Gestión de Activos

Anexo 8 - ISO 27001

Video Tutorial CISSP

Domino 2 de la certificación CISSP sobre seguridad de los activos de información ofrecido por el canal de Simplilearn


Explicación orientativa



El objetivo del presente dominio es que la organización tenga conocimiento preciso sobre los activos que posee como parte importante de la administración de riesgos.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente debe mantenerse invariable por siempre, y que ésta puede cambiar de acuerdo con una política predeterminada por la propia organización.

Se debería considerar la cantidad de categorías a definir para la clasificación dado que los esquemas demasiado complejos pueden tornarse engorrosos y antieconómicos o resultar poco prácticos.


Algunos ejemplos de activos son:

- Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.

- Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.

- Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, PABXs, máquinas de fax, contestadores automáticos, switches de datos, etc.), medios magnéticos (cintas, discos, dispositivos móviles de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.

- Servicios: servicios informáticos y de comunicaciones, utilitarios generales (clima/calefacción, iluminación, energía eléctrica, etc.).

Los activos de información deben ser clasificados de acuerdo a la sensibilidad y criticidad de la información que contienen o bien de acuerdo a la funcionalidad que cumplen y rotulados en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha información.

8.1 Responsabilidad sobre los activos

El objetivo es identificar los activos en la organización y definir las responsabilidades para una protección adecuada.

La asignación no explícita o suficientemente clara de los activos desafecta al usuario habitual de la responsabilidad del debido cuidado de los mismos, introduciendo la idea de que el activo es de la organización y, en consecuencia, la observancia a los riesgos en los activos y la aplicación de los controles oportunos también.

Esta situación reduce la comunicación de situaciones de exposición al riesgo así como la aplicación efectiva de medidas de control que no pueden ser aplicadas por departamentos técnicos, aumentando claramente el riesgo de robo e ingeniería social.

Por otra parte, existen activos de uso compartido que de no tener "propietario” (identifica a un individuo o entidad) responsable carecerá de controles en actividades de producción, desarrollo, mantenimiento, uso y seguridad de los activos. Cualquier activo descuidado es un punto débil que será utilizado para iniciar o propagar rápidamente un incidente de seguridad.

La falta de inventario de activos de información y un proceso de actualizado asociado permite el descontrol ya que no se sabe qué activos son de la organización, su estado y las personas a su cuidado específico. Ejemplso como la situación provocada por el "efecto 2000" o la necesidad de saber la extensión de impacto según la tipología de ataque "Ransonware" permite reconocer la importancia de un control eficaz en base a inventarios actualizados con detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).

8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.

8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.

8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.

Porcentaje de activos de información en cada fase del proceso de clasificación (identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).

Porcentaje de activos de información claves para los cuales se ha implantado una estrategia global para mitigar riesgos de seguridad de la información según sea necesario y para mantener dichos riesgos en niveles aceptables.

Belarc: Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web.


DMOZ: Cerrado desde 17 de Mayo de 2017, el proyecto abierto deja recopilado a modo de directorio estático todo tipo de políticas de seguridad en diversas áreas.


Genos Open Source: GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario, gestión del cambio (Change Management), SLA y reporting.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un gestor centralizado de activos TI que permite el mapeo con su módulo de análisis de riesgos.


GLPI: GLPI es una herramienta gratuita de inventario de activos TI, con funcionalidades de gestión de los mismos. Es integrable con OCS Inventory.


INCIBE: En esta guía te proponemos diez pasos imprescindibles que has de tomar para ser una pyme cibersegura y de ese modo promover la confianza en tu negocio.


INCIBE: Con esta guía podrás conocer los riesgos de este tipo de dispositivos en las empresas y las medidas de seguridad para mitigarlos.


OCS Inventory NG: OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red y distribución de paquetes de software.


SpiceWorks: Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.



8.2 Clasificación de la información

El objetivo es el de asegurar que se aplica un nivel de protección adecuado a la información.

