ISO 27001 – Anexo A.8: Gestión de Activos

¿Cuál es el objetivo del Anexo A.8.1?

El Anexo A.8.1 trata sobre la responsabilidad por los activos. El objetivo de este Anexo es identificar los activos de información dentro del alcance del sistema de gestión y definir las responsabilidades de protección adecuadas.

Es una parte importante del sistema de gestión de seguridad de la información (SGSI), especialmente si desea obtener la certificación ISO 27001.

A.8.1.1 Inventario de Activos

Todos los activos asociados con la información y las instalaciones de procesamiento de información deben identificarse y gestionarse durante todo el ciclo de vida, siempre actualizados.

Se debe elaborar un registro o inventario de esos activos que muestre cómo se gestionan y controlan, en función de su importancia (que también encaja perfectamente en la clasificación de la información que aparece a continuación). Este ciclo de vida de la información generalmente incluye las etapas de creación, procesamiento, almacenamiento, transmisión, eliminación y destrucción.

A.8.1.2 Propiedad de los activos

Todos los activos de información deben tener propietarios. La propiedad de la gestión de activos también puede ser diferente de la propiedad legal y puede realizarse a nivel individual, departamento u otra entidad. La propiedad debe asignarse cuando se crean los activos.

El propietario del activo es responsable de la gestión eficaz del activo durante todo su ciclo de vida. También pueden delegar la gestión de eso y la propiedad puede cambiar durante ese ciclo de vida siempre que ambos estén documentados.

A.8.1.3 Uso Aceptable de los Activos

Es importante hacer un uso correcto de la información y de los activos. Las reglas para el uso aceptable de los activos a menudo se documentan en una "Política de Uso Aceptable". Las reglas para el uso aceptable deben tener en cuenta a los empleados, el personal temporal, los contratistas y otros terceros, cuando corresponda, en todos los activos de información a los que tienen acceso.

Es importante que todas las partes relevantes tengan acceso al conjunto de reglas de uso aceptable documentadas y estas se refuerzan durante la capacitación periódica y la concientización sobre la seguridad de la información y las actividades relacionadas con el cumplimiento.

A.8.1.4 Devolución de Activos

Se espera que todos los empleados y usuarios externos devuelvan todos los activos organizativos y de información al finalizar su empleo, contrato o acuerdo. Como tal, debe ser una obligación para los empleados y usuarios externos devolver todos los activos y estas obligaciones se esperarían en los acuerdos pertinentes con el personal, los contratistas y otros.

También se requiere un proceso sólido y documentado para garantizar que la devolución de activos se gestione adecuadamente y pueda evidenciarse para cada persona o proveedor que pasa por él; esto se alinea con los controles de salida en el Anexo 7 para Seguridad de Recursos Humanos y el Anexo 13.2.4. para acuerdos de confidencialidad, y el Anexo A.15 para la actividad de proveedores.

Cuando los activos no se devuelvan según el proceso, a menos que se acuerde y documente lo contrario como parte del proceso de salida, la no devolución debe registrarse como un incidente de seguridad y debe realizarse un seguimiento de acuerdo con el Anexo A.16. El procedimiento de devolución de activos nunca es infalible y esto también subraya la necesidad de realizar auditorías periódicas de los activos para garantizar su protección continua.

¿Cuál es el objetivo del Anexo A.8.2?

El anexo A.8.2 trata sobre la clasificación de la información. El objetivo de este Anexo es garantizar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización (y las partes interesadas, como los clientes).

A.8.2.1 Clasificación de la información

La información debe clasificarse en términos de requisitos legales, valor, criticidad y sensibilidad a cualquier divulgación o modificación no autorizada, idealmente clasificada para reflejar la actividad comercial en lugar de inhibirla o complicarla. Por ejemplo, la información puesta a disposición del público, por ejemplo en un sitio web, podría simplemente marcarse como "pública", mientras que la confidencialidad o la confidencialidad comercial son obvias porque la información es más sensible que pública.

La clasificación de la información es uno de los controles clave utilizados para garantizar que los activos estén protegidos de manera adecuada y proporcional. Muchas organizaciones cuentan con 3-4 opciones de clasificación para permitir una gestión eficaz de la información teniendo en cuenta su valor e importancia. Sin embargo, puede ser tan simple o tan complejo como sea necesario para garantizar el nivel correcto de granularidad para la protección de los activos.

