Clasificación de Activos de Información en Excel

Clase 14 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)

Contenido del curso

Introducción a la norma ISO 27001

Contenido de la norma

Gestión de Riesgos

Controles de seguridad: Políticas y controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

Controles de seguridad: Sistemas de información

Auditoría

Gestión de la Continuidad del Negocio

Cierre del curso

Tomar examen

Resumen

Proteger la información de una organización comienza por saber exactamente qué tan crítico es cada activo. En este laboratorio práctico se completa la matriz de clasificación de activos de información utilizando una plantilla en Excel, aplicando los criterios de la triada de seguridad y asignando controles iniciales según lo que reporta el dueño del proceso.

¿Cómo se valora un activo con confidencialidad, integridad y disponibilidad?

La valoración del activo de información se realiza en la sección correspondiente de la plantilla, donde se evalúan tres dimensiones fundamentales [00:24]:

Confidencialidad: determina quién puede acceder al activo. Se clasifica en alto, medio o bajo.
Integridad: mide qué tan importante es que la información permanezca exacta y sin alteraciones.
Disponibilidad: evalúa la necesidad de que el activo esté accesible cuando se requiera.

Cada valor lo entrega el dueño del proceso, es decir, el funcionario que utiliza el activo a diario. La plantilla ya está formulada para calcular automáticamente la criticidad del activo según las combinaciones que se ingresen.

¿Por qué un solo valor alto convierte al activo en crítico?

Un punto clave es que basta con que uno solo de los tres elementos esté clasificado en alto para que el activo sea considerado crítico [01:12]. Por ejemplo, si la confidencialidad es baja y la disponibilidad es baja, pero la integridad es alta, la criticidad resultante sigue siendo alta. Esto significa que tu esfuerzo de protección debe centrarse en el elemento que eleva esa criticidad.

Cuando los tres valores están en bajo o medio sin ninguno en alto, el sistema indica que el activo no es crítico [01:36].

¿Cómo funciona la clasificación automática de la información?

La siguiente sección de la plantilla realiza la clasificación de la información de forma automática a partir de los valores ingresados [02:30]:

Si la confidencialidad es baja, el activo se clasifica como público.
Si la disponibilidad sube a alto, el documento pasa a ser altamente confidencial, lo que indica información estratégica de la organización.
Un nivel medio genera una clasificación de confidencial, que requiere protección parcial.

Esta formulación sigue los lineamientos de la norma ISO 27001 [02:50]. La recomendación es mantener los términos y la estructura de la plantilla alineados con este estándar, modificando únicamente los ítems si la organización lo necesita.

¿Qué controles iniciales se deben registrar en la matriz?

En la sección final de la plantilla se documentan los controles existentes que el usuario ya aplica sobre el activo [03:25]. No se trata de inventar protecciones, sino de registrar lo que el funcionario declara como medida actual.

¿Cuáles son los tipos de control y quién es responsable?

Cada control se clasifica según su tipo [04:00]:

Manual: el funcionario ejecuta toda la actividad. Ejemplo: guardar documentos físicos en una cajonera con llave.
Semiautomático: combina la intervención de un sistema de información con trabajo manual del usuario.
Automático: interviene únicamente un sistema. Ejemplo: un file server con directorio activo que controla el acceso a archivos digitales. Este es el control ideal.

El campo de responsable indica quién custodia ese control específico, no todo el proceso [04:35]. En el caso del control manual, el responsable es el secretario que tiene la llave. En el control automático del servidor, la responsable es la gerencia de tecnología que administra la infraestructura.

¿Es necesario invertir en software especializado desde el inicio?

La recomendación es clara: no solicites recursos económicos elevados a la alta dirección para software especializado cuando el proyecto apenas comienza [01:55]. La plantilla en Excel funciona como un insumo inicial sólido para construir tu sistema de gestión. Una vez que domines el proceso y lo tengas bien estructurado, puedes dar el paso hacia herramientas más robustas.

El siguiente paso es identificar los activos de información en tu propia organización y completar cada celda de la matriz con los datos reales. Comparte en los comentarios cómo avanza tu ejercicio y qué dudas específicas surgen sobre cada campo.

Comentarios

Jose Luis Ramos Bernal

student•

Yo creo que la matriz que nos compartes se puede automatizar sin mucho complique de software especializados haciendo un pequeño desarrollo con bootstrap y montandola en un servidor local al que solo se pueda tener acceso desde area de SGSI

Jesús Daniel Doria Pitalua

student•

Tienes toda la razón.