La falta de una política/directiva de clasificación de la información abre la interpretación libre y desigual de los creadores y usuarios de la información corporativa en relación a la necesidad, prioridades y nivel de protección previsto para su tratamiento.

No atender al mismo entendimiento de los diversos grados de sensibilidad y criticidad de la información favorece la falta de cuidades y atención debidos y las dudas razonables sobre qué políticas aplican a cada información disponible aumentando el riesgo de envío y comunicación de información sensible a más usuarios de los realmente necesarios/permitidos.

Aplicar niveles de clasificación de la información permite trazar mejor y más claramente el ámbito de difusión a los interesados permitidos para su acceso, además de saber qué nivel de medidas de protección más o menos elevado debe aplicarse.

Una falta de control en el entendimiento del nivel de importancia de la información que cada responsable g permite la materialización de potenciales amenazas, entre otras posibles, como:

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, ...)

- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (Uso no autorizado de equipos, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

- Compromiso de las funciones (Error en el uso, abuso de privilegios, suplantación de identidad, denegación de acciones, exposición de la disponibilidad del personal, ...) 

8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.

8.2.2 Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.

8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.

Porcentaje de activos de información en cada categoría de clasificación (incluida la de "aún sin clasificar").

MEHARIpedia: MEHARI cumple con los lineamientos establecidos por la norma ISO 27005: 2011, alineada con ISO 31000, y permite la integración perfecta del riesgo en un proceso ISMS según ISO 27001, gracias a la participación de la gerencia y la conciencia de los usuarios, actores y gerentes de operación.


CNI: Directrices de clasificación y tratamiento de información en España. Publicadas por la Autoridad Delegada para la Seguridad de la Información Clasificada.



8.3 Manejo de los soportes de almacenamiento

El objetivo es evitar la divulgación, modificación, retirada o destrucción de activos no autorizada almacenada en soportes de almacenamiento.

La falta de protección de los medios con información sensible como documentos, medios informáticos (discos, cintas, etc.), datos de entrada o salida y documentación del sistema contra la divulgación, modificación, retirada o destrucción de activos petmite la divulgación no autorizada e inconrolada en su impacto.

La aparición de datos directamente accesibles en equipos retirados o sustraidos como computadoras de sobremesa, portátiles, equipos con memoria sólida o buffers como impresoras, discos duros o pendrives enternos, smartphones, ..., aparecen periódicamente entre las noticias publicadas en prensa más o menos especializada y que trae consecuencias legales y/o reputacionales por la negligencia de las organizaciones y la falta de un proceso específico y controlado.

Una falta de control en los soportes de almacenamiento externo permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...)

- Afectaciones por radiación (electromagnéticas, térmicas, ...)

- Compromiso de información (intercepción, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, manipulación de hardware, manipulación de software, detección de posición, ...)

- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...)

- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...)

8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización.

8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.

8.3.3 Soportes físicos en tránsito: Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los limites físicos de la organización.

Porcentaje de soportes de backup o archivo que están totalmente encriptados.

AENOR: Norma UNE-EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Establece requerimientos para la gestión y control de recogida, transporte y destrucción de material confidencial para su destrucción. Aplicable, principalmente a empresas que prestan servicio de recogida y destrucción de soportes (especialmente, papel).


BSIA: Resumen de requisitos expuestos en la norma EN 15713:2010: "Destrucción segura del material confidencial. Código de buenas prácticas." Editado por BSIA (Asociación británica de la industria de seguridad.


CITICUS: Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento dispone de una aplicación free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.


DARIK'S BOOT AND NUKE: Darik's Boot and Nuke ("DBAN") es una herramienta -gratuita- autoarrancable que permite hacer un borrado seguro del disco duro completo de un equipo (operación que no sería posible si se inicia el equipo con el sistema operativo instalado en ese mismo disco).


Harwipe: Herramienta gratuita de borrado seguro.


