TIPO DE DOCUMENTO:

EMPRESA:

FORMATO

"____________________________

TITULO:

INVENTARIO DE ACTIVOS

No.

Activos

Descripcin del activo

Dependencias de activos

Entrada/ Salida/Otro

Tipo

Almacenamiento

"____________________________________________________________________"

FECHA DE ELABORACIN MES

NO. PAGINA

AO

Septiembre

2010

1 DE 1
Puesto del responsable rea del responsable

Dueo del activo

Responsable del activo

Impacto Legal Impacto Imagen

Impacto en la Prdida de Confianza

Impacto en el inters por el activo

Disponibilidad

Integridad

Confidencialidad

Comentarios sobre la informacin

TIPOS DE IMPACTO DE ACTIVOS (Sugerenci

Impacto Propuestos ID
1 Nulo 2 Bajo Legal 3 Medio 4 Alto 5 Catastrfico 1 Nulo 2 Bajo Imagen 3 Medio 4 Alto 5 Catastrfico 1 Nulo 2 Bajo Inters por el activo 3 Medio 4 Alto 5 Catastrfico 1 Nulo 2 Bajo 3 Medio Exposicin 4 Alto 5 Catastrfico

Criterios

1 Nulo 2 Bajo Prdida de confianza 3 Medio 4 Alto 5 Catastrfico

E IMPACTO DE ACTIVOS (Sugerencias)

Especificacin de Criterios
1. No se ve afectada la Empresa si este activo es comprometido o no se encuentra disponible. 2. Si los SLA's con los clientes se vern impactados por la disponibilidad o afectacin del activo, pero no sobrepasan los umbrales establecidos. 3. La Empresa podra recibir quejas de los clientes por incumplimiento de los SLA's, derivadas de la disponibilidad o afectacin de este activo de informacin. 4. Un cliente podra penalizar a la Empresa por incumplimiento de los SLA's, derivados de la disponibilidad o afectacin de este activo de informacin. 5. Cancelacin de un contrato por incumplimiento de SLA's, derivado de la falta o afectacin del activo. 1. Significa que no se ve afectada la imagen pblica de la Empresa. 2. Algunas personas y/o clientes tienen percepciones negativas de la Empresa. 3. Un nmero importante de personas y/o contribuyentes se queja formalmente debido a la afectacin / falta de disponibilidad de este activo. 4. La Empresa es desprestigiada en medios de comunicacin. 5. Cancelacin del contrato derivado del desprestigio de la imgen de la Empresa 1. El activo de informacin no es del inters pblico y se puede recuperar a corto plazo 2. El activo de informacin no es del inters pblico, pero su recuperacin sera a largo plazo 3. El activo de informacin s es del inters pblico y se puede recuperar a corto plazo 4. El activo de informacin s es del inters pblico y se requiere de un esfuerzo mayor para recuperarlo 5. El activo es de inters pblico y muy difcilmente se podra recuperar 1. El activo de informacin no se encuentra expuesto a acceso no autorizado 2. El activo de informacin se encuentra expuesto para su acceso, slo al personal involucrado en el proceso 3. El activo de informacin se encuentra expuesto para su acceso no autorizado por personal interno, no involucrado en el proceso 4. El activo de informacin se encuentra expuesto para su acceso no autorizado, por personal externo (clientes, proveedores o personal de la empresa) 5. El activo se encuentra extremadamente expuesto para su acceso a personal externo e interno (no involucrados en el negocio) (i.e. Portal de Internet, Gavetas en lugares muy transitados, etc.) 1. Los objetivos de la Empresa no se ven afectados en caso de que el activo sea comprometido o no se encuentre disponible. 2. Es probable que los objetivos de la Empresa se vean afectados en caso de que el activo sea comprometido o no se encuentre disponible. 3. Si se compromete el activo o no se encuentra disponible, se retrasar el cumplimiento de los objetivos de la Empresa. 4. Si se compromete el activo o no se encuentra disponible no se cumplir con los objetivos de la Empresa. 5. Si se compromete el activo o no se encuentra disponible, se perder la confianza de los inversionistas, proveedores y/o clientes.

