Tomando el catálogo de medidas de control de la ISO 27002, he seleccionado la número 8 que es la Gestión de Activos.
El objetivo de la norma ISO 27002 es que la empresa tenga unos conocimientos sobre todos los activos que tiene como parte clave de la administración de riesgos. Los activos de información tienen que estar ordenados según la sensibilidad y criticidad de la información que tienen como objetivo señalar como se tiene que tratar y proteger la información.
RESPONSABILIDAD SOBRE LOS ACTIVOS
Los activos de información según la norma ISO 27002 tienen que ser justificados y tener asignado un propietario y deberán identificarlos para todos los activos asignándoles responsabilidades de mantenimiento de los distintos controles. Las actividades de control del riesgo son:
- Inventario de activos: deben estar identificados, manteniendo un inventario con los más importantes.
- Propiedad de los activos: toda la información y activos del inventario relacionados con los recursos para el tratamiento de la información tienen que pertenecer a una parte de la organización.
- Uso aceptable de los activos: se tiene que identificar, documentar e implantar regulaciones para el buen uso de la información y los activos del inventario relacionados con los recursos para el tratamiento de la información.
- Devolución de activos: todos los empleados y usuarios relacionados con la organización tienen que devolver todos los activos de dicha organización de los que sean poseedores una vez finalizado el contrato de empleo.
CLASIFICACIÓN DE LA INFORMACIÓN
Se debe clasificar la información para indicar la necesidad, las prioridades y el nivel de protección previsto para su tratamiento. Las actividades de control del riesgo son:
- Directrices de clasificación: la información debe clasificarse según su valor, requisitos legales, sensibilidad y criticidad para la organización.
- Etiquetado y manipulado de la información: tiene que desarrollar e implantarse un conjunto adecuado de procedimientos para etiquetar y tratar la información, según la clasificación adoptada por la organización.
- Manipulación de activos: tiene que desarrollar e implantarse procesos para manipular los activos acordados con la clasificación de la información adoptada por la organización.
MANEJO DE LOS SOPORTES DE ALMACENAMIENTO
Los medios deben ser controlados y protegidos. Las actividades de control del riesgo son:
- Gestión de soportes extraíbles: hay que establecer procesos para la gestión de los medios informáticos removibles de acuerdo con la clasificación adoptada por la organización.
- Eliminación de soportes: hay que eliminar los medios de forma segura y sin riesgo cuando ya no se necesiten, utilizando procedimientos formales.
- Soportes físicos en tránsito: hay que proteger los medios que contienen información contra el acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
No hay comentarios:
Publicar un comentario