DOCUMENTO DE AYUDA PARA GESTIONAR EL FORMATO DE INVENTARIO DE ACTIVOS DE INFORMACION

CONTENIDO

1 2 3

INTRODUCCION .............................................................................................. 2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION .............................. 2 OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE INFORMACION 3

4 EXPLICACION DE CAMPOS PARA DILIGENCIAIR EL FORMATO DE CLASIFICACION DE ACTIVOS DE INFORMACION ............................................. 3

INTRODUCCION

El siguiente documento de ayuda se desarrolla para facilitar el diligenciamiento del formato en Excel llamado SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0 para la identificacin de los activos de informacin de la entidad. El formato en Excel puede ser adaptado en su forma segn la entidad lo requiera a sus necesidades y modelos de documentacin propias de cada entidad. Se recomienda que antes de gestionar el formato de identificacin de activos sea ledo el documento en formato pdf SeguridaddelaInformacin2 0_Anexo7_Clasificacion de Activos.pdf del modelo de seguridad de la informacin. Las definiciones y enunciados en esta gua son tomados del documento SeguridaddelaInformacin2 0_Anexo7_Clasificacion de Activos.pdf del modelo de seguridad de la informacin de GEL 3.1 y de la norma ISO 27000. 2 CLASIFICACION DE LOS ACTIVOS DE INFORMACION

Un activo de informacin es todo activo que contiene informacin que posee un valor y es necesario para los servicios de Gobierno en Lnea. La clasificacin de los activos de informacin es una actividad que se debe realizar como accin importante para la gestin de riesgos de los activos de informacin. La propiedad de los activos se debera acordar y documentar as como la clasificacin de la informacin para cada uno de los activos. Con base en la importancia del activo, su valor para el negocio y su clasificacin de seguridad se recomienda identificar los niveles de proteccin. Pueden existir activos que no tengan clasificacin de seguridad pero pueden tener valor en trminos del tiempo, costo o esfuerzo en reemplazarla si se pierde o se altera. La clasificacin de los activos de informacin se realiza de acuerdo a los procesos de la entidad y con el propietario de cada activo de informacin y con los lderes de cada proceso. El inventario de activos de informacin puede ser revisado en cualquier momento y los activos pueden ser incluidos, revisados o retirados segn aprobacin del lder del proceso y propietario del activo.
2

OBJETIVO DE LA CLASIFICACION DE LOS ACTIVOS DE INFORMACION

Identificar en los procesos de la entidad los activos de informacin que son crticos en cuanto a su clasificacin de la informacin y a sus criterios de confidencialidad, integridad y disponibilidad para que puedan establecerse medios de proteccin y control. 4 EXPLICACION DE CAMPOS PARA GESTIONAR EL FORMATO DE CLASIFICACION DE ACTIVOS DE INFORMACION

Para la identificacin del inventario de activos de informacin, se utiliza el formato en Excel SGSI - FORMATO INVENTARIOS ACTIVOS DE INFORMACION GEL 3.1 V2.0. Cada uno de los activos de informacin se debe escribir en una fila dentro del formato. Los activos de informacin no se agrupan ni por filas, ni por columnas. A continuacin se presenta una tabla con ejemplos y a despus se presenta la descripcin de los campos del formato. La Tabla 1 Ejemplos, contiene 3 ejemplos para gestionar el formato y en la descripcin del campo se har referencia a ellos como Ejemplo 1, Ejemplo 2 y Ejemplo 3. El primer ejemplo es de un servidor que contiene la informacin del Proceso de Nmina, el segundo de una base de datos que contiene la informacin de Nmina, y el tercer ejemplo un Software de un Sistema Financiero.

Tabla 1. Ejemplos
EJEMPLOS
Situacin

EJEMPLO 1 EJEMPLO 2 EJEMPLO 3

De un servidor que De una base de datos De un Sistema de contiene la informacin que contiene la estin !inanciero del Proceso de Nmina informacin de Nmina

TIPO DE ACTIVO INFORMACION NOMBRE DE ACTIVO

Activo Fsico

UBICACIN

FISICO ELECTRONICO

PROCESO

Servidor SER A!"#$%&&1 '( )* (roliant Serie 1234+, 1rea de Sistemas0 Sala SER A!"#$%&&1 de Servidores "23s4lserver3data5ase3 5dnomina/mdf (roceso de )estin (roceso de )estin '6mana '6mana )erente )estin '6mana 0 (edro (8re7 )erente #I 0 "arlos "astro Sistema de %mina Afectar la imagen de la entidad Daar los intereses nacionales de manera grave Daar los intereses nacionales de manera seria. Daar los intereses nacionales de manera significativa. Daar los intereses nacionales de manera adversa. Daar los intereses del Estado Poner en peligro la seguridad de los ciudadanos. Perjudicar el mantenimiento de la ley y el orden Impedir la conducta efectiva del Gobierno Afectar adversamente la privacidad de sus ciudadanos. 1rea de )estin '6mana 1rea de )estin '6mana
A!#.$< A!#.EDIA!#-

