El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio

Citando la norma:

Objetivo 1:
Responsabilidad de los activos

Identificar los activos y definir las responsabilidades de protección adecuadas

Controles:

  • 8.1.1 Inventario de activos
  • 8.1.2 Propiedad de los activos
  • 8.1.3 Uso aceptable de los activos
  • 8.1.4 Devolución de activos

Objetivo 2:
Clasificación de la información

Asegurar que la información recibe el nivel de protección adecuado de acuerdo con su importancia en la organización.

Controles:

  • 8.2.1 Clasificación de la información
  • 8.2.2 Etiquetado de la información
  • 8.2.3 Manejo de los activos

Objetivo 3:
Manejo de los Soportes

  • 8.3.1 Gestión de Soportes extraíbles
  • 8.3.2 Eliminación de Soportes
  • 8.3.3 Traslado de soportes físicos

8.1 Responsabilidad de los activos

EL objetivo de este punto es la identificación de los activos de información y las responsabilidades sobre los mismos, con el objetivo de evaluar las medidas de protección adecuadas para cada activo en base a una evaluación de riesgos

Los controles para este objetivo son los siguientes:

8.1.1 Inventario de activos

Se trata de realizar un inventario de activos que nos permita.

  • Identificar los activos de información que dan soporte al negocio
  • Clasificar los activos por su importancia
  • Clasificar los activos por el tipo de activo o información
  • Identificar al propietario del activo

El inventario de activos debe además

Aquí podemos ver información detallada de cómo realizar un inventario de activos de la información

8.1.2 Propiedad de los activos

Como hemos visto el inventario de activos debe identificar al propietario del activo

Para asignar al propietario de un activo debemos preguntarnos solamente quien crea, gestiona su transferencia, almacenamiento o destrucción del activo, En definitiva, el que gestiona el activo debe ser asignado como propietario

El propietario del activo en ningún caso es el dueño del activo sino el que tiene una serie de responsabilidades sobre el activo, las cuales enumeramos:

Citando la norma:
Obligaciones del propietario de un activo de información

  • Asegurar que los activos son inventariados
  • Asegurar que los activos son clasificados y protegidos adecuadamente;
  • Definir y revisar periódicamente las restricciones de acceso y las clasificaciones de activos importantes, teniendo en cuenta las políticas aplicables de control de acceso;
  • Garantizar el manejo adecuado cuando el activo es eliminado o destruido.

¿Quién puede ser el propietario de un activo de información?

El propietario de un activo de información puede ser un individuo o una entidad que a la que la dirección ha asignado la responsabilidad de gestionar el activo en su ciclo de vida completo.

8.1.3 Uso aceptable de los activos

El uso aceptable de los activos consiste en un proceso de:

  • Documentar el uso apropiado de la información describiendo los requisitos de seguridad de la información de los activos, instalaciones etc.
  • Comunicar a los empleados afectados para evitar el uso indebido.

CASO PRACTICO:

El uso aceptable de activos podría incluir medidas relacionadas con la difamación, el acoso, la suplantación de identidad, las cadenas de cartas (especialmente el ransomware) y las compras no autorizadas etc.

8.1.4 Devolución de activos

Control para que todos los empleados, contratistas etc. devuelvan los activos de información una vez finalizado el periodo de su utilización, contrato o acuerdo.

Requisitos para implementar este control:

  • Formalizar el proceso de finalización de uso incluyendo la cláusula de devolución de activos físicos y/o electrónicos
  • Establecer procedimientos transferencia y borrado de información de forma segura en el caso que sea pertinente (Uso de equipos propios, transferencia y devolución de equipos etc.)

Una buena recomendación. No se olvide nunca de:

  • Controlar la copia no autorizada de información desde el periodo de aviso de finalización hasta que se materializa la devolución y borrado de datos

8.2 Clasificación de la información

8.2.1 Clasificación de la información

La información debería clasificarse según:

  • Su valor para la organización
  • Los requisitos legales (Datos personales, Sensibles etc.)
  • Nivel de Protección necesario: Su criticidad y sensibilidad en cuando a su divulgación o modificación no autorizada o accidental.

Como hemos visto antes el responsable de la clasificación de la información es el responsable del activo

Algunas cosas a tener en cuenta

  • El esquema de clasificación debe ser uniforme para toda la empresa
  • El esquema de clasificación debe alinearse con la política de control de acceso
  • El nivel de protección debe ser evaluado según los criterios de confidencialidad, integridad y disponibilidad
  • La clasificación del activo debe revisarse periódicamente y mantenerse actualizada

Otras consideraciones

Podríamos agrupar tipos de activos o información con requisitos de protección similares de forma que no tengamos que realizar una especificación de procedimientos de seguridad de la información caso a caso sino para un grupo de activos de información similares

La norma nos proporciona un ejemplo para la clasificación de la criticidad de la información en relación a la confidencialidad

  • Nivel 0 la divulgación no causa ningún daño
  • Nivel 1 la divulgación causa menor incomodidad o inconveniencia operativa menor;
  • Nivel 2 la divulgación tiene un impacto significativo a corto plazo en las operaciones o los objetivos tácticos;
  • Nivel 3 la divulgación tiene un grave impacto en los objetivos estratégicos a largo plazo o pone en riesgo la supervivencia de la organización.

