Protección de Activos (I)

Todas las organizaciones disponen de activos que hacen posible su funcionamiento, lógicamente no todos los activos tienen la misma importancia para la organización por ello es imprescindible analizar cada uno de ellos para dotarlos de su protección adecuada.

Según Magerit podemos dividir los activos por su naturaleza:
  • Servicios, es decir los procesos de negocio de la organización.
  • Datos/Información.
  • Aplicaciones.
  • Equipos informáticos.
  • Personal, tanto interno como subcontratado.
  • Redes de comunicaciones.
  • Soportes de información como CD/DVD, lápiz de memoria, discos duros, etc.
  • Equipamiento auxiliar como destructoras de documentación, etc.
  • Instalaciones como oficinas, vehículos, etc.
  • Intangibles como la imagen y la reputación de la organización.
Muchas veces se tiende a pensar que para proteger cada uno de estos activos tan solo son necesarias medidas técnicas olvidándonos de otras capas de protección como la administrativa y la física. Es decir, una adecuada protección de activos se debe realizar mediante tres capas de protección: Capa Administrativa, Capa Física y Capa Técnica.

Capa de protección Administrativa

Es la primera medida de protección que debemos establecer, donde se definen las políticas, procedimientos y estándares a utilizar. Por tanto es una capa en la que se realizan las siguientes tareas:
  • Se elabora mucha documentación ya que se redactan los procedimientos de Gestión de Altas y Bajas de activos, procedimientos de Gestión de Incidentes, Gestión de Problemas, Gestión de la Capacidad, etc.
  • Definición de la estructura organizativa (CISO, CPO, ISSM).
  • Clasificación de la información (Pública, Sensible, Privada o de uso interno, Confidencial).
  • Definir quién es el propietario de los datos, los usuarios y el guardián o protector de los datos.
  • Definición de los requerimientos de retención de los datos, ya que dependiendo de la legislación que aplique será necesario mantener los datos durante un periodo de tiempo u otro.
  • Es necesario establecer planes de formación para el personal en materia de seguridad para que tengan concienciación sobre los problemas de seguridad a los que se pueden enfrentar diariamente (spam, virus, phishing, etc)
  • Gestionar todos los activos físicos, para ello es necesario tenerlo debidamente inventariado y etiquetado, donde sepamos exactamente quién es el propietario de cada elemento, de esta manera ante la terminación del contrato de uno de los empleados sabemos exactamente qué activos hay que retirarle. También es necesario tener inventariado todo el software y licencias que dispone la organización.
En una anterior entrada pregunté ¿la seguridad está en el firewall? debido a que aún muchas organizaciones piensan que con el cortafuegos es suficiente para proteger sus activos, y en esta entrada podemos ver que para proteger los activos se necesita algo más que un cortafuegos. Si tienes dudas de si tu organización está cumpliendo correctamente los controles de seguridad es interesante realizar auditorías para que un tercero independiente de la organización pueda evaluar y comprobar si se están ejecutando correctamente todos los controles y procedimientos.

Para no extenderme más, dejaremos para la siguiente entrada la capa de protección Física y Técnica.

Commentaires