Activo de la Informacin Base de Datos BD%-.I%A/.DF

Activo de Software Aplicacin SISFI% 0 Sistema Financiero SER A!"#$%&&2 "23SISFI% (roceso de Finan7as

PROPIETARIO DEL ACTIVO CUSTODIO

SISTEMA DE INFORMACION RELACIONADO CLASIFICACION DE PUBLICABLE LA INFORMACION NO PUBLICABLE

PUBLICA NO CLASIFICADA TOP SECRET SECRETA CONFIDENCIAL

)erente )estin '6mana 0 (edro (8re7 Administrador de Base de Datos 9 :aime Arias/ Sistema de %mina

)erente Financiero 0 "arlos "ardenas Administrador de Infraestr6ct6ra 0 Fernando (ere7 SISFI% 0 Sistema Financiero

; ;

RESTRINGIDA

INFORMACION PERSONAL SEMIPRIVADA

SENSITIVA

EN CONFIANZA

AREAS ASOCIADAS CRITICIDAD

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL

1rea Financiera .EDI.$< A!#.$< A!#A!#-

A!#.$< A!#.EDIA!#-

Descripcin de los campos. -TIPO DE ACTIVO: se escribe el tipo de activo de acuerdo a la clasificacin. Los activos de informacin se clasifican en las siguientes categoras: -ACTIVOS DE LA INFORMACION -ACTIVOS DE SOFTWARE -ACTIVOS FISICO -SERVICIOS -PERSONAS -INTANGIBLES
4

Ejemplo1: Activo Fsico. Ejemplo2: Activo de la Informacin. Ejemplo3: Activo de Software. En la Tabla 2 Tipo de Activo, se detalla el tipo de activo y la informacin que contiene el activo de informacin, o la clase de activo que es el activo de informacin. Tabla 2. Tipo de Activo
TIPO DE ACTIVO INFORMACION ACTIVO DE LA Informacin Digital: Bases de datos, Copias de Backups de INFORMACION Informacin. Activos Tangibles: Correo, Fax, Llaves, Libros, informacin escrita, informacin impresa, guas, procedimientos, polticas, OLAs, SLAs, Manuales de usuario, procedimientos operativos o de soporte, planes de formacin, planes de continuidad del negocio y/o contingencia, Configuracin del soporte de recuperacin, Informacin archivada Activos Intangibles: Patentes, Conocimiento, Relaciones, claves de seguridad, patentes, conocimientos tcnicos. ACTIVOS DE -De Aplicaciones: SOFTWARE Desarrolladas por la entidad o licenciadas, de planificacin de recursos empresariales (ERP), de gestin de la informacin (MIS), de inteligencia de negocios, de relacionamiento con el cliente (CRM) o con el proveedor (SCM). -De Sistemas Operativos: Para los servidores, computadores, equipos de red, equipos de mano, celulares, tabletas. -De Herramientas y programas de desarrollo: Utilidades y herramientas para la administracin de bases de datos, software ofimtica, middleware, comercio electrnico, aplicaciones de utilidad para la administracin y control de TI ACTIVOS FISICO Infraestructura de TI: Edificios, centros de datos, salas de equipos de comunicacin y servidores, gabinetes para cableado, oficinas, archivadores, cajas de seguridad, dispositivos de identificacin y autentificacin, control acceso (tarjetas, otros), dispositivos de seguridad, circuito cerrado de televisin. Hardware de TI: Equipos de cmputo de mesa y porttiles, equipos de red, equipos de comunicaciones, servidores, mainframes, switches, routers, lneas de red, impresoras, fotocopiadoras, faxes, equipos multifuncin, medios removibles, discos duros, memorias USB, DVDs y CD, cintas de backup. Control del entorno de TI: Equipos de deteccin y control de incendios, sistemas de alimentacin ininterrumpida (UPS), generadores de energa, equipos de administracin de redes, sistema de aire acondicionados, supresores de potencia, control de humedad, alarmas de aire, alarmas de agua.

SERVICIOS

Servicios de autenticacin de usuario, cortafuegos, servidores proxy, servicios de red, servicios inalmbricos, anti-spam, antivirus, anti-spyware, deteccin y prevencin de intrusos, FTP, correo electrnico y mensajera instantnea, servicios web, contratos de soporte y mantenimiento de software. Empleados: Personal de gestin, directivos, arquitectos de software, desarrolladores, administradores de redes, administradores de seguridad, operadores. Externos: Trabajadores temporales, consultores externos, contratistas, proveedores y socios Reputacin Imagen Corporativa