MANUAL DE USO (Suge

INVENTARIO DE ACTIVOS

Este formato es una matriz de consulta donde se encuentra concentrada toda la evaluacin de activos CALCULO DE EVALUACIN DE ACTIVOS

Dentro de este formato se realizan los calculos para evaluar los impactos de cad Informacin Valor del Impacto Legal Valor del Impacto Imagen

Dentro de estos campos, se convertirn a trminos numricos las calificaciones impactos que el usuario otorg en el Formato de Clasificacin de la Informacin 1 Nulo 2 Bajo 3 Medio 4 Alto 5 Catastrfico Factores de Impacto A cada uno de estos criterios de impacto se les asigna un valor de acuerdo a la continuacin: Factor de impacto legal Factor de impacto de imagen Factor de impacto en perdida de confianza Factor de impacto de inters por el activo

Evaluacin de Impacto y activo

Cada valor de impacto ser multiplicado por el factor de impacto que fue asigna obtenidos, para obtener como resultado final la evaluacin del activo.

Evaluacin de impacto legal

Evaluacin de impacto de imagen

Valor del Impacto Legal X 2.5

Valor del Impacto Imagen X 2

Relevancia del activo Una vez evaluados los activos de informacin, se conformarn tres niveles que impacto que representa la prdida de un activo para el SAT. Las prioridades son Reelevancia del Activo
Alta Media Baja

FORMATO CLASIFICACIN DE LA INFORMACIN

El formato contiene todos los datos que se requieren para concentrar la informa cada uno de los campos que deben de ser llenados:

No.

Identificador del activo. Nmero consecutivo para orden

Activos

Es el nombre por el cual se conoce a cada activo listado Es una breve descripcin del activo o bien puede ser el En caso de que un activo dependa de otro, este campo identificador. Dentro de esta caja se elige si el activo es una entrada,

Descripcin del activo

Dependencias de activos

Entrada: por cada uno de los procesos identificados, de la ejecucin del proceso para poder llevarlo a cabo general cualquier informacin que active la ejecucin
Entrada/ Salida/Otro

Salida: hace referencia a todo aquel resultado obtenid ms de una salida por lo que se sugiere se identifique

Otro: Activos de Informacin que intervienen dentro d aplicacin, equipos de cmputo, manuales, procesos,

Especificar si el Activo de Informacin es de carcter tan

Tipo

Tangible: Todo aquel activo que se encuentre fsicam contratos, expedientes, notificaciones, papeles de trab pticos, dispositivos magnticos, etc.

Tipo

Intangible: Todo aquel activo que no sea posible acce aplicacin, software de sistema, correo electrnico.

Por cada activo, es necesario especificar el nombre del activo, tangible o intangible, el lugar de almacenamiento
Almacenamiento

Para activos tangibles: Gavetas o archiveros, cajas

Para activos Intangibles: Servidores de correo, serv personales, laptop, diskettes, Discos magnticos, disc
Responsable del activo Dueo el activo

En este campo se indica el nombre de la persona o grup

Dentro se este campo se escribe el nombre de la perso En sta celda se indica el puesto de la persona o grupo

Puesto del responsable

rea del responsable

En este apartado se requiere conocer el nombre del re

Impacto Legal

El impacto que podr tener el SAT legal o regulatorio, si disponible. El impacto se califica en los niveles 1 al 5, si

Impacto Imagen

Impacto en la imagen de la Empresa, si este activo de in

Impacto en la Prdida de Confianza

Impacto en la prdida de confianza ante el cliente, el co intercambia informacin, por la imposibilidad para cump comprometido o no se encuentra disponible. El impacto Tipo de impactos)

Impacto en el inters por el activo

El impacto por el inters pblico por el activo de informa desee tener o tenga acceso a l, a que lo borre del sist Internet y es informacin que la mayor parte del pblico y 5 catastrfico (Ver hoja: Tipo de impactos)

La importancia de la disponibilidad de los Activos de Info operacin diaria, para su acceso por parte de los usuari

Indispensable. Se puede tener los siguientes supues parmetro para considerar la informacin crtica en t Interrupcin visible de la operacin. Es probable que haya mala publicidad si el activo de El activo de informacin es valioso y difcilmente ree

Disponibilidad

Necesaria. Se puede tener los siguientes supuestos, parmetro para considerar la informacin crtica en t El activo tendra que ser reemplazado a un costo raz La empresa sera significativamente menos eficiente establecido previamente.

