Documento Metodológico

Ámbito 3

Descubrimiento de Activos
 Estrategia de Seguridad y Privacidad de la
Información de la Alcaldía de Bogotá

Alcalde de Bogotá
Enrique Peñalosa Londoño

Secretario General
Raúl Buitrago Arias

Alto Consejero Distrital del TIC

Sergio Martínez Medina

Profesional Especializado en Seguridad de la Información

María del Pilar Niño Campos

Diciembre 2018
4 5

ÍNDICE DE TABLAS PÁG.
Tabla 1. normas y estándares centro de cómputo 10
Tabla 2. Partes estándar EN 50173
Tabla 3. Niveles de disponibilidad deseados
11
12
Tabla 4. Tabla comparativa de estándar TIER 12
Tabla 5. Plantillas documentales de apoyo 25
ÍNDICE DE FIGURAS
Figura 1. Metodología descubrimiento de activos 13
Figura 2. Paso 1 14
Figura 3. Paso 2 15
Figura 4. Paso 3 16
17
Figura 5. Paso 4 de factores ambientales como la temperatura, la humedad y la detección y extinción
1
INTRODUCCIÓN
De acuerdo con el estándar ISO/IEC 27001:2013, todos los activos de información deben
estar claramente identificados y las entidades deben elaborar y mantener un inventario
de estos. Para ello resulta importante definir lineamientos que permitan su identificación,
clasificación, ubicación, valoración y los responsables de estos.
Los centros de cómputo y sus componentes se constituye en uno de los principales
activos de información de las organizaciones, ya que son el punto neural de las redes de
datos y en ellos se realizan operaciones centralizadas de procesamiento, transmisión
y almacenaje de la información digital. Adicionalmente en ellos convergen las tres
características de la triada de seguridad de la información: confidencialidad, integridad
y disponibilidad.
Para garantizar que se conserven los atributos de seguridad en los centros de cómputo
es necesario considerar: el acceso físico, su registro visual y documental, el manejo
de incendios y los accesos y protecciones digitales, para lo cual se requiere la gestión
adecuada de los riesgos de seguridad.
VER VIDEO INTRODUCTORIO
7
2 DEFINICIÓN
La identificación de los activos de
información permite conocer la criticidad y
sensibilidad de información de la entidad,
la cual debe ser salvaguardada en
términos de su confidencialidad, integridad
y disponibilidad.
La información digital que se gestiona
en las entidades del Distrito se puede
encontrar: 1) almacenada, 2) en
transmisión o 3) en procesamiento/uso.
Cuando está almacenada se puede
encontrar en los equipos de sobremesa,
portátiles, servidores, buzones de correo
electrónico, equipos de comunicaciones,
dispositivos de almacenamiento de red
(NAS, SAN, etc.), almacenamiento en
la nube (OneDrive, Google Drive, etc.),
sistemas de archivos y plataformas
de gestión de información (como MS
SharePoint®), bases de datos, dispositivos
de almacenamiento extraíbles, etc.
Cuando la información se transmite puede
viajar por medio de redes cableadas,
redes inalámbricas, vía microondas, redes
celulares, etc., y, por último, cuando la
información está en procesamiento o en
uso, se puede encontrar en los monitores,
8 9
en la memoria caché de los equipos de
cómputo, en los procesos que se están
ejecutando de las aplicaciones o de los
sistemas operativos, o en las pantallas de
los dispositivos móviles entre otros.
Las entidades del Distrito generalmente
disponen de un centro de cómputo o cuarto
de servidores en el cual se localizan los
armarios (rack) de servidores y dispositivos
de comunicaciones, y son el punto crítico
de conectividad, almacenamiento y
procesamiento de información.
3 OBJETIVO
GENERAL
Definir lineamientos para identificar, clasificar, ubicar y valorar los activos de información
de una entidad y los responsables de estos.
4
OBJETIVOS
ESPECÍFICOS
Proveer información de mejores
prácticas en el manejo de centros de
datos, particularmente en lo relacionado a
control ambiental, acceso físico, perímetro
de seguridad y gestión del riesgo de
seguridad
Verificar el grado de cumplimiento
de la gestión de los centros de cómputo
contra las mejores prácticas.
Definir una metodología de gestión
de activos de información de la entidad
distrital.
5
ALCANCE
En el presente desarrollo metodológico
se define los lineamientos propuestos
por ADALID CORP para la identificación
o descubrimiento de los activos de
información de la entidad, de acuerdo con
el alcance establecido en el Anexo Técnico
contractual.
Así mismo, se desarrollan análisis a los
controles de seguridad física y perimetral
como es el circuito cerrado de televisión
(CCTV por sus siglas en inglés, closed
circuit television), sistema contra incendio
y su correspondiente verificación de
conformidad contractual, según las
buenas prácticas que se describen en el
marco teórico y jurídico.
Se hace una revisión inicial de Tecnologías
de la Información (TI) y de los activos de
información físicos para determinar el
estado de configuración, actualizaciones,