Recuerde que si lo mantiene realmente simple y tiene muy pocas clasificaciones, eso podría significar que está por encima o por debajo de los controles de ingeniería. Es probable que demasiadas opciones de clasificación confundan a los usuarios finales sobre cuál adoptar y creen una sobrecarga adicional en el esquema de gestión. Como ocurre con todos los controles, este debe revisarse periódicamente para garantizar su idoneidad para su propósito.

A.8.2.2 Etiquetado de la información

Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado de información de acuerdo con el esquema de clasificación de información adoptado por la organización. Los procedimientos para el etiquetado de la información deberán cubrir la información y los activos relacionados tanto en formato físico como electrónico. Este etiquetado debe reflejar el esquema de clasificación establecido en 8.2.1.

Las etiquetas deben ser fácilmente reconocibles y fáciles de gestionar en la práctica, de lo contrario no serán seguidas. Por ejemplo, podría ser más fácil decidir de facto que todo es confidencial en los sistemas digitales a menos que se indique expresamente lo contrario, en lugar de hacer que el personal etiquete cada actualización de CRM con una declaración comercial de confidencialidad.

Sea claro sobre dónde se realiza este etiquetado de facto y documéntelo en su política, luego recuerde incluirlo en la capacitación del personal.

A.8.2.3 Manejo de Activos

Es necesario desarrollar e implementar procedimientos para el manejo de activos de acuerdo con el esquema de clasificación de la información. Se debe considerar lo siguiente; Restricciones de acceso para cada nivel de clasificación; Mantenimiento de un registro formal de los destinatarios autorizados de activos; Almacenamiento de activos TI de acuerdo con las especificaciones de los fabricantes, marcado de medios para autorizados.

Si la organización maneja activos de información para clientes, proveedores y otros, es importante demostrar una política de mapeo, por ejemplo, clasificación del cliente de mapas oficiales sensibles a nuestra organización de carácter comercial confidencial, o que la clasificación adicional se trataría de otras maneras para demostrar que está siendo protegido.

¿Cuál es el objetivo del Anexo A.8.3?

El anexo A.8.3 trata sobre el manejo de medios. El objetivo de este Anexo es evitar la divulgación, modificación, eliminación o destrucción no autorizada de la información almacenada en los soportes.

A.8.3.1 Gestión de medios extraíbles

Se deben establecer procedimientos para la gestión de soportes extraíbles de acuerdo con el esquema de clasificación. Se deben evaluar los riesgos del uso general de medios removibles y puede que también sea necesario llevar a cabo evaluaciones de riesgos para usos específicos más allá de eso. Los medios extraíbles solo deben permitirse si existe un motivo comercial justificado.

Si ya no es necesario, el contenido de cualquier medio reutilizable debe hacerse irrecuperable y destruirse o borrarse de forma segura. Todos los medios deben almacenarse en un entorno seguro, de acuerdo con las especificaciones de los fabricantes y las técnicas adicionales como la criptografía consideradas cuando corresponda (es decir, como parte de la evaluación de riesgos).

Cuando sea necesario y práctico, se debe exigir autorización para los medios retirados de la organización y se debe mantener un registro para mantener un registro de auditoría.

A.8.3.2 Eliminación de medios

Cuando los medios ya no sean necesarios, deben eliminarse de forma segura siguiendo procedimientos documentados. Estos procedimientos minimizan el riesgo de fuga de información confidencial a partes no autorizadas.

Los procedimientos deben ser proporcionales a la sensibilidad de la información que se elimina. Las cosas que deben considerarse incluyen; si los medios contienen o no información confidencial; y disponer de procedimientos que ayuden a identificar los elementos que podrían hacerlo. requieren una eliminación segura.

A.8.3.3 Transferencia de medios físicos

Cualquier medio que contenga información debe protegerse contra el acceso no autorizado, el mal uso o la corrupción durante el transporte (a menos que ya esté disponible públicamente).

Se debe considerar lo siguiente para proteger los medios durante su transporte; Se deben utilizar transportes o mensajeros confiables; tal vez se debería acordar con la gerencia una lista de mensajeros autorizados; El embalaje debería ser suficiente para proteger el contenido de cualquier daño físico durante el transporte; y Se deben mantener registros que identifiquen el contenido de los medios y la protección aplicada.

También cabe señalar que cuando la información confidencial contenida en los medios no está cifrada, se debe considerar una protección física adicional de los medios.