UNIVERSIDAD GERARDO BARRIOS

GESTIN DE ACTIVOS

MATERIA:
ADMINISTRACIN DE BASE DE DATOS II

CICLO 02-2016
 Gestin de activos

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de

Normalizacin (ISO). En esta se describe cmo gestionar la seguridad de la
informacin en una empresa.

La norma puede ser implementada en cualquier tipo de organizacin, con o sin fines
de lucro, privada o pblica, pequea o grande. Esta abarca la gestin de activos, un
activo es aquello que tiene algn valor para la organizacin y por lo tanto debe
protegerse.

De manera que un activo de informacin es aquel elemento que contiene o

manipula informacin. Activos en la informacin son contratos, acuerdos, bases de
datos, ficheros, equipos informticos, aplicaciones, entre otros.

Una manera para facilitar se puede distinguir en las siguientes categoras:

Recursos de informacin: bases de datos y archivos, documentacin de
sistemas, manuales de usuario, material de capacitacin, procedimientos
operativos o de soporte, planes de continuidad y contingencia, informacin
archivada, etc.
Recursos de software: software de aplicaciones, sistemas operativos,
herramientas de desarrollo y publicacin de contenidos, utilitarios, etc.
Activos fsicos: equipamiento informtico (procesadores, monitores,
computadoras porttiles, mdems), equipos de comunicaciones (routers,
PABXs, mquinas de fax, contestadores automticos, switches de datos,
etc.), medios magnticos (cintas, discos, dispositivos mviles de
almacenamiento de datos pen drives, discos externos, etc.-).
Equipos tcnicos (relacionados con el suministro elctrico, unidades de aire
acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares
de emplazamiento, etc.
Servicios: servicios informticos y de comunicaciones, utilitarios generales
(calefaccin, iluminacin, energa elctrica, etc.).

Responsabilidad sobre los activos.

Cada uno de los activos que se identifiquen debe contar con un responsable, que
ser su propietario. Esta persona se har cargo de mantener la seguridad del activo,
aunque no ser la que gestione el da a da del mismo.

Por ejemplo, puede existir un activo que sea la base de clientes en una empresa,
cuyo propietario sea el director comercial, sin embargo los empleados de esta
 empresa tendrn acceso a la misma. Pero el propietario decide quin accede y
quin no a la informacin, si es necesario aplicar alguna medida de seguridad.

Se debe elaborar y mantener un inventario de activos de informacin, mostrando los

propietarios de los activos y datos relevantes. El uso de cdigos de barra facilita la
realizacin de inventario.

La informacin mnima que debe contener es:

Identificacin del activo.

Tipo de activo.
Descripcin.
Propietario
Localizacin.
Ejemplo:

Tipo de Id del activo Propietario Funcin Localizacin

activo
Activo Fsico AIM-PC-001 Mara Elabora rea de
Sandoval pedidos y impresin
valida reportes

El inventario deber recoger los activos que realmente tengan un peso especfico y
sean significativos para la organizacin, agrupando que, por ser similares, tengan
sentido hacerlo.
Por ejemplo, si hay 20 computadoras parecidas en caractersticas tcnicas y tienen
la misma ubicacin fsica, pueden agruparse en un nico activo, denominado por
ejemplo equipo informtico.

Clasificacin de la informacin.
Se debera clasificar la informacin para indicar la necesidad, prioridades y nivel de
proteccin previsto para su tratamiento.
Nos basamos en la importancia del activo para mejorar su valor dentro del negocio y
clasificarlos segn la seguridad que necesiten, se debe realizar una clasificacin
segn los niveles de proteccin necesarios en funcin de la importancia de cada
activo.
.

Valoracin de activos.
Ya identificados los activos, el siguiente paso a realizar es valorarlos. Es decir , hay
que estimar qu valor tiene para la organizacin y cul es su importancia para la
misma.
 Para calcular este valor, se considera cual puede ser el dao que puede suponer
para la organizacin que activo resulte daado en cuanto a su disponibilidad,
integridad y confidencialidad.

Esta valoracin se hace por medio de una escala que puede ser cuantitativa o
cualitativa. Si se habla de algo econmico se mide con una escala cuantitativa
aunque en la mayora de casos se hace con la escala cualitativa.