PERSONAS

INTANGIBLES

-INFORMACION: describir la informacin el cual contiene el activo de informacin, o la clase de activo que es el activo de informacin. Se toma como referencia la Tabla 2 en el contenido de la columna INFORMACION del Tipo de Activo. Ejemplo1: Servidor. Ejemplo2: Base de Datos. Ejemplo3: Aplicacin -NOMBRE DE ACTIVO: se escribe una identificacin que caracteriza de forma nica al activo. Se escribe el nombre de la base de datos, la identificacin del equipo, el nombre del equipo, el nombre del manual impreso o cualquier otra descripcin estructurada para su clara identificacin Ejemplo1: SERVALCTUN001 HP G8 Proliant Serie 123456 Ejemplo2: BDNOMINA.MDF Ejemplo 3: SISFIN - Sistema Financiero -UBICACIN / FISICO: El nombre de la ubicacin fsica en donde est el activo de informacin. Si es un activo de informacin con informacin en medio electrnico se escribe el activo de informacin que contiene la informacin electrnica. Ejemplo1: rea de Sistemas- Sala de Servidores. Ejemplo2: SERALCTUN001 Ejemplo3: SERVALCTUN002

-UBICACIN / ELECTRONICA: Ubicacin en el activo de informacin en donde reside la informacin electrnica. Ejemplo1: Vaco Ejemplo2: C:/sqlserver/database/bdnomina.mdf Ejemplo3: C:/SISFIN/ -PROCESO: Proceso de la entidad relacionado al activo de la informacin. Ejemplo1: Proceso de Gestin Humana Ejemplo2: Proceso de Gestin Humana. Ejemplo3: Proceso de Finanzas -PROPIETARIO: Es la persona responsable de la informacin del activo y quien define el nivel y acciones para la confidencialidad, integridad y disponibilidad. Escribir el nombre y cargo del propietario. Ejemplo1: Gerente Gestin Humana - Pedro Prez. Ejemplo2: Gerente Gestin Humana - Pedro Prez. Ejemplo3: Gerente Financiero - Carlos Cardenas -CUSTODIO: Es la persona/rea que se encarga de administrar la seguridad en cuanto a las actividades de control para la confidencialidad, integridad y disponibilidad de la informacin contenida en el activo de informacin. Escribir el Cargo y nombre del custodio. Ejemplo1: Gerente TI - Carlos Castro. Ejemplo2: Administrador de Base de Datos Jaime Arias. Ejemplo3: Administrador de Infraestructura - Fernando Prez -SISTEMA DE INFORMACION RELACIONADO: Sistema con el cual est relacionado el activo de informacin en cuanto a su informacin Ejemplo1: Sistema de Nmina. Ejemplo2: Sistema de Nmina. Ejemplo3: SISFIN - Sistema Financiero -CLASIFICACION DE LA INFORMACION: Se marca con una X la casilla de acuerdo a la clasificacin que el propietario del activo de informacin elija con base en la informacin que contiene el activo de informacin. Se elige la clasificacin ms crtica. Las siguientes son las clasificaciones de seguridad: -Top Secret: El compromiso de la informacin podra daar los intereses de la entidad de manera grave.
=

-Secreta: El compromiso de la informacin podra daar los intereses de la entidad manera seria. -Confidencial: El compromiso de la informacin podra daar los intereses de la entidad de manera significativa. -Restringida: El compromiso de la informacin podra daar los intereses de la entidad de manera adversa. -Sensitiva: El compromiso de la informacin podra daar los intereses de la entidad o poner en peligro la seguridad de los ciudadanos. -En confianza: El compromiso de la informacin podra perjudicar el mantenimiento de la ley y el orden, impedir la conducta efectiva del Gobierno o afectar adversamente la privacidad de sus ciudadanos. -Pblica no clasificada: El compromiso de la informacin afecta la imagen de la entidad. Ejemplo1: Confidencial. Ejemplo2: Confidencial Ejemplo3: Restringida -AREAS ASOCIADAS: Se escriben las reas asociadas al activo de informacin que tengan influencia sobre la informacin. Ejemplo1: rea de Gestin Humana. Ejemplo2: rea de Gestin Humana. Ejemplo3: rea Financiera -CONFIDENCIALIDAD: Impacto negativo que se tendra si el activo de informacin es accesible a personas NO autorizadas. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Medio -INTEGRIDAD: Impacto negativo que se tendra si el activo de informacin es alterado y su informacin y sus mtodos de procesamiento DEJAN de ser completos y exactos. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad.
*

Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Muy Alto. Ejemplo2: Muy Alto. Ejemplo3: Muy Alto -DISPONIBILIDAD: Impacto negativo que tendra si el activo de informacin con la informacin y los servicios DEJAN de estar disponible cuando se le requiera. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Medio. Ejemplo2: Medio. Ejemplo3: Muy Alto -TOTAL: Promedio de las calificaciones de criticidad para los criterios de confidencialidad, integridad y disponibilidad. Escribir uno de los siguientes valores: Muy alto: Impacto muy negativo a la entidad Alto: Impacto importante a la entidad. Medio: Impacto mediano a la entidad. Bajo: Impacto leve a la entidad. Muy bajo: De muy poco impacto a la entidad. Ejemplo1: Alto Ejemplo2: Alto Ejemplo3: Alto

>