parches críticos y de seguridad, para
detectar dispositivos no autorizados
conectados a las redes institucionales.
Se incluye en el análisis las áreas de
infraestructura central que componen la
solución tecnológica de cada entidad que
forman parte de este alcance: centros de
cómputo, aires acondicionados y demás
elementos del centro de datos, al igual que
equipos activos de red, routers, switches,
balanceadores y firewalls.
6
MARCO TEÓRICO
Y JURÍDICO
La presente guía está alineada con lo descrito en la Guía 5 de gestión y clasificación
de activos de información del MSPI de MinTIC (2015) y los siguientes instrumentos
normativos: Ley 1581 de 2012 (Congreso de la Republica, 2012), Ley 1712 de 2014
(Congreso de la República de Colombia, 2014) y el Decreto 0103 de 2015 (Presidencia
de la República de Colombia, 2015).
De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013
(Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015). Además, existen estándares
específicos para la gestión del centro de cómputo, los cuales se ilustra en la tabla 1.
Tabla 1. normas y estándares centro de cómputo
Estándar Descripción
Mejores prácticas de diseño e implementación de Centros de Cómputo.
BICSI 002 Considerada la norma base para el diseño de centros de datos alrededor del
(2014) mundo. ANSI/BICSI 002-2014 continúa su misión de proporcionar requisitos,
directrices y mejores prácticas aplicables a cualquier centro de datos.
Especifica el cableado genérico que admite una amplia gama de servicios
de comunicaciones para su uso dentro de un centro de datos. Cubre el
ISO/IEC 24764 cableado balanceado y el cableado de fibra óptica. Se basa en los requisitos
(2010) de referencia de ISO / IEC 11801 y contiene requisitos adicionales que son
apropiados para los centros de datos en los que la distancia máxima a la que
deben distribuirse los servicios de comunicaciones es de 2.000 m.
El estándar europeo CEN/CENELEC, contiene los lineamientos para el
cableado de telecomunicaciones en edificios. Está publicado en la norma EN
CENELEC 50173 (Performance requirements of generic cabling schemes). Esta norma
EN 50173-5 se encuentra específica en la reglamentación ISO/IEC 11801. Su principal
EN 50600 objetivo es proporcionar un sistema de cableado normalizado de obligatorio
cumplimiento, que cubra entornos de productos y proveedores múltiples. El
estándar EN 50173 está conformado por cinco partes que se relacionan en la
tabla 2.
10
Estándar Descripción
Contiene nuevos diseños de equipos de red que son los encargados de
extraer el aire de refrigeración de la parte frontal del bastidor hacia atrás y el
escape caliente que sale del chasis en la parte posterior del bastidor. Este
equipo enfriado de adelante hacia atrás debe tener una clasificación mínima
de ASHRAE Clase A3 (40 ° C) y preferiblemente ASHRAE Clase A4 (45 °
ASHRAE TC9.9 C). ASHRAE TC9.9 recomienda que el equipo esté diseñado para soportar
una temperatura del aire de entrada más alta que el aire de suministro de
refrigeración del centro de datos si: a) el equipo está instalado en un espacio
cerrado que no tiene acceso directo a la corriente de refrigeración del centro
de datos; o b) el equipo tiene una configuración de flujo de aire de lado a lado
dentro de un gabinete cerrado.
Es un conjunto de recomendaciones y mejores prácticas consensadas entre
varios países y un grupo de expertos en centro de procesamiento de datos, los
ICREA-Std- 131-
2017
cuales acordaron definir la forma de construir un centro de datos, de acuerdo
con los niveles de disponibilidad deseados. Los niveles se ilustran en la tabla 3.
Norma de Infraestructura de Telecomunicaciones para centros de cómputo.
TIA 942A (2012)
Estándar desarrollado por la Telecommunication Industry Association
(TIA) para la integración de los criterios en el diseño de un centro de datos.
Inicialmente se basaba en una serie de especificaciones para comunicaciones
y cableado estructurado, en la actualidad estas especificaciones brindan
lineamientos vitales para el diseño de infraestructura. Este estándar puede ser
aplicable a cualquier centro de datos independiente de la magnitud de esta. La
evaluación se guía por el estándar TIER de la tabla 4.
Fuente: Recopilación de ADALID CORP.
Tabla 2. Partes estándar EN 50173
Parte Descripción
EN 50173-1 requisitos generales de las instalaciones de redes locales.
EN 50173-2 requisitos generales de las instalaciones en oficinas.
EN 50173-3 requisitos generales de las instalaciones industriales.
EN 50173-4 requisitos generales de las instalaciones de las viviendas.
EN 50173-5 requisitos generales de las instalaciones de los centros de datos.
Fuente: Norma EN 50173
11
 Tabla 3. Niveles de disponibilidad deseados
Para más información consultar el anexo técnico de Buenas Prácticas y Marco Normativo
Nivel Descripción Disponibilidad de la Seguridad Digital

