Cómo desarrollar un inventario de activos para ISO 27001

Presentación del inventario de activos

Debe crear un inventario de los activos de información de su organización para:

• Construir una eficaz Sistema de Gestión de Seguridad de la Información (SGSI)
• Lograr Cumplimiento o certificación ISO 27001

Cuando hablamos de activos de información, encontramos que la mayoría de la gente piensa en cosas como computadoras portátiles y servidores. Pero hay muchos otros elementos que deberás considerar. Las personas, la propiedad intelectual e incluso los activos intangibles, como la marca de su organización, pueden caber en su Inventario de Activos.

Una vez que haya desarrollado su Inventario de Activos, el siguiente paso es realizar tres ejercicios:

• Filtración
• Priorización
• Categorización

Luego deberá asignar el riesgo a sus activos utilizando las categorías que acaba de identificar.

Desarrollar su inventario de activos puede parecer bastante complicado al principio. Pero si estás usando SGSI.online Realmente no necesitas conocer los entresijos antes de comenzar.

Si esta es tu primera ISO 27001 implementación, se beneficiará enormemente de nuestra función Virtual Coach. Esta serie de videos está disponible 24 horas al día, 7 días a la semana dentro de la plataforma. Él le guía a través de su certificación viaje, incluido el desarrollo de su inventario de activos.

¿Qué se debe incluir en un inventario de activos ISO 27001?

La versión 2013 del estándar de seguridad de la información introdujo un cambio distinto en el ISO 27001 requisitos que ahora esperan todos activos de información ser considerados más que simplemente activos físicos. Esto incluye cualquier cosa de valor para la organización donde se almacena, procesa y se accede a la información, pero es el información eso es de verdadero interés, menos aún la red o el dispositivo per se, aunque claramente siguen siendo activos y necesitan ser protegidos:

• Información (o datos)
• Intangibles: como propiedad intelectual, marca y reputación
• Personas: empleados, personal temporal, contratistas, voluntarios, etc.

y el fisico activos asociados con su procesamiento e infraestructura:

• Hardware: normalmente servidores de TI, equipos de red, estaciones de trabajo, dispositivos móviles, etc.
• Software: software comprado o personalizado
• Servicios – El actual servicio prestado a los usuarios finales (por ejemplo, sistemas de bases de datos, correo electrónico, etc.)
• Ubicaciones y edificios: sitios, edificios, oficinas, etc.

Cualquier tipo de activo se puede agrupar de forma lógica según una serie de factores como:

• Clasificación: p. ej. pública, interna, confidencial, etc.
• Tipo de información: por ejemplo, personal, confidencial, comercial, etc.
• Valor financiero o no financiero

Un auditor esperará ver un inventario, o inventarios, que cubra todos los activos relevantes dentro del alcance del SGSI. A cada activo se le debe asignar un propietario y a cada uno se le debe asignar una clasificación.

¿Quién debería ser el propietario de los activos y cuáles son sus responsabilidades según ISO 27001?

El propietario no es necesariamente el poseedor legal o físico del activo, sino la persona que tiene la responsabilidad y la autoridad correspondiente para garantizar que, como mínimo:

• • Los activos están inventariados;
  • Los activos están correctamente clasificados y protegidos;
  • Restricciones de acceso al activo y su clasificación se revisan periódicamente; y
  • Los activos se manejan correctamente cuando se eliminan o destruyen.

Responsabilidades diarias de gestión de activos (por ejemplo, actualizar los inventarios, realizar auditorías, etc.) se puede delegar, pero la responsabilidad final de garantizar la correcta La gestión permanece en el activo correspondiente. propietario.

Es el propietario del activo quien es responsable de establecer los requisitos de protección del activo, como la restricción de acceso, de acuerdo con las políticas y estándares de la organización.

¿Cómo se relaciona el inventario de activos ISO 27001:2013 con el RGPD?

Para cumplir con la Reglamento General de Protección de Datos (GDPR) una organización debe mantener un inventario de los sistemas que contienen y procesan información_identificable_personalmente”>información personal. También requiere que los riesgos que rodean a las personas datos son identificados, evaluados y tratados, por lo que siguiendo las ISO 27001:Enfoque 2013 sobre activos y evaluación de riesgos significa que puede abarcar y alinearse fácilmente para incorporar Los requisitos del RGPD también.

¿Debería utilizar una plantilla o herramienta para gestionar su inventario de activos?

Hay muchas plantillas de ejemplo para inventarios/registros de activos disponibles y siguen un enfoque de hoja de cálculo simple que es igual de fácil de crear usted mismo.

Sin embargo, una hoja de cálculo es un documento estático y, si bien son excelentes para modelos financieros y aspectos básicos, no son tan buenos para demostrar cómo se vincula el activo con los riesgos identificados, las políticas relevantes y controles, o el otro trabajo dinámico de un sistema de gestión de seguridad de la información.

Una buena herramienta tecnológica para inventarios de activos vendrá preconfigurado, con la opción de personalizarlo para adaptarlo a sus propias clasificaciones, le permitirá asignar propietarios, fechas de vencimiento y recordatorios y capturar toda la evidencia requerida en una ubicación segura.

Considere también una herramienta de gestión de seguridad de la información que le permita asignar valores a sus activos, ya que esto le ayudará a priorizar. evaluaciones de riesgo y comprender cualquier impacto potencial de incidentes, eventos o infracciones.

Finalmente, las mejores herramientas vendrán con la capacidad de vincular fácilmente el activo a los riesgos en su plan de tratamiento de riesgo, para usted ISMS controles, cadena de suministro y cualesquiera otras acciones en el ISMS que demuestren que sus bienes están bien protegidos.

De hecho, en SGSI.online, el uso de este mismo enlace poderoso lo llevará en un viaje simple desde el activo de información hasta el riesgo y el controles necesarios en el tratamiento del riesgo y luego, dinámicamente desde el control hasta la actualización del Declaración de aplicabilidad con la justificación de su ejecución. Realmente es así de simple con SGSI.online.

Por lo tanto, crear su propia hoja de cálculo de activos puede no tener ningún costo percibido, pero sí tendrá el desafío de una gestión y coordinación mucho mayor con las otras partes del sistema. ISMS, especialmente si su objetivo es ISO 27001 título o certificación. O puede adoptar una visión a más largo plazo e invertir en una herramienta de gestión de activos especializada. Pero suelen ser complejos y llenos de detalles. La gestión de activos de información bien podría convertirse en un trabajo de tiempo completo por derecho propio. Y aún necesitarás vincular tu herramienta con el resto de tu SGSI.

En lugar de recurrir a una hoja de cálculo o una herramienta especializada independiente, recomendamos buscar una plataforma ISMS que incluya su propia herramienta de inventario de activos. Debería:

• Viene preconfigurado, pero es fácil de personalizar con sus propias clasificaciones.
• Le permite asignar propietarios de activos y fechas de vencimiento y recordatorios de gestión de activos.
• Capture dinámicamente evidencia para auditorías internas y externas en una ubicación segura

También debería permitirle asignar valores a sus activos. Eso le ayudará a priorizar las evaluaciones de riesgos y evaluar el impacto potencial de cualquier incidentes de seguridad, eventos o incumplimientos. Y debería poder conectarse a su tratamiento de riesgos plan y más allá.

Ese es el tipo de enlace que ISMS.online le permite hacer. Puede pasar de un activo de información a un riesgo que enfrenta y al control que trata ese riesgo. Luego puedes saltar de ese control a tu Declaración de aplicabilidad, actualizándolo con la justificación de su implementación.

Es realmente así de simple.