Procedimiento Inventario de activos Generalitat Valenciana

PROCEDIMIENTO. INVENTARIO DE ACTIVOS

INTRODUCCIN: Para la realizacin del inventario de activos nos apoyamos en los procedimientos descritos en MAGERIT, versin 2. Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informticas (software) que permiten manejar los datos. Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de informacin que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informtico. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. Los pasos a realizar para la realizacin del inventario de activos sern: Identificacin de activos dentro de los grupos definidos Relaciones de dependencia Valoracin

FASE 1: IDENTIFICACIN DE ACTIVOS. Por cada activo obtendremos la siguiente tabla: [X] Tipo de Activo Cdigo: XXX Propietario: XXXXXXXXXXX Responsable: XXXXXXXXXx Otros datos relevantes del activo: Donde: Nombre: XXXXX Descripcin: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx

Tipo de Activo: o [S] Servicios o [D] Datos / Informacin o [SW] Aplicaciones (software) o [HW] Equipos informticos (hardware) o [COM] Redes de comunicaciones o [SI] Soportes de informacin o [AUX] Equipamiento auxiliar o [L] Instalaciones o [P] Personal Para la descripcin y codificacin de activos y tipos de activos se seguir el Catlogo de Elementos de Magerit-versin 2 (Pg. 5-10)
Ref.: inventario de activos.doc OID: NO ASIGNADO Versin: 1.1 Pg. 1 de 3

Cif.: USO INTERNO Est.: Aprobado Grupo Seguridad

Procedimiento Inventario de activos Generalitat Valenciana

FASE 2: RELACIONES DE DEPENDENCIAS Los activos ms llamativos suelen ser los datos y los servicios; pero estos activos dependen de otros activos ms prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente olvidadas personas que trabajan con aquellos. Por ello aparece como importante el concepto de dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente de seguridad en un activo inferior. Se dice que un activo superior depende de otro activo inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materializacin de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores. En la tabla de cada activo aadiremos una fila por cada activo dependiente [hijos] y clasificaremos el grado de dependencia como: Bajo, Medio y Alto

Nombre Activo [padre] Dependencias de activos inferiores [hijos] Activo hijo1 Activo hijo2 .. Activo hijoN FASE 3: VALORACIN: Dos formatos: 1. Por cada activo aadir los siguientes campos a la tabla: Valoracin Dimensin [X] [X] [X] 2. Tabla de activos / Dimensiones de Valoracin: (formato seguida en la herramienta Pilar) Activos Activo1 Activo2 . ActivoN Donde:
ValorN-D ValorN-I ValorN-C ValorN-A_S ValorN-A_D ValorN-T_S ValorN-T_D

Grado de Dependencia

Valor

justificacin

[D]
Valor1-D Valor2-D

[I]
Valor1-I Valor2-I

[C]
Valor1-C Valor2-C

[A_S]
Valor1-A_S Valor2-A_S

[A_D]
Valor1-A_D Valor2-A_D

[T_S]
Valor1-T_S Valor2-T_S

[T_D]
Valor1-T_D Valor2-T_D

Dimensin: o [D] disponibilidad o [I] integridad de los datos o [C] confidencialidad de los datos
Ref.: inventario de activos.doc OID: NO ASIGNADO Versin: 1.1 Pg. 2 de 3

Cif.: USO INTERNO Est.: Aprobado Grupo Seguridad

Procedimiento Inventario de activos Generalitat Valenciana

o [A_S] autenticidad de los usuarios del servicio o [A_D] autenticidad del origen de los datos o [T_S] trazabilidad del servicio o [T_D] trazabilidad de los datos La descripcin y codificacin del campo Dimensiones de valoracin se seguir el Catlogo de Elementos de Magerit-versin 2 (Pg. 15-17) Valor: valor 10 7-9 4-6 1-3 0 Muy alto Alto Medio Bajo despreciable criterio Dao muy grave a la organizacin Dao grave a la organizacin Dao importante a la organizacin Dao menor a la organizacin Irrelevante a efectos prcticos

Esta tabla de Criterios de valoracin con mayor informacin se encuentra en el Catlogo de Elementos de Magerit versin 2 (Pg. 19-23)

Cif.: USO INTERNO Est.: Aprobado Grupo Seguridad

Ref.: inventario de activos.doc OID: NO ASIGNADO

Versin: 1.1 Pg. 3 de 3