7
I Quality assurance data center (QADC) 95%

II World Class Quality Assurance Data Center (WCQA) 99%

III Safety World Class Quality Assurance Data Center (S-WCQA) 99.9% DESARROLLO DE LA
METODOLOGÍA
IV High Security World Class Quality Assurance Data Center (HS-WCQA) 99.99%

High Security High Available World Class Quality Assurance Data

V 99.999%
Center (HSHA-WCQA)

Redundant High Available World Class Quality Assurance Data Center

VI 99.9999%
Net (RHA-WCQA)
El presente documento metodológico contiene los pasos a seguir para cada uno de los
Fuente: ICREA-Std- 131-2017 temas descritos en la introducción y alcance: Gestión del Centro de Cómputo y Gestión
de activos de información.
Las normas BICSI 002 y la ICREA-std 131 abarcan las áreas y en particular incluyen Figura 1. Metodología descubrimiento de activos
temas de Seguridad, CCTV, control de acceso, detección y supresión de incendios.
Se encuentran más orientadas al cómo planear, construir y gestionar un centro de
cómputo. Las demás normas se enfocan en mayor detalle al que deben tener y cumplir
las organizaciones que deseen implementarlas.

Tabla 4. Tabla comparativa de estándar TIER

Capacidad activa de los componentes para N N+1 N N Después de cualquier falla

soportar la carga de procesamiento

Rutas de Distribución 1 1 1 activo y 1 2 simultáneamente activos

alterno

Mantenimiento Concurrente No No Si Si Fuente: ADALID CORP.

Tolerante a Fallas No No No Si
El desarrollo de la metodología está compuesto en 4 partes:
Compartimentalizado No No No Si
Análisis de acceso físico a áreas críticas y sensibles
Refrigeración Continua No No No Si Análisis de aspectos ambientales para áreas críticas
Disponibilidad 99,67% 99,75% 99,982% 99,995% Gestión de riesgos de seguridad del centro de datos
Gestión de activos de información

Fuente: Uptime Institute - ANSI/TIA-942

12 13
7.1 Análisis de control de acceso físico zonas o áreas sensibles
El proceso inicia con la recolección de información, incluye los procesos, procedimientos,
políticas y en general la documentación que la entidad tenga implementada respecto al
acceso físico para áreas críticas o sensibles de la entidad distrital. Documentación que
se evalúa y se realiza un proceso de visita o reconocimiento en sitio de las áreas definidas
como críticas o sensibles (centro de cómputo, archivo físico, etc.).
De acuerdo con la revisión de la documentación definida e implementada por la entidad,
se identifica el avance actual en seguridad física.
7.1.1.2 Recopilación de buenas prácticas
Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA
y BICSI.