Disponibilidad

Normal. Se puede tener los siguientes supuestos, sin parmetro para considerar la informacin crtica en t El activo de informacin no es fcil de destruir o da El activo de informacin puede ser reemplazado fc Se tiene poco inters por borrar o destruir este activ destruirlo. La empresa puede continuar sin el activo o existen a La informacin esta disponible por otros medios o pu

En este criterio de clasificacin, se debe evaluar el dao informacin (por ejemplo, equipos , sistemas o aplicacio considerada correcta cuando no lo es).

Integridad

Crtica. Se puede tener los siguientes supuestos, sin e para considerar la informacin crtica en trminos de I Publicacin de informacin falsa, que potencialment

Normal. Se puede tener el siguiente supuesto, sin em considerar la informacin normal en trminos de Integ Hay poco cambio, si no se encuentra algn defecto

La clasificacin en trminos de confidencialidad, est ap opciones:

Confidencialidad

Confidencial. Es el ms alto nivel de clasificacin de de la misma est estrictamente limitada y predetermin de protegerla.

Reservada - Informacin cuya divulgacin debe ser re autorizacin del responsable de la misma.

Pblica - Informacin de uso general que por su conte pblica ha sido permitida a travs de canales autoriza

Comentarios sobre la informacin

ste es un espacio en donde se puede agregar informa importancia que por motivos de seguridad se deba cono

TIPO DE IMPACTO

Este formato muestra las opciones que existe

NUAL DE USO (Sugerencia)

sulta donde se encuentra concentrada toda la informacin obtenida de los usuarios y los calculos realizados en la

los calculos para evaluar los impactos de cada uno de los activos que se dieron de alta en el Formato de Activos de

Valor del Impacto en Valor del Impacto en la Prdida de el inters por el Confianza activo

rtirn a trminos numricos las calificaciones de los el Formato de Clasificacin de la Informacin, donde:

pacto se les asigna un valor de acuerdo a la importancia que tienen para la Empresa, como se muestra a

2.5 2

1.5 1

cado por el factor de impacto que fue asignado a cada activo de informacin y se sumar cada uno de los valores ltado final la evaluacin del activo.

Evaluacin de impacto en perdida de confianza

Evaluacin de impacto de inters por el activo

Evaluacin del activo

Valor del Impacto en la Valor del Impacto en el Prdida de Confianza inters por el activo X Suma de 4 evaluaciones de impacto X 1.5 1

nformacin, se conformarn tres niveles que indican su importancia. Estos niveles estn definidos en trminos del de un activo para el SAT. Las prioridades son: Rango de Evaluacin
27 - 35 17 - 26 7 - 16

que se requieren para concentrar la informacin ms importante del inventario de activos. A continuacin se explica n de ser llenados:

or del activo. Nmero consecutivo para ordenar los activos.

re por el cual se conoce a cada activo listado.

ve descripcin del activo o bien puede ser el nombre con el cual es conocido dentro de la empresa.

que un activo dependa de otro, este campo es llenado para identificar dicho activo mencionndolo por su or. esta caja se elige si el activo es una entrada, una salida u otro:

por cada uno de los procesos identificados, es necesario listar todo aquel requerimiento de entrada necesario a travs cucin del proceso para poder llevarlo a cabo (las entradas pueden ser solicitudes, correos electrnicos, etc., en ualquier informacin que active la ejecucin del proceso).

ace referencia a todo aquel resultado obtenido de haber ejecutado el proceso en cuestin. Es posible que se tenga na salida por lo que se sugiere se identifiquen dichas salidas en un diagrama de flujo del proceso.

ivos de Informacin que intervienen dentro del flujo del proceso como pueden ser: bases de datos, software de n, equipos de cmputo, manuales, procesos, etc. si el Activo de Informacin es de carcter tangible (palpable) o intangible (electrnico).

