Inventario de activos de información

Introducción

Con el propósito realizar el levantamiento de las políticas de seguridad de información

uno de los primeros pasos es determinar los activos de información con relación a cada
una de las líneas de negocio de la empresa.

Este inventario permite a la organización tener un registro para entender mejor las
necesidades de seguridad de información y determinar los controles para asegurar la
confidencialidad, integridad y disponibilidad de su información. Posteriormente, este
inventario servirá como entrada para el análisis de riesgos y demás procesos en la
estrategia de aseguramiento de los servicios y procesos de la compañía.

Metodología

Para el levantamiento del inventario de los activos de información se utilizó un proceso el

cual tiene por objetivo proveer una plataforma desde la cual la empresa puede evaluar
objetivamente sus activos de información desde los siguientes elementos:

• Establecer las categorías sobre las cuales se clasifican los activos

• Determinar la línea de negocio sobre la cual aplican

Categorías

Esta clasificación se hace con base en tres categorías principales: Activos de información
pura, activos físicos de tecnología de información, activos de servicios y activos de
información humana. A su vez existe una subclasificación para tener una taxonomía mas
precisa.

La siguiente es la descripción de las tipos de categorías y el listado de subcategorías:

Activos de información pura.

Hace referencia a activos digitales (ópticos, magnéticos, memoria no volátil),

tangibles (como papel u otro material) o intangibles con información o
mecanismos de acceso a información de la compañía.

Información Digital
Información almacenada en medios digitales ópticos, magnéticos o de
transistores, como discos duros mecánicos o de estado sólido, discos extraíbles,
cintas, memorias USB, CDs, DVDs, BIOS y microprocesadores con memoria no
volátil. Dentro de esta se identificaron:
 • Información personal
• Información financiera
• Información legal
• Información tributaria
• Información de investigación y desarrollo
• Información de estrategias de mercadeo y comerciales
• Correo electrónico
• Registros de bases de datos de clientes
• Registros de bases de datos de proveedores
• Registros de bases de datos de OWL y Dotproject
• Copias de respaldo
• Archivos digitales
• Certificado Digitales (Para el correo electrónico)
• Metodologías propias de la compañía
• Formatos de soporte de metodologías
• Artefactos de procesos de construcción de software
• Información de registro de productos y/o servicios (cámara de comercio)
• Información de la página Web
• Claves de ingreso
• Archivos de propuestas comerciales
• Cronogramas
• Hojas de tiempo
• Código fuente
• Archivos objeto o compilados
• Información de configuración CVS
• Reglas Firewall

Software de Sistema operativo

Comprenden las licencias de los sistemas operativos, BIOS, firmware de sistemas
embebidos y controladores de hardware usados en la compañía. Dentro de esta se
identificaron:

• Licencias de sistema operativo de equipos de escritorio

• Licencias de sistema operativo de equipos servidores
• Licencias de sistema operativos de máquinas virtuales
• Sistema operativo de equipos de redes
• Software de sistemas embebidos (BIOS y Firmware)
• Controladores de hardware

Software de aplicación
Es el software de utilidad montado sobre el sistema operativo que tiene alguna
utilidad en la empresa. Este puede ser usado por humanos o por otras máquinas.
Dentro de esta se identificaron:
 • Software hecho o modificado para el servicio de clientes
• Software hecho o modificados para el soporte del negocio
• Utilidades de software de escritorio
• Utilidades para software servidor
• Licencias de software de ofimática
• Licencias de software ambientes de desarrollo integrado (IDEs)
• Licencias de software de seguridad informática (antivirus, antispyware,
firewall)
• Licencias de Bases de datos
• Licencias de software de virtualización
• Licencia de Software Middleware (contenedores de aplicación, colas,
integradores, etc)
• Licencias de software de monitoreo

Activos de información tangible

Es la información dispuesta en medios físicos como papel, hojas continuas,
brochures, libros, revistas, etc.