8.2.2 Etiquetado de la información

La información debería ser etiquetada de acuerdo al esquema de clasificación que hayamos definido en el apartado anterior

PROCESO O PROCEDIMIENTO DE ETIQUETADO

El proceso de etiquetado puede tener excepciones (Activos que no necesiten etiquetado. Por ejemplo, podemos evitar tener que poner la etiqueta: “Información no confidencial”), algo que tiene que estar especificado en un procedimiento de etiquetado.

Los activos de los sistemas que contienen información clasificada como sensible o crítica deberían llevar una etiqueta adecuada de clasificación.

El etiquetado de la información clasificada es un requisito clave para acuerdos que impliquen compartir información.

Los requisitos son:

  • El etiquetado afecta a la información y sus activos relacionados en formato físico y electrónico.
  • Debe realizarse según el esquema de clasificación definido en el punto anterior
  • Las etiquetas deben reconocerse fácilmente

El etiquetado de la información puede realizarse de forma física o por medio de metadatos.

Tenga en cuenta que el etiquetado de los activos puede ser un reclamo para el robo de información

8.2.3 Manejo de los activos

Este control exige el desarrollo de procedimientos de manejo de activos que tengan en cuenta la clasificación de los activos de información (8.2.1)

Se trata de procedimientos que para:

  • el manejo de los activos
  • su procesamiento
  • el almacenamiento y
  • como se debe comunicar de la información

Elementos a tener en cuenta a la hora de definir estos procedimientos

  • Considerar las restricciones de acceso derivadas de su nivel de clasificación
  • Crear y mantener un registro de autorizaciones de uso o acceso a los activos
  • Procedimientos de copias de seguridad para la protección de los activos
  • Los procedimientos de almacenamiento de acuerdo las especificaciones del fabricante
  • Borrar el marcado de todas las copias en los soportes para la atención del destinatario autorizado

INTERCAMBIOS DE INFORMACION

El etiquetado de los activos y de la información no tiene por qué coincidir de una organización a otra por lo que en los procesos de manejo de activos en caso de intercambios de información deberíamos incluir la información sobre la clasificación de la información para interpretar las etiquetas de clasificación de otras organizaciones.

8.3 Manipulación de Soportes

Se trata de proteger la información en el nivel de soportes en los que se encuentra ya sea papel o soportes electrónicos

8.3.1 Gestión de Soportes extraíbles

Los soportes extraíbles pueden suponer una brecha importante en la seguridad de la información por lo que la norma propone un control específico para este tipo de soportes

Para gestionar los soportes extraíbles debemos considerar:

  • La necesidad de su uso
  • los soportes reutilizables que deberían retirarse de la organización y hacerse irrecuperables
  • Cuando sea practico debemos requerir autorización para su uso
  • Mantener un registro de altas y bajas
  • Considerar especificaciones de almacenamiento según especificaciones del fabricante
  • Encriptar datos para proteger aquellos que se consideren importantes
  • Renovar dispositivos con un periodo determinado para evitar la degradación de datos necesarios e importantes
  • Proteger la información almacenada con copias de seguridad en soportes independientes
  • Crear un registro de soportes extraíbles para limitar la posibilidad de pérdida de datos
  • Controlar la transferencia de información hacia medios extraíbles
  • Documentar los procedimientos de autorización

8.3.2 Eliminación de Soportes

Control:

Establecer procedimientos para la eliminación segura de soportes a la finalización de su uso

Se trata de minimizar o evitar que los datos sensibles o confidenciales puedan ser recuperados una vez que el dispositivo se da de baja mediante procedimientos de eliminación segura

Los requisitos son

  • Establecer un proceso de eliminación segura de datos que no permita su recuperación
  • Identificar que dispositivos requieren de un proceso de eliminación segura
  • Controlar la utilización de empresas externas para la realización de tareas de eliminación segura estableciendo algún tipo de control
  • Mantener un registro dispositivos que han sido dados de baja de forma segura por contener información sensible

8.3.3 Traslado de soportes físicos

Se trata de establecer un control para proteger la información cuando los soportes necesitan ser trasladados entre distintas ubicaciones. Para ello deberemos establecer un control sobre

  • El registro de salida de los soportes para su cotejamiento con el transportista y el lugar de destino de mismo incluyendo un control de tiempos de transporte
  • Control de transportistas (Utilizar transportistas de confianza)
  • Mantener una lista de transportistas autorizados
  • Controlar la identificación del transportista o mensajero
  • Establecer un procedimiento de cifrado cuando sea necesario y posible
  • Controlar los embalajes y las condiciones ambientales (Humedad, temperatura, polvo etc.) con las especificaciones del fabricante.