: Todo aquel activo que se encuentre fsicamente disponible y sea palpable, como puede ser: guas y reglamentos, , expedientes, notificaciones, papeles de trabajo, manuales de usuario, equipos de cmputo, servidores, discos dispositivos magnticos, etc.

e: Todo aquel activo que no sea posible accederlo fsicamente, como puede ser: bases de datos, software de n, software de sistema, correo electrnico.

ctivo, es necesario especificar el nombre del lugar en donde es almacenado (resguardado), dependiendo del tipo de gible o intangible, el lugar de almacenamiento puede ser:

vos tangibles: Gavetas o archiveros, cajas de seguridad, bodegas, etc.

vos Intangibles: Servidores de correo, servidores de aplicaciones, servidores de bases de datos, computadoras es, laptop, diskettes, Discos magnticos, discos pticos, etc.

mpo se indica el nombre de la persona o grupo que administra el activo al que se hace referencia.

este campo se escribe el nombre de la persona que determina las acciones que se realizan con el activo.

da se indica el puesto de la persona o grupo que administra el activo al que se hace referencia.

artado se requiere conocer el nombre del rea o departamento que hace uso del activo.

que podr tener el SAT legal o regulatorio, si este activo de informacin es comprometido o no se encuentra El impacto se califica en los niveles 1 al 5, siendo 1 nulo y 5 catastrfico (Ver hoja: Tipo de impactos) la imagen de la Empresa, si este activo de informacin se ve comprometido o no se encuentra disponible

la prdida de confianza ante el cliente, el contribuyente o con otras empresas o instituciones con las cuales se a informacin, por la imposibilidad para cumplir con los objetivos planteados si este activo de informacin se ve tido o no se encuentra disponible. El impacto se califica en los niveles 1 al 5, siendo 1 nulo y 5 catastrfico (Ver hoja: pactos)

por el inters pblico por el activo de informacin y el nivel de exposicin del activo a que una persona no autorizada r o tenga acceso a l, a que lo borre del sistema o lo deseche (p. ejemplo el activo se encuentra en el portal de s informacin que la mayor parte del pblico quiere conocer). El impacto se califica en los niveles 1 al 5, siendo 1 nulo fico (Ver hoja: Tipo de impactos)

ncia de la disponibilidad de los Activos de Informacin, se fundamenta en la importancia que esta tiene para la diaria, para su acceso por parte de los usuarios, contribuyentes, etc.

sable. Se puede tener los siguientes supuestos; sin embargo, no significa que sean los nicos. Estos pueden ser un o para considerar la informacin crtica en trminos de Disponibilidad. pcin visible de la operacin. bable que haya mala publicidad si el activo de informacin no est disponible por ms de un cierto tiempo permitido. o de informacin es valioso y difcilmente reemplazable.

a. Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un o para considerar la informacin crtica en trminos de Disponibilidad. o tendra que ser reemplazado a un costo razonable y en poco tiempo. resa sera significativamente menos eficiente o efectiva, si el activo no est disponible por ms de cierto tiempo do previamente.

Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un o para considerar la informacin crtica en trminos de Disponibilidad. o de informacin no es fcil de destruir o daar. o de informacin puede ser reemplazado fcilmente. e poco inters por borrar o destruir este activo de informacin ya que su valor es poco comparado con el esfuerzo para . resa puede continuar sin el activo o existen activos que lo pueden reemplazar dentro de dicha empresa. macin esta disponible por otros medios o puede ser recreada con bajo costo.

erio de clasificacin, se debe evaluar el dao para la empresa causado por la prdida de integridad de un activo de n (por ejemplo, equipos , sistemas o aplicaciones que parecen estar operando correctamente o informacin que es a correcta cuando no lo es).

Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un parmetro siderar la informacin crtica en trminos de Integridad. cin de informacin falsa, que potencialmente puede ser usada como referencia por las entidades supervisadas.

Se puede tener el siguiente supuesto, sin embargo no significa que sea el nico. Estos pueden ser un parmetro para ar la informacin normal en trminos de Integridad. co cambio, si no se encuentra algn defecto significativo, la informacin es tratada como notas o indicaciones.

cin en trminos de confidencialidad, est apegado a la clasificacin definida por el IFAI, es decir utilizando slo como

ncial. Es el ms alto nivel de clasificacin de la informacin y debe ser utilizado sobre la premisa de que la divulgacin ma est estrictamente limitada y predeterminada a un nmero restringido de personas que asumen la responsabilidad gerla.

da - Informacin cuya divulgacin debe ser restringida nicamente al personal que la requiere conocer, previa in del responsable de la misma.

Informacin de uso general que por su contenido o contexto no requiere de proteccin especial y su distribucin a sido permitida a travs de canales autorizados por la empresa.

espacio en donde se puede agregar informacin adicional sobre el activo y cualquier informacin que se considera de a que por motivos de seguridad se deba conocer.

Este formato muestra las opciones que existen para calificar el impacto de los activos