HEIDI-Eraser: Eraser es una herramienta gratuita para Windows de borrado seguro de soportes por sobreescritura de ficheros, soportes completos o espacios sin utilizar.


INCIBE: Con esta guía tu empresa podrá almacenar sus datos de forma segura.


INCIBE: Listado de utilidades recomendadas para el borrado seguro de información en dispositivos de almacenamiento.


NAID: NAID ® es la asociación internacional de empresas que prestan servicios de destrucción de la información. Enlace para localizar sus miembros de los distintos paises e información sobre normas, ética y auditorías de certificación de empresas.


ROHOS: Rohos Mini Drive es una aplicación gratuita que permite crear particiones con cifrado, ocultarlas y protegerlas con contraseña en cualquier unidad USB flash. Con los datos cifrados puede trabajar en cualquier ordenador aún sin derechos administrativos. El programa crea una partición protegida con el estándar AES 256 bits accesible sólo con la clave secreta que elijas.


UCSDCSE: Artículo de investigación sobre la no aplicabilidad de métodos tradicionales de borrado seguro en discos duros a discos SSD (de estado sólido).


Wikipedia: Información en inglés sobre tipos de destructoras de papel y referencia a la norma DIN 32757.


CBL Data Shredder: Destinado a eliminar la posibilidad de que cualquier persona pueda recuperar la información almacenada en su disco duro cuando se elimine, o la computadora que lo contiene. Admite una variedad de métodos para borrar datos, proporcionando diferentes niveles de seguridad y conveniencia. En general, sería cierto decir que cada vez que se sobrescribe un disco duro, las posibilidades de recuperar los datos de éste se vuelven muy pequeñas.

KillDisk: Software potente y portátil que le permite destruir todos los datos en discos duros, discos de estado sólido (SSD) y discos USB y tarjetas de memoria, excluyendo cualquier posibilidad de recuperación de datos de archivos y carpetas eliminados. Active@ KillDisk es una utilidad de borrado de particiones y saneamiento de disco, que admite el DoD 5220.22-M de EE. UU. Y más de 20 estándares internacionales de desinfección de datos.

Privazer: Limpieza en profundidad para PCs y para dispositivos de almacenamiento. Sobreescritura "inteligente" que reconoce automáticamente el tipo de dispositivo de almacenamiento (disco magnético, SSD, etc.) y adapta sus algoritmos de borrado.

BleachBit:  Solución de código abierto que libera caché, eliminar cookies, borrar el historial de Internet, destruir archivos temporales, eliminar registros y descartar basura que no sabía que estaba allí. Diseñado para sistemas Linux y Windows, limpia miles de aplicaciones, incluidas Firefox, Adobe Flash, Google Chrome, Opera y más. Incluye funciones avanzadas como triturar archivos para evitar la recuperación, limpiar el espacio libre en el disco para ocultar rastros de archivos eliminados por otras aplicaciones y limpiar Firefox para hacerlo más rápido.

Ccleaner: Con la versión estándar, puede liberar espacio en disco, borrar la información de rastreo en línea y gestionar su equipo para que funcione con mayor velocidad.

CCenhancer: Pequeña herramienta que agrega soporte para más de 1,000 nuevos programas en el popular programa CCleaner. La herramienta utiliza el sistema winapp2.ini integrado en CCleaner para agregar fácilmente nuevas reglas y definiciones para los programas. Las reglas se obtuvieron principalmente del Foro de Apoyo Piriforme, con varias fuentes de otros lugares de Internet.

System Ninja: Solución de optimización del sistema rápida, potente y efectiva para Windows. Está diseñado para eliminar rápidamente archivos basura, mejorar la velocidad del sistema y solucionar problemas.

Ghostbuster: Enumera todos los dispositivos, detecta los dispositivos fantasmas y los elimina si coinciden con los tipos de dispositivos y/o clases de dispositivos seleccionables con un solo clic del mouse.


© 2005 Aviso Legal - Términos de uso información iso27000.es