1 Gestin de activos

1.1 Responsabilidad sobre los activos

Objetivo

lmplementar y mantener una adecuada proteccin sobre los activos de la organizacin.

Todos los activos deberan tener un responsable y se debera asignar un dueo a cada uno de
ellos.

Se deberan identificar los dueos para todos los activos y se debera asignar la responsabilidad
del mantenimiento de los controles apropiados. La implementacin de controles sobre un activo
podra ser delegada por su dueo pero ste contina manteniendo la responsabilidad por la
proteccin del mismo.

1.1.1 Inventario de activos

Control

Todos los activos deberan ser claramente identificados y se debera realizar y mantener u n
inventario de los activos importantes.

Gua de implementacin

La organizacin debera identificar todos sus activos y documentar la importancia de ellos. El

inventario de activos debera incluir toda la informacin necesaria en caso de tener que recuperar
el activo luego de un desastre. Esto incluye tipo de activo, formato, localizacin, informacin del
respaldo, informacin de licencias e importancia para el negocio. Este inventario no debera duplicar
innecesariamente otros inventarios, pero se debera garantizar que el contenido est alineado.

Asimismo, la propiedad (ver 1.1.1) y la clasificacin (ver 1.1) de la informacin debera ser acordada
y documentada para cada uno de los activos. Se deberan definir niveles de proteccin acordes a
la importancia del activo, su relevancia en el negocio y su clasificacin en relacin a la seguridad.
(Ms informacin de cmo valorar los activos para representar su importancia puede ser
encontrada en ISOIIEC TR 13335-3).

Informacin adicional

Existen muchos tipos de activos, incluyendo:

informacin: archivos y bases de datos, contratos y acuerdos, documentacin de sistemas,

informacin de investigaciones, manuales de usuario, material de entrenamiento,
procedimientos operativos o de soportes, planes de continuidad del negocio, procedimientos
de vuelta atrs fallback), pistas de auditora e informacin archivada;

activos de software: software de aplicacin, software de sistemas, herramientas de desarrollo y

utilitarios;
 activos fsicos: computadores, equipos de comunicaciones, medios removibles y otros
equipos;

servicios: servicios de procesamiento y comunicaciones, servicios generales por

ejemplo: calefaccin, iluminacin, suministro de energa y aire acondicionado;

recursos humanos, y su calificacin, habilidades y experiencia;

intangibles, tales como reputacin e imagen de la organizacin.

Los inventarios de activos ayudan a garantizar que se logra la proteccin eficaz de los activos pero
tambin pueden ser requeridos para otros propsitos del negocio, como por ejemplo por razones
de salud y seguridad, financieras o de seguros (gestin de activos). El proceso de compilar un
inventario de activos es un prerrequisito importante de la gestin de riesgos (ver tambin clusula
4).

1.1.1Propiedad de los activos

Control

Toda la informacin y los activos asociados con las instalaciones de procesamiento de la

informacin deberan pertenecer a u n dueo1designado por la organizacin.

Gua de implementacin

El dueo de un activo debera ser responsable de:

asegurar que la informacin y los activos asociados con las instalaciones de procesamiento
de la informacin son clasificados en forma apropiada;

definir y revisar peridicamente restricciones y clasificacin del acceso al activo teniendo en

cuenta las polticas aplicables de control de acceso.

La propiedad puede ser asignada a:

un proceso de negocio;

u n conjunto definido de actividades;

una aplicacin;

u n conjunto definido de datos.

1
El trmino dueo identifica a un individuo o entidad que ha probado habilidades de gestin para controlar la produccin,
desarrollo, mantenimiento, uso y seguridad de un activo. El trmino dueo no significa que la persona tiene
efectivamente derechos de propiedad sobre el activo.
Informacin adicional

Las tareas rutinarias pueden ser delegadas, por ejemplo, a un guardia que vigile el activo
diariamente, pero la responsabilidad contina siendo del dueo.

En sistemas de informacin complejos puede resultar til designar un grupo de activos, los cuales
actan en forma conjunta para proveer una funcin particular como un servicio. En este caso el
dueo del servicio es responsable por la entrega del mismo, incluido el funcionamiento de los
activos que lo proveen.

1.1.3 Uso aceptable de los activos

Control

Deberan ser identificadas, documentadas e implementadas reglas para el uso aceptable de la

informacin y de los activos asociados con las instalaciones de procesamiento de la informacin.

