1

DOCUMENTO DE AYUDA PARA GESTIONAR EL FORMATO DE INVENTARIO DE ACTIVOS DE

INFORMACION

CONTENIDO

1 INTRODUCCION .............................................................................................. 2

2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION ....... ....................... 2

3 OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE INFO RMACION 3

4 EXPLICACION DE CAMPOS PARA DILIGENCIAIR EL FORMATO DE CLASIFICACION DE ACTIVOS DE INFORMACION ........... .................................. 3

2

1 INTRODUCCION El siguiente documento de ayuda se desarrolla para facilitar el diligenciamiento del formato en Excel llamado “SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0” para la identificación de los activos de información de la entidad. El formato en Excel puede ser adaptado en su forma según la entidad lo requiera a sus necesidades y modelos de documentación propias de cada entidad. Se recomienda que antes de gestionar el formato de identificación de activos sea leído el documento en formato pdf “SeguridaddelaInformación2 0_Anexo7_Clasificacion de Activos.pdf” del modelo de seguridad de la información. Las definiciones y enunciados en esta guía son tomados del documento “SeguridaddelaInformación2 0_Anexo7_Clasificacion de Activos.pdf” del modelo de seguridad de la información de GEL 3.1 y de la norma ISO 27000.

2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION Un activo de información es todo activo que contiene información que posee un valor y es necesario para los servicios de Gobierno en Línea. La clasificación de los activos de información es una actividad que se debe realizar como acción importante para la gestión de riesgos de los activos de información. La propiedad de los activos se debería acordar y documentar así como la clasificación de la información para cada uno de los activos. Con base en la importancia del activo, su valor para el negocio y su clasificación de seguridad se recomienda identificar los niveles de protección. Pueden existir activos que no tengan clasificación de seguridad pero pueden tener valor en términos del tiempo, costo o esfuerzo en reemplazarla si se pierde o se altera. La clasificación de los activos de información se realiza de acuerdo a los procesos de la entidad y con el propietario de cada activo de información y con los líderes de cada proceso. El inventario de activos de información puede ser revisado en cualquier momento y los activos pueden ser incluidos, revisados o retirados según aprobación del líder del proceso y propietario del activo.

3

3 OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE IN FORMACION Identificar en los procesos de la entidad los activos de información que son críticos en cuanto a su clasificación de la información y a sus criterios de confidencialidad, integridad y disponibilidad para que puedan establecerse medios de protección y control.

4 EXPLICACION DE CAMPOS PARA GESTIONAR EL FORMATO D E CLASIFICACION DE ACTIVOS DE INFORMACION

Para la identificación del inventario de activos de información, se utiliza el formato en Excel “SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0”. Cada uno de los activos de información se debe escribir en una fila dentro del formato. Los activos de información no se agrupan ni por filas, ni por columnas. A continuación se presenta una tabla con ejemplos y a después se presenta la descripción de los campos del formato. La Tabla 1 Ejemplos, contiene 3 ejemplos para gestionar el formato y en la descripción del campo se hará referencia a ellos como Ejemplo 1, Ejemplo 2 y Ejemplo 3. El primer ejemplo es de un servidor que contiene la información del Proceso de Nómina, el segundo de una base de datos que contiene la información de Nómina, y el tercer ejemplo un Software de un Sistema Financiero.

4

Tabla 1. Ejemplos

Descripción de los campos. -TIPO DE ACTIVO: se escribe el tipo de activo de acuerdo a la clasificación. Los activos de información se clasifican en las siguientes categorías: -ACTIVOS DE LA INFORMACION -ACTIVOS DE SOFTWARE -ACTIVOS FISICO -SERVICIOS -PERSONAS -INTANGIBLES

EJEMPLO 1 EJEMPLO 2 EJEMPLO 3De un servidor que

contiene la información

del Proceso de Nómina

De una base de datos

que contiene la

información de Nómina

De un Sistema de

Gestión Financiero

Activo Físico Activo de la

Información

Activo de Software

Servidor Base de Datos Aplicación

SERVALCTUN001 HP

G8 Proliant Serie

123456

BDNOMINA.MDF SISFIN - Sistema

Financiero

Área de Sistemas- Sala

de Servidores

SERVALCTUN001 SERVALCTUN002

C:/sqlserver/database/

bdnomina.mdf

C:/SISFIN

Proceso de Gestión

Humana

Proceso de Gestión

Humana

Proceso de Finanzas

Gerente Gestión

Humana - Pedro Pérez

Gerente Gestión

Humana - Pedro Pérez

Gerente Financiero -

Carlos Cardenas

Gerente TI - Carlos

Castro

Administrador de Base

de Datos – Jaime

Arias.