Los aspectos a considerar independientemente de que tipo de escala sea pueden

ser los daos resultantes de:

Violacin de legislacin aplicable.

Reduccin del rendimiento de la actividad.
Efecto negativo de la actividad.
Prdidas econmicas.
Daos de equipo fsico.

La organizacin debe ser lo ms objetiva posible. Es til con anterioridad unos

parmetros para que todos los participantes valoren de acuerdo a unos criterios
comunes, y se obtenga valores coherentes. Algunos ejemplos de ello seran:

Disponibilidad.
Para valorar este criterio debe responderse a la pregunta de cul sera la
importancia o el trastorno que tendra el que el activo no estuviera disponible, Si
consideramos como ejemplo una escala de 0 a 5 se podra valorar as:

Valor Criterio
0 No es relevante
1 Debe estar disponible un 10%
2 Debe estar disponible un 25%
3 Debe estar disponible 50%
4 Debe estar disponible 75%
5 Debe estar disponible 99%

Por ejemplo, la disponibilidad de un servidor central de cual dependen todos los

equipos informticos para solicitar informacin, sera de 5 con esta escala.

Integridad.
Para valorar este criterio la pregunta a responder ser qu importancia tendra que
el activo fuera alterado sin autorizacin ni control, una escala posible sera as:
 Valor Criterio
0 No es relevante
1 No es relevante los errores que tenga o
la informacin que falte
2 Tiene que estar correcto y completo
25%
3 Tiene que estar correcto y completo
50%
4 Tiene que estar correcto y completo
75%
5 Tiene que estar correcto y completo
99%

Por ejemplo, el servidor central se modifique, por personal no autorizado, las

cuentas de los usuarios de los diferentes departamentos. En este caso el valor sera
5.

Confidencialidad.

En este caso la pregunta a responder para ponderar adecuadamente este criterio

ser cul es la importancia que tendra que al activo se accediera de manera no
autorizada. La escala en este caso podra ser:

Valor Criterio
0 No es relevante
1 Daos muy bajos , el incidente no
trascendera del rea afectada
2 Serian relevantes, el incidente implicara
otras reas.
3 Dao importante a la organizacin
4 Dao a la eficacia logstica y operativa
5 Los daos serian catastrficos , la
reputacin y la imagen de la
organizacin se veran comprometidas

Ejemplo:
Id Activo rea Valor/ Valor / Valor/
disponibilida integridad Confidencialidad
d
AIM-PC- rea de 5 5 5
001 impresin
Por ejemplo, esta vara segn la empresa y que hace, podra ser 2 en la
confidencialidad si la dependencia de esa mquina no es muy grande y la
confidencialidad de esta no representa mucha importancia para la empresa.

La valoracin de activos deben realizarla un grupo de personas que sean lo

suficientemente representativas como para aportar entre todos una visin
razonablemente objetiva de la organizacin.
Cabe recalcar que en la valoracin de los activos la escala puede ser de diferentes
manera las tablas anteriores es un ejemplo pero existe varias formas de definirlas.

Actividades de control de riesgo.

Los activos deberan ser controlados y fsicamente protegidos.

Se deben de establecer procedimientos operativos para proteger los documentos de
la modificacin, retirada o destruccin de activos no autorizados.

Se debe establecer un medio seguro para eliminar activos de forma seguro sin
riesgo cuando no sean requeridos utilizando procedimientos formales.
Un ejemplo sera cuando se eliminan documentos con informacin confidencial en
este caso se debe establecer una manera para eliminarlos de manera segura.

Manera de aplicar el control de riesgo:

Impacto
Frecuencia Muy bajo 1
Casi nunca 1 Bajo 2
Algunas veces 2 Medio 3
Alta 4
A menudo 3 Muy alto 5
Casi siempre 4
Siempre 5

Id rea Amenaza Vulnerabilidad Frecuencia Impacto Valor

Activo del
riesgo
AIM-PC- rea de Corte de Funcionamiento 2 5 10
001 impresi suministro no confiable del
n Elctrico UPS
Error de Falta de control 1 5 5
mantenimiento por parte de la
/ Falta de administracin.
actualizacin
de equipos