Figura 2. Paso 1 Los temas propuestos para revisión de buenas prácticas:

- Diseño e implementación de CCTV.
- Protocolos de personal de seguridad.
- Seguridad de acceso: puertas y cerraduras.
- Registro (log) de acceso físico.
Figura 3. Paso 2

Fuente: ADALID CORP.

!
7.1.1 Entendimiento procesos, procedimientos y conocimiento del lugar
!
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos
para entender la situación actual de la entidad.
Fuente: ADALID CORP.

Las siguientes actividades conllevan una adecuada ejecución del entendimiento. 7.1.2 Verificación del estado actual

7.1.1.1 Solicitud de procedimientos de acceso físico a áreas críticas
ADALID CORP. realiza la solicitud a la entidad para la revisión la información disponible
sobre los procesos y procedimientos de acceso físico a los centros de cómputo. Algunos
documentos que existen en general en las entidades pueden ser:
Política de acceso al centro de cómputo
Formato para registro de accesos al centro de cómputo
Política de grabación por CCTV del centro de cómputo y tiempo de vida de los
videos
Contratos para el mantenimiento de equipos del centro de cómputo
Contratos de mantenimiento activos que desempeñan funciones de control
ambiental y eléctrico
Para evidenciar el nivel de cumplimiento de controles físicos, ADALID CORP. plantea la
revisión en sitio de la entidad.
En esta actividad, se plantea:
- Cumplimiento de protocolos de personal de seguridad
- Ubicación adecuada de las cámaras de CCTV
- Funcionamiento del CCTV y tiempo de retención de las grabaciones
- Verificación del registro acceso al centro de cómputo
- De ser posible, realizar un intento de ingreso bajo un pretexto falso

14 15
El proceso propuesto, es mediante recorridos por las instalaciones de la entidad y Figura 5. Paso 4
así comprobar las políticas de acceso, despliegue de CCTV, controles detectores de
incendios. En caso de ser un contrato de alojamiento o colocación:
- Verificación que el contrato estipule las protecciones físicas con que debe contar
el Centro de Cómputo.

En caso de ser un contrato en la nube:

- Verificación de documentación de políticas de acceso del servicio en la nube.

Figura 4. Paso 3

Fuente: ADALID CORP.

7.1.4 Creación de una hoja de ruta de trabajo

Con el resultado obtenido durante el proceso de análisis GAP, se crea un documento de

Fuente: ADALID CORP.
7.1.3 Diagnóstico del estado actual conforme a mejores prácticas
Durante esta etapa ADALID CORP. realiza la estructuración de un diagnóstico del estado
actual, acorde con la información suministrada por la entidad. Con ellos se identifica el
nivel de madurez en las mejores prácticas de seguridad.
ruta de trabajo, al menos con los siguientes componentes:
- Responsable
- Tiempo estimado de ejecución y fecha de inicio
- Actividades macro
- Riesgo latente ante la falta del control
- Probabilidad estimada de materialización del riesgo
- Impacto o consecuencia de la materialización del riesgo
7.2 Análisis aspectos ambientales para áreas críticas y sensibles

7.1.3.1 Análisis de información entregada y recolectada

De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte
de los expertos para evidenciar el cumplimiento respecto a la normatividad propuesta
durante el presente documento.
7.1.3.2 Análisis “GAP” de lo encontrado contra las buenas prácticas
El proceso inicia con una etapa de recolección de información, que incluye los procesos,
procedimientos y políticas respecto a los aspectos ambientales para las áreas críticas o
sensibles de la entidad distrital a evaluar y un conocimiento inicial de los lugares donde
se encuentran los centros de cómputo de la entidad. Estos centros de cómputo pueden
ser propios, contratados a un ente externo en la modalidad de alojamiento o colocación o
en la nube.

