Clasificación de Activos de Información en la Práctica de Gestión de Riesgos Tecnológicos
Contenido
Una práctica constantemente subestimada es la clasificación de los activos de información
Esto es porque al revisar los planes de las áreas de riesgo tecnológico y seguridad de información, no siempre existe una adecuada clasificación de la información.
Generalmente, los inventarios son utilizados para llevar un registro de los equipos o aplicaciones.
Se considera qué se tiene y para qué, pero sin mayor apoyo a otras actividades.
La clasificación de los activos de información tiene una gran importancia.
En vista de que puede retroalimentar otros elementos de gestión de la tecnología, seguridad y riesgos.
Por lo general, se tienen dos objetivos fundamentales:
– El primero es brindar la adecuada administración a los recursos que la organización dispone.
– El segundo es protegerlos apropiadamente de las amenazas a las cuales se exponen.
Esto permite desarrollar un apropiada administración de riesgos sobre los mismos y mejor aprovechamiento de los activos, mitigando riesgos y generando valor a la organización.
La práctica en sí, permite clasificar los activos de información basado en su nivel de exposición, así como la importancia relativa que éste representa para el negocio.
En consecuencia, si estos procesos son críticos, es muy posible que los activos que también sean críticos y requieran protección, de acuerdo al nivel de sensibilidad observado.
Como puede observarse, la gestión de activos de información, es un marco de gestión que pudiera ser independiente, pero que bajo esta perspectiva es inútil.
Lo apropiado es derivar (retroalimentar) a otras prácticas en la organización para fortalecer el ambiente de control.
Por ejemplo, planes específicos para mitigar eventos o incidentes que atenten contra la condición ideal del negocio, que es estar operativo constantemente.
Pocas veces se encuentran planes de tecnología u organizacionales donde un insumo para el desarrollo de dichos planes, sea el producto de la clasificación de los activos de información.
Por lo general, un plan de seguridad o de continuidad del negocio, se inicia con un análisis de riesgos sin retroalimentarse de la clasificación de los activos de información.
Esto es porque no se ha hecho, o simplemente porque se subestima, el valor que esta gestión representa para el resto de las prácticas de control.
Llevar a cabo una gestión de clasificación de los activos de información en una organización es simple.
Su método poco varía y se soporta en modelos tradicionales de evaluación de riesgos, el cual permite identificar los activos, describirlos y catalogarlos.
Si tuviésemos que enumerar los pasos, los mismos serían los siguientes:
Identificar activos que posean atributos comunes
Tales como almacenamiento, procesadores, aplicaciones, documentos digitales, bases de datos, documentos en físico e inclusive áreas.
El objetivo es identificar el grado de confidencialidad, integridad y disponibilidad.
Nosotros le agregamos un elemento diferenciador ajeno a la tríada de seguridad de información que está referida al «uso».
El uso intensivo del activo puede influir en los aspectos de control.
Identificación de riesgos inherentes
Se realiza la evaluación para identificar los riesgos inherentes a los que está expuesto el activo, visualizando el contexto donde el mismo opera.
Es decir, dentro del proceso del negocio. Todo ello bajo las prácticas conocidas para la determinación de su impacto y probabilidad de ocurrencia.
Identificación de controles
Se identifican los controles, su eficiencia y operación a efectos de determinar el riesgo residual.
Clasificación
Por último, se da la clasificación del activo y se deriva a la práctica que aconseje su grado de clasificación.
Este último paso es el fundamental, pues por lo general, esta recomendación puede ir dirigida a distintas áreas especializadas en la organización.
Por ejemplo si el activo requiere de mayor protección, pues su integridad así lo requiere, es posible que pase al área de seguridad de información y los responsables de administrar la arquitectura de tecnología.
Ellos deberán aplicar las políticas establecidas para la protección de la data a través de criptografía por hardware.
También puede suceder que existen áreas que manejan información en físico que no les están dando la debida protección y custodia.
En este caso, el área de infraestructura física de la organización deberá adecuar el ambiente físico para proteger dicho activo de humedad, polvo, monitoreo y acceso.
En conclusión, la práctica de clasificación de activos de información es primordial para llevar adelante muchas de las actividades que conforman el ambiente de control de tecnología en la organización.
Muchos procesos pueden alimentarse de los productos que son derivados de dicha práctica.
El beneficio obtenido es representativo cuando se identifica que con un control, se puede estar mitigando muchas de las brechas que pueden presentarse en los activos en los procesos críticos del negocio.
Así como el beneficio del reproceso y la maximización de los recursos en la ejecución de proyectos tan importantes como la gestión de riesgo operativo o la creación y administración de los planes de continuidad del negocio.
Los cuales son proyectos que dan un excelente uso a la información que le provee la “clasificación de los activos de información”.
NOTA:
El marco para la evaluación de riesgos que se utiliza habitualmente es adoptado de la ISO 31000:2009, Risk management – Principles and guidelines, de la International Organization for Standardization (ISO) tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el riesgo con efectividad.
