Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
FORMATO "___________________________
TITULO:
INVENTARIO DE ACTIVOS
Dependencias de
No. Activos Descripcin del activo Entrada/ Salida/Otro Tipo Almacenamiento
activos
"____________________________________________________________________"
MES AO
Septiembre 2010 1 DE 1
3 Medio
Legal
4 Alto
5 Catastrfico
1 Nulo
2 Bajo
3 Medio
Imagen
4 Alto
5 Catastrfico
1 Nulo
2 Bajo
Inters por el activo 3 Medio
4 Alto
5 Catastrfico
1 Nulo
2 Bajo
3 Medio
Exposicin
4 Alto
5 Catastrfico
1 Nulo
2 Bajo
4 Alto
5 Catastrfico
E IMPACTO DE ACTIVOS (Sugerencias)
Especificacin de Criterios
1. No se ve afectada la Empresa si este activo es comprometido o no se encuentra disponible.
2. Si los SLA's con los clientes se vern impactados por la disponibilidad o afectacin del activo, pero no sobrepasan
los umbrales establecidos.
3. La Empresa podra recibir quejas de los clientes por incumplimiento de los SLA's, derivadas de la disponibilidad o
afectacin de este activo de informacin.
4. Un cliente podra penalizar a la Empresa por incumplimiento de los SLA's, derivados de la disponibilidad o afectacin
de este activo de informacin.
5. Cancelacin de un contrato por incumplimiento de SLA's, derivado de la falta o afectacin del activo.
3. El activo de informacin se encuentra expuesto para su acceso no autorizado por personal interno, no involucrado
en el proceso
4. El activo de informacin se encuentra expuesto para su acceso no autorizado, por personal externo (clientes,
proveedores o personal de la empresa)
5. El activo se encuentra extremadamente expuesto para su acceso a personal externo e interno (no involucrados en el
negocio) (i.e. Portal de Internet, Gavetas en lugares muy transitados, etc.)
1. Los objetivos de la Empresa no se ven afectados en caso de que el activo sea comprometido o no se encuentre
disponible.
2. Es probable que los objetivos de la Empresa se vean afectados en caso de que el activo sea comprometido o no se
encuentre disponible.
3. Si se compromete el activo o no se encuentra disponible, se retrasar el cumplimiento de los objetivos de la
Empresa.
4. Si se compromete el activo o no se encuentra disponible no se cumplir con los objetivos de la Empresa.
5. Si se compromete el activo o no se encuentra disponible, se perder la confianza de los inversionistas, proveedores
y/o clientes.
MANUAL DE USO (Suger
INVENTARIO DE ACTIVOS
Este formato es una matriz de consulta donde se encuentra concentrada toda la in
evaluacin de activos
Factores de Impacto
Factor de impacto
legal
Factor de impacto de
imagen
Factor de impacto en
perdida de confianza
Factor de impacto de
inters por el activo
Reelevancia del
Activo
Alta
Media
Baja
El formato contiene todos los datos que se requieren para concentrar la informaci
cada uno de los campos que deben de ser llenados:
Descripcin del activo Es una breve descripcin del activo o bien puede ser el no
rea del responsable En este apartado se requiere conocer el nombre del rea
TIPO DE IMPACTO
ulta donde se encuentra concentrada toda la informacin obtenida de los usuarios y los calculos realizados en la
los calculos para evaluar los impactos de cada uno de los activos que se dieron de alta en el Formato de Activos de
pacto se les asigna un valor de acuerdo a la importancia que tienen para la Empresa, como se muestra a
2.5
1.5
1
cado por el factor de impacto que fue asignado a cada activo de informacin y se sumar cada uno de los valores
tado final la evaluacin del activo.
Evaluacin de Evaluacin de Evaluacin del activo
impacto en perdida impacto de inters
de confianza por el activo
nformacin, se conformarn tres niveles que indican su importancia. Estos niveles estn definidos en trminos del
de un activo para el SAT. Las prioridades son:
Rango de
Evaluacin
27 - 35
17 - 26
7 - 16
que se requieren para concentrar la informacin ms importante del inventario de activos. A continuacin se explica
n de ser llenados:
ve descripcin del activo o bien puede ser el nombre con el cual es conocido dentro de la empresa.
que un activo dependa de otro, este campo es llenado para identificar dicho activo mencionndolo por su
r.
esta caja se elige si el activo es una entrada, una salida u otro:
por cada uno de los procesos identificados, es necesario listar todo aquel requerimiento de entrada necesario a
e la ejecucin del proceso para poder llevarlo a cabo (las entradas pueden ser solicitudes, correos electrnicos, etc.,
al cualquier informacin que active la ejecucin del proceso).
hace referencia a todo aquel resultado obtenido de haber ejecutado el proceso en cuestin. Es posible que se tenga
una salida por lo que se sugiere se identifiquen dichas salidas en un diagrama de flujo del proceso.
tivos de Informacin que intervienen dentro del flujo del proceso como pueden ser: bases de datos, software de
n, equipos de cmputo, manuales, procesos, etc.
si el Activo de Informacin es de carcter tangible (palpable) o intangible (electrnico).