La información analizada y organizada se confronta contra las mejores prácticas de

los estándares referenciados. En este proceso se clasifica los distintos controles en:
Inexistentes, incompletos, inadecuados o adecuados, según sea el caso.

16 17
7.2.1 Entendimiento de los procedimientos y conocimiento del lugar
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos
para entender la situación actual de la entidad. Para ello, se realizan las siguientes
actividades a fin de conocer las áreas críticas y sensibles de la entidad.
7.2.1.1 Solicitud de procedimientos de aspectos ambientales de áreas críticas
ADALID CORP. debe solicitar la información que permita evidenciar los procesos y
procedimientos de los aspectos ambientales de los centros de cómputo como son:
- Diseño e implementación de aires acondicionados
- Implementación de control contra humedad
- Sistemas de UPS
- Sistemas de extinción de incendios
- Contratos de mantenimiento de los elementos anteriores
- Registro de realización de los mantenimientos
7.2.1.2 Recopilación de buenas prácticas
Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA
y BICSI.
Los temas propuestos para revisión de buenas prácticas:
- Aires Acondicionados
- Control de humedad
- UPS
- Sistemas de extinción de incendios
- Contratos de mantenimiento
7.2.2 Análisis de información entregada y recolectada
De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte
de los expertos para evidenciar el cumplimiento respecto a la normatividad propuesta
durante el presente documento.
7.2.3 Diagnóstico del estado actual conforme a mejores prácticas
Durante esta etapa ADALID CORP. documenta el diagnóstico del estado actual, de
acuerdo con la información entregada por la entidad y así lograr identificar el nivel de
madurez en las mejores prácticas de seguridad.
18
Visita al sitio, en caso de ser propio donde se buscará:
- Tipo de aires acondicionados funcionando y capacidad
- Temperatura y porcentaje de humedad en el ambiente
- Verificación aleatoria de 3 servidores para confirmar si están conectados a la UPS
- Fecha de última verificación del sistema contra incendios e indicador de valor
adecuado de presión.
En caso de ser un contrato de alojamiento o colocación:
- Verificación que el contrato estipule los aspectos ambientales con que debe contar
el centro de cómputo. También pueden estar estipuladas mediante el TIER o el nivel del
centro de cómputo.
En caso de ser un contrato en la Nube:
- Verificación de documentación de políticas de aspectos ambientales del servicio
en la nube.
7.2.3.1 Análisis de información entregada y recolectada
La información recolectada se analizará y organiza por tema. De tal manera que se
pueda hacer el análisis contra las buenas prácticas
7.2.3.2 Análisis “GAP” de lo encontrado contra las buenas prácticas
La información analizada y organizada se confronta contra las mejores prácticas
de la industria. En este proceso se clasifica los distintos controles en: Inexistentes,
incompletos, inadecuados o adecuados, según sea el caso.
7.2.4 Creación de una Ruta de Trabajo para cerrar el “GAP”
Con el resultado de la información del análisis GAP se crea un documento de ruta de
trabajo con los siguientes componentes para cada una de las actividades:
- Responsable
- Tiempo estimado de ejecución y fecha de inicio
- Actividades macro
- Riesgo latente ante la falta del control
- Probabilidad estimada de materialización del riesgo
- Impacto o consecuencia de la materialización del riesgo
19
7.3 Gestión de riesgos de seguridad del centro de datos
El proceso inicia con una etapa de recolección de información, que incluye los procesos
y procedimientos y políticas respecto gestión de riesgos de seguridad del centro de
datos de la entidad distrital a evaluar y un conocimiento inicial de los lugares donde se
encuentran los centros de cómputo de dicha entidad. Esto centros de cómputo pueden
ser propios, contratados a un ente externo en la modalidad de alojamiento o colocación o
en la nube.
7.3.1 Entendimiento de los procesos, procedimientos y conocimiento del lugar
Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos
para entender la situación actual de la entidad. Para ello, se realizan las siguientes
actividades a fin identificar los riesgos en seguridad sobre los centros de datos.
7.3.1.1 Solicitud de procesos y procedimientos gestión de riesgos de seguridad sobre los
centros de datos
ADALID CORP. solicita a la entidad la información para la revisión de la información
suministrada sobre los procesos y procedimientos alineados con la gestión de riesgos
de seguridad del centro de datos:
Instalación segura de servidores
Segmentación de la red
Política de uso de los servicios de internet
Políticas de claves de servidores y dispositivos de red
Contratos de mantenimiento de los elementos activos del centro de cómputo
Registro de realización de los mantenimientos
7.3.1.2 Solicitud de diagrama de red
ADALID CORP. sugiere realizar la revisión del diagrama de red o esquema de
topología de red que contenga la descripción gráfica del centro de datos y detalles de
infraestructura tecnológica de la entidad.
7.3.1.3 Recopilación de buenas prácticas
Para identificar las buenas prácticas en seguridad de la información, ADALID CORP.
propone alinearse con lo establecido a nivel de riesgos de seguridad digital propuesta
en el documento: “DM Ámbito 4 - Gestión de riesgos de información”. Este documento se
encuentra acorde con metodologías como ISO 31000, MAGERIT, ISO/IEC 27005.
20
7.3.2 Verificación del estado actual
De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte
de los expertos para evidenciar el cumplimiento respecto a la metodología propuesta de
gestión de riesgos de seguridad digital propuesta por ADALID CORP.
7.3.2.1 Análisis de información entregada y recolectada
La información recolectada se analizará y organiza por tema. De tal manera que se
pueda hacer el análisis contra las buenas prácticas.
7.3.2.2 Análisis de tres servidores
Se incluirán en el análisis, las pruebas a tres (3) servidores definidos por la entidad.
En este análisis se debe incluir la identificación del sistema operativo del objetivo,
instalaciones por defecto de servicios y aplicativos, identificación de los puertos abiertos
en los objetivos (Protocolos TCP y UDP), identificación de los servicios que se están
ejecutando, pruebas de comprobación de contraseñas y protocolos de cifrado débiles,
identificación de vulnerabilidades del sistema operativo, búsqueda de información
sensible accesible por la red, como la existente en las carpetas compartidas, estado de
configuración, actualizaciones, parches.
7.3.2.3 Análisis de tres equipos de red
Se incluirán en el análisis las pruebas a equipos activos de red como: Routers, Switch y
Firewalls, Balanceadores, etc. Se analizarán tres (3) equipos en la entidad, a los cuales
se les deben realizar pruebas de comprobación de contraseñas y protocolos de cifrado
débiles, re-enrutamiento, reconocimiento de la red, y enumeración y explotación de Wi-
Fi, u otras que sean relevantes para el equipo de red.
Igualmente, durante las pruebas se realizar la comprobación de contraseñas por defecto
según el fabricante y verificación de la documentación de contraseñas.
7.3.2.4 Análisis de topología de red LAN
Durante esta fase, se realiza revisión de esquemas actuales de la topología de la red LAN
de la entidad, por medio de análisis de la información enviada por los responsables. Para
ello, se aplica las recomendaciones de seguridad o buenas prácticas de al menos:
- Segmentación de redes
- Definición e implementación de DMZs.
- Asilamiento de infraestructura crítica
- Seguridad perimetral
21