• Documentos de constitución de la empresa

• Hojas de vida
• Información financiera (extractos, recibos de consignación, estados de
cuenta, etc)
• Documentos con información de investigación y desarrollo
• Actas archivadas en papel
• Documentos de estrategia comercial
• Información de proveedores en papel
• Correo físico normal
• Correo físico certificado
• Faxes
• Propuestas comerciales archivadas y/o firmadas
• Libros
• Revistas
• Post-its
• Brochures comerciales
• Artefactos de metodologías impresos
• Llaves para el acceso a la empresa
• Reglamentos y procedimientos impresos
• Información contable

Activos de información intangible

Información que en ocasiones no es factible materializar en un medio físico o su
significado es valioso, no por la razón misma de su materialización, sino por lo
que relevancia para la compañía.
 • Reputación de la compañía
• Secretos comerciales
• Patentes
• Registros de marca
• Confianza de los clientes
• Ventaja competitiva
• Ética
• Productividad
• Relación de negocios (proveedores, clientes, sociedad)
• Logos e imagen corporativa

Activos físicos de tecnología de información

Consiste en los activos materiales sobre los cuales la operación de tecnología de
información, implican la infraestructura de soporte, sistema de control ambientales y
hardware.

Infraestructura de soporte
Comprende las estructuras físicas donde se ubica el personal de IT y
almacenamiento de equipos, sistemas de control de acceso y vigilancia.

• Ubicaciones o sucursales de la empresa

• Cuarto de servidores
• Closets de cableado y LAN
• Escritorios, cajones y gabinetes
• Sistemas de alarma
• Ubicación de proveedor Terremark

Sistemas de control ambientales de Tecnología de información

Sistemas físicos que mantienen las condiciones de operación de los recursos de
IT.

• Alarmas de robo (en las dos sucursales)

• Alarmas de incendio
• Sistemas de detección de humo
• UPS
• Subestación eléctrica
• Sistemas de alimentación de equipos
• Sistemas de aire acondicionado para servidores y chillers

Hardware de IT
Sistemas de cómputo de escritorio o servidores, sistemas de comunicaciones y
otros dispositivos de procesamiento, almacenamiento o transmisión de
información.
 • Servidores de aplicación
• Servidores de bases de datos
• Servidores carpetas compartidas
• Servidores de Firewall
• Servidor de correo electrónico
• Servidor Web
• Servidor VPN
• Servidor Proxy
• Estaciones de trabajo de escritorio
• Laptops
• Dispositivos de comunicación (switches, routers, servidor DNS, Cableado
LAN
• Equipos Wireless)

Activos de servicios
Servicios que corren con la interacción de uno o mas servidores y/o software montado
sobre estos.

• Servicios de soporte a clientes

• Servicios de soporte interno
• Servicio de VPN
• Servicio de FTP
• Servicios WEB
• Servicios Proxy
• Servicio Mail
• Servicio de asistencia o control remoto
• Contratos de soporte y mantenimiento
• Servicios de seguridad (Firewall, IDS, IPS, anti-spam/virus/spyware)
• Servicio de wireless y protocolo de autenticación

Activos de información humana

Hace referencia a los datos, información, conocimiento y experiencia que poseen las
personas que interactúan con la empresa. Esta información se puede caracterizar de
acuerdo al tipo de contratación: pueden ser empleados o no empleados con los cuales se
tiene un contrato de servicios y/o obra.

Empleados
Personas que tienen un contrato legal vigente a término fijo o indefinido.
Gerentes y Staff (Ejecutivos y gerenciales).

• Arquitectos de software
• Desarrolladores
• Testers
• Administradores de sistemas
 • Abogados y personal de cumplimiento
• Personal administrativo (caja, cartera, finanzas, recursos humanos,
recepcionista, servicios generales, etc)

No empleados
Empleados que prestan sus servicios de manera temporal y/o esporádica.

• Empleados temporales
• Contratistas
• Consultores
• Consejeros
• Empleados de proveedores o clientes
• Asociados de negocio

Áreas y líneas de negocio sobre los que aplican

Se elaboró una matriz sobre la cual se detallan los activos de información arriba descritos
sobre las unidades de negocio que aplican en la compañía. Para propósitos de este
informe inicialmente se determina si aplica o no, sin embargo en una entrega posterior se
determinará el nivel de relevancia sobre las líneas de negocio.

Las áreas y líneas de negocio sobre las que se hace el diagnóstico son:

• Aplicaciones
• Infraestructura
• Fabrica de software
• Servicios BPO
• Comercial
• IT
• Recursos Humanos
• Financiera
• Administrativa

En la matriz “ActivosInformacion-AreasEmpresa.xls” se muestra la correspondencia

entre estas.