Creación de Plantilla de Gestión de Activos de Información en Excel

Clase 13 de 39Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Clase anteriorSiguiente clase

Resumen

¿Cómo desarrollar una matriz de confidencialidad, integridad y disponibilidad?

En el mundo actual, donde la información se erige como uno de los activos más valiosos de las organizaciones, gestionar adecuadamente la confidencialidad, integridad y disponibilidad es vital. La construcción de matrices que permitan identificar y clasificar la información es esencial, pero ¿cómo hacerlo de manera efectiva? Aquí te guiaré paso a paso en el uso de una plantilla de Excel para lograrlo.

¿Qué debes incluir en la plantilla?

Primero, debes comprender que la creación de tu propia matriz no sigue un estándar universalmente aplicado. La norma ISO 27001 no proporciona una plantilla fija; más bien, se construye basándose en las necesidades y estructuras de cada empresa. Asegúrate de que se adapte a tus necesidades específicas y que la información esté tan completa como sea posible.

Elementos básicos de la plantilla

  • Logo de la organización: Facilita la identificación visual.
  • Nombre del activo: Asegúrate de que corresponda al título con el que se le identifica comúnmente.
  • Nivel de confidencialidad: Esta información debe ser manejada con rigor ético y no debe ser divulgada fuera del proceso de gestión de seguridad de la información.

Por ejemplo, para el caso de informes de gestión en una oficina de secretaría, los datos deben reflejar:

  • Código (ID): Un identificador único.
  • Dependencia o área: Lugar donde reside o se usa principalmente el activo.
  • Descripción del activo: Una explicación detallada elaborada en colaboración con el usuario responsable.
  • Observaciones: Notas opcionales que añadan contexto o detalles relevantes.

¿Cómo definir los atributos del activo?

La matriz debe también describir atributos particulares que impacten en cómo se administra el activo:

  • Datos personales: Indicar si el activo contiene o no datos personales.
  • Susceptibilidad a fraude: Reflexiona sobre potenciales riesgos de manipulación o corrupción, especialmente en formatos digitales no protegidos.
  • Importancia operativa: Clasifica si el activo es clave para el funcionamiento de un proceso específico o si es fundamental para la organización en general.

¿Cómo gestionar la ubicación y propiedad del activo?

Es fundamental identificar dónde y cómo se almacena el activo:

  • Ubicación: Puede ser física, digital, o ambas. Una mezcla de reportes impresos y datos digitales es común en muchas compañías.
  • Propietario y custodio: Mientras el propietario es quien hace uso del activo diario, el custodio es el responsable de su protección y conservación.

Por ejemplo, el propietario puede ser la oficina del secretario, mientras que el custodio podría ser el área de gestión documental.

¿Cómo establecer el acceso y formato del activo?

Finalmente, el formato y el acceso a los activos deben ser claramente definidos:

  • Formato de acceso: Si es tangible (papel) o digital (Excel, aplicativos), cada uno tiene sus particularidades.
  • Usuarios con acceso: Indica quién tiene derecho de acceso y bajo qué condiciones.

Imagínate un archivo Excel que es accedido por el comité de política de riesgo dentro de una Secretaría de Hacienda, aquí se debe especificar claramente dicha restricción.

Conclusión práctica

La capacidad de compilar, gestionar y resguardar la información en una organización refleja el profesionalismo y la eficiacia en su administración de seguridad. Compartir experiencias y dialogar sobre las buenas prácticas ayudará a sistematizar la implementación de estas plantillas de forma exitosa. Sigue explorando, ajusta las herramientas a tus necesidades y ¡continúa aprendiendo para fortalecer la seguridad de la información en tu organización!