A nivel técnico, previamente autorizado por la entidad, ADALID CORP sugiere realizar
el escaneo y diagnóstico a la red por parte de los expertos con el uso controlado de
herramientas para tal fin, con ellos se logra evidenciar la realidad de la entidad.
7.3.3 Diagnóstico del estado actual conforme a mejores prácticas
La información recolectada se analizará y organiza por tema. De tal manera que se
pueda hacer el análisis contra las buenas prácticas.
7.3.3.1 Análisis “GAP” de lo encontrado contra las buenas prácticas
La información analizada y organizada se comprueba contra las mejores prácticas
de la industria. Como resultado, se clasifica los distintos controles en: Inexistentes,
incompletos, inadecuados o adecuados, según sea el caso.
7.3.4 Creación de una Ruta de Trabajo para cerrar el “GAP”
Con el resultado de la información del análisis GAP se crea un documento de ruta de
trabajo con los siguientes componentes para cada una de las actividades:
- Responsable
- Tiempo estimado de ejecución y fecha de inicio
- Actividades macro
- Riesgo latente ante la falta del control
- Probabilidad estimada de materialización del riesgo
- Impacto o consecuencia de la materialización del riesgo
7.4 Gestión de activos de información
La gestión de activos corresponde a la descripción y documentación de las actividades
claves para mantener una constante actualización de los activos de información en la
entidad, es decir, contiene los lineamientos que se debe tener en cuenta en la entidad
desde la identificación de un activo, su clasificación, hasta la eliminación o inactivación,
según sea el caso del activo en particular.
ADALID CORP. brinda las recomendaciones para que este proceso perdure en el
tiempo en la entidad, garantizando una mejora continua, en lo referente a los activos de
información.
22
!
7.4.1 Definición del contexto
Durante esta etapa, ADALID CORP. sugiere que la entidad inicie con la identificación
!
del alcance para la gestión de activos de información, así como las partes interesadas
involucradas en el proceso. Es importante que se tenga claridad en que proceso están
relacionados e incluidos en el alcance para avanzar con las etapas de identificación y
actualización del inventario de activos de información.
7.4.2 Identificación de los activos de información
ADALID CORP. ha definido y propuesto para aplicación en la entidad, un proceso
de gestión de riesgos en seguridad digital, este proceso contiene la identificación y
valoración de los activos de información, para ello, es importante que la entidad alinea
esta etapa con lo descrito en el documento: “DM Ámbito 4 - Gestión de riesgos de
información”, el cual tiene una descripción detallada del proceso de identificación del
activo.
Entre los campos identificados se tienen:
- Nombre de activo de información
- Ubicación
- Valoración en términos de confidencialidad, integridad y disponibilidad
- Responsable o propietario
- Custodio
- otros
En este proceso, se realiza las siguientes actividades complementarias:
- Solicitar la relación de los activos de TI en almacén, discriminados por equipos de
cómputo y licencias, en donde se especifique en qué equipo de cómputo se utiliza cada
licencia.
- Solicitar una muestra de contratos de adquisiciones de TI
- Solicitar el inventario de activos de TI al área de tecnología.
- Solicitar contratos de mantenimiento de CCTV, aires acondicionados, UPS’s,
servidores, y software.
23
 !
7.4.3 Definición de buenas prácticas en gestión de activos