Gua de implementacin

Todos los empleados, contratistas, y usuarios de terceras partes deberan seguir las reglas para el
uso aceptable de la informacin y de los activos asociados con las instalaciones de procesamiento
de la informacin, incluyendo:

reglas para el uso del correo electrnico e lnternet;

directrices para el uso de dispositivos mviles, especialmente para el uso fuera de la

organizacin

El gerente correspondiente debera suministrar las reglas o directrices especficas. Los empleados,
contratistas y usuarios de terceras partes que utilicen o tengan acceso a los activos de la
organizacin deberan estar conscientes de los lmites que existen para el uso de la informacin y
de los activos de la organizacin asociados con las instalaciones de procesamiento de informacin,
as como de los recursos. Se deberan responsabilizar del uso que hagan de los recursos de
procesamiento de informacin y de cualquier uso efectuado bajo su responsabilidad.

1.1 Clasificacin de la informacin

Objetivo

Asegurar que la informacin recibe el nivel de proteccin adecuado.

La informacin se debera clasificar para indicar la necesidad, prioridades y grado de proteccin

esperado en el manejo de la misma.

La informacin tiene grados variables de sensibilidad y criticidad. Algunos elementos de informacin

pueden requerir un nivel adicional de proteccin o un manejo especial. Se debera utilizar un sistema
de clasificacin de la informacin para definir un conjunto de niveles de proteccin adecuados, y
comunicar la necesidad de acciones especiales de manejo.
1.1.1 Directrices de clasificacin

Control

La informacin se debera clasificar en trminos de su valor, requisitos legales, sensibilidad y

criticidad para la organizacin.

Gua de implementacin

La clasificacin de informacin y otros controles de proteccin asociados deberan tener en cuenta

que el negocio necesita compartir o restringir la informacin, as como los impactos en el negocio
asociados a esas necesidades.

Las directrices de clasificacin deberan incluir convenciones para la clasificacin inicial y

reclasificacin a lo largo del tiempo, de acuerdo con polticas predeterminadas de control de acceso

Debera ser responsabilidad del dueo del activo definir la clasificacin del mismo, revisarla
peridicamente y asegurar que est actualizada y en el nivel apropiado. La clasificacin debera
tener en cuenta el efecto de acumulacin mencionado en.

Se debera considerar el nmero de categoras de clasificacin y los beneficios obtenidos con su

uso. Los esquemas demasiado complejos se pueden volver engorrosos y de uso costoso o no ser
prcticos. Se debera interpretar cuidadosamente las etiquetas de clasificacin que aparezcan en
documentos de otras organizaciones que pueden tener distintas definiciones para etiquetas iguales
o similares.

Informacin adicional

El nivel de proteccin se asegura mediante el anlisis de confidencialidad, integridad y

disponibilidad y otros requisitos relativos a la informacin considerada.

La informacin suele dejar de tener importancia o criticidad tras cierto tiempo, por ejemplo, cuando
se ha hecho pblica. Estos aspectos se deberan considerar, puesto que una sobre clasificacin
conllevara u n gasto adicional innecesario.

Cuando se asignan niveles de clasificacin, la consideracin de documentos con similares

requisitos de seguridad en forma conjunta facilita la tarea de clasificacin.

En general, la clasificacin dada a la informacin constituye una forma prctica de determinar la

manera que la informacin debera ser tratada y protegida.
1 . 1 . 1 Etiquetado y manejo de la informacin

Control

Se debera desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado

y manejo de la informacin de acuerdo al esquema de clasificacin adoptado por la organizacin.

Gua de implementacin

Los procedimientos para el etiquetado de la informacin han de cubrir los activos de informacin
en formato fsico y electrnico.

La salida procedente de los sistemas que traten informacin clasificada como sensible o crtica
debera llevar una etiqueta de clasificacin adecuada (en la salida). El etiquetado debera reflejar
la clasificacin de acuerdo con las reglas establecidas en 1.1.1. Los elementos a considerar
incluyen informes impresos, presentaciones en pantalla, medios de almacenamiento (cintas,
discos, CDs), mensajes electrnicos y transferencias de archivos.

Para cada nivel de clasificacin se deberan definir procedimientos para el manejo de la

informacin, incluyendo procedimientos seguros de, almacenamiento, transmisin, desclasificacin
y destruccin. Esto debera incluir los procedimientos para la cadena de custodia y el registro de
cualquier evento pertinente en cuanto a su seguridad.

Los acuerdos con otras organizaciones que impliquen compartir informacin deberan incluir
procedimientos para identificar la clasificacin de dicha informacin y para interpretar las etiquetas
de clasificacin de otras organizaciones.

Informacin adicional

El etiquetado y manejo seguro de la informacin es u n requisito clave para acuerdos que impliquen
compartir informacin. Las etiquetas fsicas suelen ser la forma ms comn de etiquetado. Sin
embargo, ciertos activos de informacin, como los documentos en formato electrnico no se
pueden marcar fsicamente y hay que usar medios electrnicos de marcado, por ejemplo,
desplegando marcas de notificacin en la pantalla. En donde el marcado no es posible, se pueden
aplicar otras maneras para la clasificacin, por ejemplo, por la va de procedimientos o meta-data.