Administrador de

Infraestructura -

Fernando Perez

Sistema de Nómina Sistema de Nómina SISFIN - Sistema

Financiero

PUBLICABLE PUBLICA NO CLASIFICADA

Afectar la imagen de la entidad

TOP SECRET Dañar los intereses nacionales de manera grave

SECRETA Dañar los intereses nacionales de manera seria.

CONFIDENCIAL Dañar los intereses nacionales de manera significativa.

X X

RESTRINGIDA Dañar los intereses nacionales de manera adversa.

X

Dañar los intereses del Estado Poner en peligro la seguridad de los ciudadanos.

Perjudicar el mantenimiento de la ley y el orden Impedir la conducta efectiva del Gobierno Afectar adversamente la privacidad de sus ciudadanos.

Área de Gestión

Humana

Área de Gestión

Humana

Área Financiera

ALTO ALTO MEDIO

MUY ALTO MUY ALTO MUY ALTO

MEDIO MEDIO MUY ALTO

ALTO ALTO ALTO

EJEMPLOSSituación

AREAS ASOCIADAS

CRITICIDAD CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

TOTAL

PROCESO

PROPIETARIO DEL ACTIVO

CUSTODIO

SISTEMA DE INFORMACION RELACIONADO

CLASIFICACION DE LA INFORMACION

NO PUBLICABLE

INFORMACION PERSONAL SEMIPRIVADA

SENSITIVA

EN CONFIANZA

TIPO DE ACTIVO

INFORMACIONNOMBRE DE ACTIVO

UBICACIÓN FISICO

ELECTRONICO

5

Ejemplo1: Activo Físico. Ejemplo2: Activo de la Información. Ejemplo3: Activo de Software. En la Tabla 2 Tipo de Activo, se detalla el tipo de activo y la información que contiene el activo de información, o la clase de activo que es el activo de información.

Tabla 2. Tipo de Activo TIPO DE ACTIVO INFORMACION

ACTIVO DE LA INFORMACION

Información Digital: Bases de datos, Copias de Backups de Información. Activos Tangibles: Correo, Fax, Llaves, Libros, información escrita, información impresa, guías, procedimientos, políticas, OLA´s, SLA´s, Manuales de usuario, procedimientos operativos o de soporte, planes de formación, planes de continuidad del negocio y/o contingencia, Configuración del soporte de recuperación, Información archivada Activos Intangibles: Patentes, Conocimiento, Relaciones, claves de seguridad, patentes, conocimientos técnicos.

ACTIVOS DE SOFTWARE

-De Aplicaciones: Desarrolladas por la entidad o licenciadas, de planificación de recursos empresariales (ERP), de gestión de la información (MIS), de inteligencia de negocios, de relacionamiento con el cliente (CRM) o con el proveedor (SCM). -De Sistemas Operativos: Para los servidores, computadores, equipos de red, equipos de mano, celulares, tabletas. -De Herramientas y programas de desarrollo: Utilidades y herramientas para la administración de bases de datos, software ofimática, middleware, comercio electrónico, aplicaciones de utilidad para la administración y control de TI

ACTIVOS FISICO Infraestructura de TI: Edificios, centros de datos, salas de equipos de comunicación y servidores, gabinetes para cableado, oficinas, archivadores, cajas de seguridad, dispositivos de identificación y autentificación, control acceso (tarjetas, otros), dispositivos de seguridad, circuito cerrado de televisión. Hardware de TI: Equipos de cómputo de mesa y portátiles, equipos de red, equipos de comunicaciones, servidores, mainframes, switches, routers, líneas de red, impresoras, fotocopiadoras, faxes, equipos multifunción, medios removibles, discos duros, memorias USB, DVD´s y CD, cintas de backup. Control del entorno de TI: Equipos de detección y control de incendios, sistemas de alimentación ininterrumpida (UPS), generadores de energía, equipos de administración de redes, sistema de aire acondicionados, supresores de potencia, control de humedad, alarmas de aire, alarmas de agua.