Para el mantenimiento y mejora de la gestión de activos de información, es importante

! 7.4.4 Verificación de tres PC

Como prueba de concepto, ADALID CORP. realiza en la entidad la verificación de al

menos 3 PCs de usuario, para determinar la siguiente información y comprobar si existe
establecer un proceso de gestión que incluya la identificación, registro, descripción, en el inventario de activos vigente en la entidad:
evaluación de la criticidad en términos de seguridad de la información. Estas actividades Nombre de máquina
se requieren para mantener actualizado eficazmente el inventario de activos y Marca y modelo
las acciones para eliminar o inactivar los activos que así lo requieran. Esto como Software instalado
cumplimiento a los establecido en los controles administrativos del MSPI establecido por Software utilizado usualmente
MinTIC. Responsable
Custodio
!
!
ADALID CORP., sugiere que la entidad tenga en cuenta estrategias para garantizar un Ubicación
adecuado proceso de gestión de activos para revisión y actualización del inventario de Clasificación del activo
activos de información. Las actividades son:

a. Definir un control (ejemplo, política) de identificación de activos de información, Consulte la Herramienta Sistematizada para Gestión de Activos
donde se establezca el reporte y registro por cada líder o responsable de proceso en la Tenga en cuenta que la hoja de cálculo habilitada es para Macros de Microsoft Excel

8
herramienta de gestión de activos o en su defecto, envíe la información al encargado de
ingresar los nuevos activos de información.