: Todo aquel activo que se encuentre fsicamente disponible y sea palpable, como puede ser: guas y reglamentos,
s, expedientes, notificaciones, papeles de trabajo, manuales de usuario, equipos de cmputo, servidores, discos
dispositivos magnticos, etc.
le: Todo aquel activo que no sea posible accederlo fsicamente, como puede ser: bases de datos, software de
n, software de sistema, correo electrnico.
ctivo, es necesario especificar el nombre del lugar en donde es almacenado (resguardado), dependiendo del tipo de
gible o intangible, el lugar de almacenamiento puede ser:
ivos Intangibles: Servidores de correo, servidores de aplicaciones, servidores de bases de datos, computadoras
es, laptop, diskettes, Discos magnticos, discos pticos, etc.
mpo se indica el nombre de la persona o grupo que administra el activo al que se hace referencia.
este campo se escribe el nombre de la persona que determina las acciones que se realizan con el activo.
da se indica el puesto de la persona o grupo que administra el activo al que se hace referencia.
artado se requiere conocer el nombre del rea o departamento que hace uso del activo.
que podr tener el SAT legal o regulatorio, si este activo de informacin es comprometido o no se encuentra
El impacto se califica en los niveles 1 al 5, siendo 1 nulo y 5 catastrfico (Ver hoja: Tipo de impactos)
la prdida de confianza ante el cliente, el contribuyente o con otras empresas o instituciones con las cuales se
a informacin, por la imposibilidad para cumplir con los objetivos planteados si este activo de informacin se ve
ido o no se encuentra disponible. El impacto se califica en los niveles 1 al 5, siendo 1 nulo y 5 catastrfico (Ver hoja:
pactos)
por el inters pblico por el activo de informacin y el nivel de exposicin del activo a que una persona no autorizada
r o tenga acceso a l, a que lo borre del sistema o lo deseche (p. ejemplo el activo se encuentra en el portal de
s informacin que la mayor parte del pblico quiere conocer). El impacto se califica en los niveles 1 al 5, siendo 1 nulo
fico (Ver hoja: Tipo de impactos)
ncia de la disponibilidad de los Activos de Informacin, se fundamenta en la importancia que esta tiene para la
diaria, para su acceso por parte de los usuarios, contribuyentes, etc.
nsable. Se puede tener los siguientes supuestos; sin embargo, no significa que sean los nicos. Estos pueden ser un
o para considerar la informacin crtica en trminos de Disponibilidad.
pcin visible de la operacin.
bable que haya mala publicidad si el activo de informacin no est disponible por ms de un cierto tiempo permitido.
o de informacin es valioso y difcilmente reemplazable.
ia. Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un
o para considerar la informacin crtica en trminos de Disponibilidad.
o tendra que ser reemplazado a un costo razonable y en poco tiempo.
presa sera significativamente menos eficiente o efectiva, si el activo no est disponible por ms de cierto tiempo
do previamente.
Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un
o para considerar la informacin crtica en trminos de Disponibilidad.
o de informacin no es fcil de destruir o daar.
o de informacin puede ser reemplazado fcilmente.
e poco inters por borrar o destruir este activo de informacin ya que su valor es poco comparado con el esfuerzo
truirlo.
presa puede continuar sin el activo o existen activos que lo pueden reemplazar dentro de dicha empresa.
rmacin esta disponible por otros medios o puede ser recreada con bajo costo.
erio de clasificacin, se debe evaluar el dao para la empresa causado por la prdida de integridad de un activo de
n (por ejemplo, equipos , sistemas o aplicaciones que parecen estar operando correctamente o informacin que es
a correcta cuando no lo es).
Se puede tener los siguientes supuestos, sin embargo no significa que sean los nicos. Estos pueden ser un
o para considerar la informacin crtica en trminos de Integridad.
acin de informacin falsa, que potencialmente puede ser usada como referencia por las entidades supervisadas.
Se puede tener el siguiente supuesto, sin embargo no significa que sea el nico. Estos pueden ser un parmetro para
ar la informacin normal en trminos de Integridad.
co cambio, si no se encuentra algn defecto significativo, la informacin es tratada como notas o indicaciones.
cin en trminos de confidencialidad, est apegado a la clasificacin definida por el IFAI, es decir utilizando slo como
ncial. Es el ms alto nivel de clasificacin de la informacin y debe ser utilizado sobre la premisa de que la divulgacin
ma est estrictamente limitada y predeterminada a un nmero restringido de personas que asumen la responsabilidad
gerla.
da - Informacin cuya divulgacin debe ser restringida nicamente al personal que la requiere conocer, previa
in del responsable de la misma.
- Informacin de uso general que por su contenido o contexto no requiere de proteccin especial y su distribucin
a sido permitida a travs de canales autorizados por la empresa.
espacio en donde se puede agregar informacin adicional sobre el activo y cualquier informacin que se considera de
a que por motivos de seguridad se deba conocer.
Este formato muestra las opciones que existen para calificar el impacto de los activos