2. Alcanzar y mantener una
protección adecuada de los activos
de la Organización
3. Todos los activos deberían ser justificados y tener asignado un propietario.
Se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad
del mantenimiento de los controles adecuados. La implantación de controles específicos podría
ser delegada por el propietario convenientemente. No obstante, el propietario permanece como
responsable de la adecuada protección de los activos.
El término “propietario” identifica a un individuo o entidad responsable, que cuenta con la
aprobación del órgano de dirección, para el control de la producción, desarrollo, mantenimiento,
uso y seguridad de los activos. El término “propietario” no significa que la persona disponga de
los derechos de propiedad reales del activo.
Elabore y mantenga un inventario de activos de información (similar al preparado en su día para
el Efecto 2000), mostrando los propietarios de los activos (directivos o gestores responsables de
proteger sus activos) y los detalles relevantes (p. ej., ubicación, nº de serie, nº de versión, estado
de desarrollo / pruebas / producción, etc.).
Use códigos de barras para facilitar las tareas de realización de inventario y para vincular equipos
de TI que entran y salen de las instalaciones con empleados.
Porcentaje de activos de información en cada fase del proceso de clasificación (identificado /
inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de información claves para los cuales se ha implantado una estrategia global
para mitigar riesgos de seguridad de la información según sea necesario y para mantener dichos
riesgos en niveles aceptables.
4. Control:
Todos los activos deberían estar claramente identificados,
confeccionando y manteniendo un inventario con los más
importantes.
(Consultar también 7.1.2)
Belarc
Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la
falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y
muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y
no se envía a servidores de la web.
Belarc Advisor
Genos Open Source
GMF es una implementación de las recomendaciones ITIL (IT Infrastructure Library) para la gestión de
servicios de TI (IT Service Management o ITSM). GMF es un producto de software libre distribuido bajo
licencia GPL e incluye módulos de gestión de incidencias (Trouble Ticketing), gestión de inventario,
gestión del cambio (Change Management), SLA y reporting.
GMF - GenosOrg
GesConsultor
GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un gestor
centralizado de activos TI que permite el mapeo con su módulo de análisis de riesgos.
GesConsultor
GLPI
GLPI es una herramienta gratuita de inventario de activos TI, con funcionalidades de gestión de los
mismos. Es integrable con OCS Inventory.
GLPI
OCS Inventory NG
OCS Inventory es una herramienta gratuita de creación automática de inventarios de HW, escaneo de red
y distribución de paquetes de software.
OCS
SpiceWorks
Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red,
creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW
(descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades,
prevista para pequeñas y medianas empresas.
Spiceworks
5. Control
Toda la información y los activos asociados con los
medios de procesamiento de información debieran ser
propiedad de una parte designada de la organización.
El propietario del activo debiera ser responsable de:
1. Asegurar que la información y los activos asociados con los medios de procesamiento de la
información sean clasificados apropiadamente.
2. Definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las
políticas de control de acceso aplicables.
La propiedad puede ser asignada a:
a) Un proceso comercial
b) Un conjunto de actividades definido
c) Una aplicación
d) Un conjunto de data definido
6. Control:
Se deberían identificar, documentar e implantar
regulaciones para el uso adecuado de la información y
los activos asociados a recursos de tratamiento de la
información.
INTECO
Guía de INTECO en español sobre la
utilización de las tecnologías de la información
en el ámbito laboral y sus consideraciones
legales.
Guía Inteco TIC laboral
INTECO
Guía para proteger y usar de forma segura el
teléfono móvil.
Guía INTECO teléfono
móvil
DMOZ
Proyecto abierto que ha recopilado a modo de
directorio todo tipo de políticas de seguridad en
diversas áreas.
Miscelanea de diversas
políticas