b. Definir un control (ejemplo, política) que establezca que los líderes o responsables
de cada proceso deben mantener informado los nuevos activos de información, cambios PLANTILLAS DOCUMENTALES
en su ubicación, valoración, cualquier característica establecida o en su defecto solicitar
su eliminación o inactivación. Esta información debe enviarse con una periodicidad no
superior a tres meses, o cuando el líder así lo considere. DE APOYO
c. Definir e implementar una política de buen uso de los activos de información en la
entidad.

d. El líder o responsables de la herramienta de gestión de activos de la entidad debe A continuación, se presenta una descripción de cada una de plantillas provistas como
realizar una revisión junto con los procesos al menos una vez cada seis meses. anexos por ADALID y los archivos correspondientes para esta guía.
Tabla 5. Plantillas documentales de apoyo
e. La eliminación de los activos de información del inventario de activos debe ser
revisada y aprobada por el líder o responsable del proceso, y bajo la aplicación de Plantilla Nombre Descripción
controles que permitan almacenar la trazabilidad del activo desde su identificación hasta
su retiro. Política de uso aceptable de
Se plantea el modelo de política de uso aceptable de activos

1.
1.
los activos de información y su
devolución. de información, acorde con los diferentes aplicaciones
o sistemas de información, infraestructura o información
El detalle de la plantilla puede crítica que la entidad debe proteger y salvaguardar sobre
ver en el archivo: Política de las terceras partes.
uso aceptable de activos de
información.docx

24 25
 9
Plantilla Nombre Descripción

Tablas de retención
documental para activos de

2. GLOSARIO
En búsqueda de lograr la identificación y documentación de
información. activos de información digital, se propone un formato para
el registro en cumplimiento a la normatividad vigente, en lo
El detalle de la plantilla relacionado con las tablas de retención documental.
puede ver en el archivo:
Formato tablas de retención
documental.xlsx A continuación, algunos de los términos más importantes sobre el Documento
Metodológico del Ámbito 3 por orden alfabético.

Política para tratamiento de los

3.
siguientes tipos de activos. Se propone una política de tratamiento de activos de
información respecto a: Información física, Información
El detalle de la plantilla puede
ver en el archivo: Propuesta
digital, Software, Hardware, Servicios. ASHRAE: American Society of Heating, Refrigerating and Air-Conditioning Engineers
de tratamiento de activos de
información.docx

BICSI: Building Industry Consulting Service International

CCTV: Circuito cerrado de televisión

CENELEC: Comité Européen de Normalisation Electrotechnique

Centro de cómputo: Espacio donde se concentran los recursos necesarios

para el procesamiento de la información de una organización.

DMZ: Zona desmilitarizada

ICREA: International Computer Room Experts Association

TIA: Telecommunications Industry Association.

TIER: Sistema de clasificación del nivel de centros de cómputo.

UPS: Uninterruptible Power Supply. Sistema de alimentación ininterrumpida.

26 27
 BIBLIOGRAFÍA 10
BICSI. (2014). ANSI/BICSI 002-2014. Recuperado a partir de https://www.bicsi.org/docs/default-source/publications/
bicsi_002_esp_sample.pdf?sfvrsn=f4bce3b9_0

Congreso de la Republica. (2012). Ley estatutaria No. 1581 del 17 de Oct de 2012. Ministerio de comerico, industria y
turismo. https://doi.org/10.1017/CBO9781107415324.004

Congreso de la República de Colombia. (2014). Ley 1712 de transparencia y del derecho a la información pública nacional. 6
De Marzo De 2014. Recuperado a partir de https://www.alcaldiabogota.gov.co/sisjurMantenimiento/normas/Norma1.
jsp?i=60556

Icontec. (2015). NTC-ISO-IEC 27002:2015 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD.

CÓDIGO DE PRÁCTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACIÓN – Tienda ICONTEC. Bogotá.
Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-
tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2

Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto
de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Presidencia de la República de Colombia. (2015). Decreto 0103 de 2015. Recuperado a partir de http://wsp.presidencia.

gov.co/secretaria-transparencia/Prensa/2015/Documents/decreto_presidencial_103_del_20_de_enero_2015.pdf

28
 Elaborado por:
Documento Metodológico
Ámbito 3

Descubrimiento de Activos

32