer necesario el desarrollar un rbol de dependencias entre activos. El concepto es que algunos activos dependen de otros, en uno o ms parmetros de seguridad. Identificar y documentar estas dependencias constituye un rbol de dependencias, que dar una idea ms exacta del valor de cada activo. Por ejemplo, una aplicacin alojada en un servidor, depende este servidor para ejecutarse, para estar disponible. Si el servidor tiene una avera o un error de configuracin, la aplicacin podra ver afectada su disponibilidad. Por lo tanto el valor del servidor puede considerarse que sea no slo el que tiene en s mismo, sino tambin el que tiene por permitir el correcto funcionamiento de la aplicacin.

III.

Valoracin de los activos: Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin, cual es su importancia para la misma. Para calcular este valor, se considera cual puede ser el dao que puede suponer para la organizacin que un activo resulte daado en cuanto a su disponibilidad, integridad y confidencialidad. Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar econmicamente los activos, se utiliza la escala cuantitativa. En la mayora de los casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden ser los daos como resultado de: Violacin de legislacin aplicable. Reduccin del rendimiento de la actividad. Efecto negativo en la reputacin. Prdidas econmicas. Trastornos en el negocio. Ing. Jos Manuel Poveda 4

ISO 27001 La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar involucradas todas las reas de la organizacin, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista de los activos de la organizacin. Es til definir con anterioridad unos parmetros para que todos los participantes valoren de acuerdo a unos criterios comunes, y se obtengan valores coherentes. Un ejemplo de la definicin de estos parmetros podra ser la siguiente: Disponibilidad: Para valorar este criterio debe responderse a la pregunta de cul sera la importancia o el trastorno que tendra el que el activo no estuviera disponible. Si consideramos como ejemplo una escala de 0 a 3 se podra valorar como sigue:

VALOR
0 1 2 3

CRITERIO
No aplica / No es relevante Debe estar disponible al menos el 10% del tiempo Debe estar disponible al menos el 50% del tiempo Debe estar disponible al menos el 99% del tiempo

Por ejemplo, la disponibilidad de un servidor central, sera de 3 con estos criterios.

Integridad: Para valorar este criterio la pregunta a responder ser qu importancia tendra que el activo fuera alterado sin autorizacin ni control. Una posible escala es:

VALOR
0 1 2 3

CRITERIO
No aplica / No es relevante No es relevante los errores que tenga o la informacin que falte Tiene que estar correcto y completo al menos en un 50% Tiene que estar correcto y completo al menos en un 95%

Por ejemplo, que en el servidor central fueran modificadas, por personal no autorizado, las cuentas de usuario de los dems departamentos. En este caso el valor sera 3. Confidencialidad: En este caso la pregunta a responder para ponderar adecuadamente este criterio ser cual es la importancia que tendra que al activo se accediera de manera no autorizada. La escala en este caso podra ser:

VALOR
0 1 2 3 Ing. Jos Manuel Poveda

CRITERIO
No aplica / No es relevante Daos muy bajos, el incidente no trascendera del rea afectada Seran relevantes, el incidente implicara a otras reas Los daos seran catastrficos, la reputacin y la imagen de la organizacin se veran comprometidas 5

ISO 27001

Por ejemplo, dependiendo de la organizacin y su contexto, el valor del servidor podra ser incluso 3 si la dependencia de esa mquina es muy grande y el simple acceso fsico al servidor sera un trastorno para la organizacin.

Tambin debe decidirse cmo se va a calcular el valor total de los activos, bien como una suma de los valores que se han asignado a cada uno de los parmetros valorados, bien el mayor de dichos valores, la media de los mismos, etc. Los criterios para medir el valor del activo deben ser claros, fciles de comprender por todos los participantes en la valoracin y homogneos, para que se puedan comparar los valores al final del proceso. De esta manera se sabr cuales son los principales activos de la organizacin, y por lo tanto aquellos que necesitan de una particular atencin. La valoracin de los activos deben realizarla un grupo de personas que sean lo suficientemente representativas como para aportar entre todos una visin razonablemente objetiva de la organizacin. Por supuesto deben ser personas que conozcan bien la organizacin. Si se van a hacer las valoraciones mediante reuniones de trabajo, el grupo no debera ser excesivamente numeroso para que las reuniones no se alarguen demasiado. Si se van a utilizar cuestionarios o entrevistas, se puede involucrar a ms personas, siempre teniendo en cuenta el coste asociado a ello.

Ing. Jos Manuel Poveda

ISO 27001

Evaluacin Mdulo 7
1. Son activos de informacin: Expedientes de proyectos, libros de contabilidad y facturas Equipos informticos, incluyendo perifricos y software Todos ellos Dejar en blanco

2. El propietario de un activo se encarga de: Su adquisicin y puesta en marcha Su seguridad Gestionarlo Dejar en blanco

3. Para valorar un activo hay que calcular su valor econmico: Verdadero Falso Slo si se quiere hacer una valoracin cuantitativa Dejar en blanco

4. Es mejor que en la valoracin de los activos participen: Representantes de las reas dentro del alcance del SGSI Todos los empleados Slo el responsable de seguridad Dejar en blanco

Ing. Jos Manuel Poveda