6

-INFORMACION: describir la información el cual contiene el activo de información, o la clase de activo que es el activo de información. Se toma como referencia la Tabla 2 en el contenido de la columna INFORMACION del Tipo de Activo. Ejemplo1: Servidor. Ejemplo2: Base de Datos. Ejemplo3: Aplicación -NOMBRE DE ACTIVO : se escribe una identificación que caracteriza de forma única al activo. Se escribe el nombre de la base de datos, la identificación del equipo, el nombre del equipo, el nombre del manual impreso o cualquier otra descripción estructurada para su clara identificación Ejemplo1: SERVALCTUN001 HP G8 Proliant Serie 123456 Ejemplo2: BDNOMINA.MDF Ejemplo 3: SISFIN - Sistema Financiero -UBICACIÓN / FISICO : El nombre de la ubicación física en donde está el activo de información. Si es un activo de información con información en medio electrónico se escribe el activo de información que contiene la información electrónica. Ejemplo1: Área de Sistemas- Sala de Servidores. Ejemplo2: SERALCTUN001 Ejemplo3: SERVALCTUN002

SERVICIOS Servicios de autenticación de usuario, cortafuegos, servidores proxy, servicios de red, servicios inalámbricos, anti-spam, anti-virus, anti-spyware, detección y prevención de intrusos, FTP, correo electrónico y mensajería instantánea, servicios web, contratos de soporte y mantenimiento de software.

PERSONAS Empleados: Personal de gestión, directivos, arquitectos de software, desarrolladores, administradores de redes, administradores de seguridad, operadores. Externos: Trabajadores temporales, consultores externos, contratistas, proveedores y socios

INTANGIBLES Reputación Imagen Corporativa

7

-UBICACIÓN / ELECTRONICA : Ubicación en el activo de información en donde reside la información electrónica. Ejemplo1: Vacío Ejemplo2: C:/sqlserver/database/bdnomina.mdf Ejemplo3: C:/SISFIN/ -PROCESO: Proceso de la entidad relacionado al activo de la información. Ejemplo1: Proceso de Gestión Humana Ejemplo2: Proceso de Gestión Humana. Ejemplo3: Proceso de Finanzas -PROPIETARIO: Es la persona responsable de la información del activo y quien define el nivel y acciones para la confidencialidad, integridad y disponibilidad. Escribir el nombre y cargo del propietario. Ejemplo1: Gerente Gestión Humana - Pedro Pérez. Ejemplo2: Gerente Gestión Humana - Pedro Pérez. Ejemplo3: Gerente Financiero - Carlos Cardenas -CUSTODIO: Es la persona/área que se encarga de administrar la seguridad en cuanto a las actividades de control para la confidencialidad, integridad y disponibilidad de la información contenida en el activo de información. Escribir el Cargo y nombre del custodio. Ejemplo1: Gerente TI - Carlos Castro. Ejemplo2: Administrador de Base de Datos – Jaime Arias. Ejemplo3: Administrador de Infraestructura - Fernando Pérez -SISTEMA DE INFORMACION RELACIONADO : Sistema con el cual está relacionado el activo de información en cuanto a su información Ejemplo1: Sistema de Nómina. Ejemplo2: Sistema de Nómina. Ejemplo3: SISFIN - Sistema Financiero -CLASIFICACION DE LA INFORMACION : Se marca con una X la casilla de acuerdo a la clasificación que el propietario del activo de información elija con base en la información que contiene el activo de información. Se elige la clasificación más crítica. Las siguientes son las clasificaciones de seguridad: -Top Secret: El compromiso de la información podría dañar los intereses de la entidad de manera grave.

8

-Secreta: El compromiso de la información podría dañar los intereses de la entidad manera seria. -Confidencial: El compromiso de la información podría dañar los intereses de la entidad de manera significativa. -Restringida: El compromiso de la información podría dañar los intereses de la entidad de manera adversa. -Sensitiva: El compromiso de la información podría dañar los intereses de la entidad o poner en peligro la seguridad de los ciudadanos. -En confianza: El compromiso de la información podría perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del Gobierno o afectar adversamente la privacidad de sus ciudadanos. -Pública no clasificada: El compromiso de la información afecta la imagen de la entidad. Ejemplo1: Confidencial. Ejemplo2: Confidencial Ejemplo3: Restringida -AREAS ASOCIADAS : Se escriben las áreas asociadas al activo de información que tengan influencia sobre la información. Ejemplo1: Área de Gestión Humana. Ejemplo2: Área de Gestión Humana. Ejemplo3: Área Financiera -CONFIDENCIALIDAD : Impacto negativo que se tendría si el activo de información es accesible a personas NO autorizadas. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Medio -INTEGRIDAD: Impacto negativo que se tendría si el activo de información es alterado y su información y sus métodos de procesamiento DEJAN de ser completos y exactos. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad.

9

Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Muy Alto. Ejemplo2: Muy Alto. Ejemplo3: Muy Alto -DISPONIBILIDAD : Impacto negativo que tendría si el activo de información con la información y los servicios DEJAN de estar disponible cuando se le requiera. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Medio. Ejemplo2: Medio. Ejemplo3: Muy Alto -TOTAL : Promedio de las calificaciones de criticidad para los criterios de confidencialidad, integridad y disponibilidad. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Alto