Emmanuel Sosa Reyes

student•

Estoy de acuerdo, así se automatiza y se tiene una comunicación más general, obviamente implementando las medidas de seguridad para que solo los involucrados puedan acceder al software.

Jairo Alonso Alonso Leiton

student•

Cordial saludo, Considero que Limitarse a no pedir recursos para iniciar un proyecto tan importante es un Error Grave debido a que un sistema sale bien solo si se tiene una planeación estructurada y los recursos necesarios porque se trata del sistema de seguridad de la información. Yo aconsejo por el controario pidan todos los recursos para que el proyecto sea un exito total con campañas de espectativa, socializaciones a usuarios, Software robusto que apalanque la iniciativa.... Si no lo exigen no lo cuentan como importante y en excel se queda toda la vida....... La experiencia les habla..... el truco es conocer la ISO27001 y tener la planeación correcta.... y un proveedor especialista acompañando la actividad...

Ramiro Ezequiel Bogado

student•

totalmente de acuerdo... mientras funciona dejalo ahi nomas....

Leonardo Camelo Z.

student•

Aun si se tienen los recursos necesarios para el proyecto, este puede fracasar si la Alta Dirección no se compromete con el SGSI mas allá de asignar recursos. Misma historia de éxito (ó fracaso) en la implementacion de cualquier norma ISO.

Roberto Arturo

student•

Hay que ver la ISO 27001 dentro del marco de la ISO 9001. Si primero se evalúan los procesos, la información que generan y los documentos asociados se pueden reducir documentación necesaria y la gestión documental no se convierte en un dolor de cabeza. Menos documentos hacen que el control de la información sea más fácil.

Romulo Alfonso Niño Romero

student•

La matriz de riesgos que nos aportas en este laboratorio es bastante robusta. Si logramos clasificar la mayor cantidad de información de las empresas tendremos un panorama mas sencillo para saber el estado del sistema de gestión y seguridad de la información

Danny Alejandro fernandez gallego

student•

Esto se podria trabajar muy bien con Magerit 1, 2 y 3. Tienen un muy buen software inclusive para evaluar activos de información, tangibles e intangibles, abarcas todo desde el escritorio que sostiene el computador hasta llaves de acceso, muy bueno

Jairo Alonso Alonso Leiton

student•

Gracias por la información el tema en las empresas tener el tiempo para levantar toda esta información? al parecer esta actividad requiere un grupo de personas dedicado a esta actividad

Andy Uc

student•

¿Como qué software? Es decir, mencionan que hay software que puede ayudarte, y pregunto por curiosidad. ¿QUé software existe?

Neil Camilo Cubillos

student•

Me surge la misma inquietud

Mauricio Arancibia Pino

student•

De lo que entiendo del desarrollo del inventario de activos, mientras más detallada y completa esté la información, mejor será el análisis de riesgos. En ese sentido, el inventario, ¿también deberían considerar a las personas que participan en los procesos? si la respuesta es si ¿cómo los clasifico en términos de confidencialidad, integridad y disponibilidad?

Alex Tovar

teacher•

Hola @marancib que bueno que estés tomando el curso. Está muy bien tu conclusión, entre más detallado el inventario de activos mejor será la implementación de los controles. Sin embargo, su alcance no llega hasta las personas, ya que estas no son un "activo" como tal, solo debe ser considerado el responsable de dicho activo, pero es más al nivel del rol que este desempeñe en la compañía.

Diana Maria Andica Bueno

student•

Tengo una duda con respecto a lo que dices que las personas no son un activo, porque tengo entendido que es el activo de talento humano, pero mas enfocado a roles, ejm> administrador de red

Renee Enriquez Montalvan

student•

Bueno hacer esa matriz al principio sera complicado, pero hay que acostumbrarse.

Fabio Andres Tovar Zambrano

student•

Buen día.

Donde puedo obtener la plantilla de esta matriz o me la podrían compartir a mi correo fabio.tovar@samtel.co

Muchas gracias.

Nahuel Rivas

student•

En la sección de recursos de la clase anterior, se encuentra.

Edicson Armando Hurtado Lozano

student•

NO HAY ACCESO AL ARCHIVO DRIVE

Ricardo Mendez Barco

student•

Como Se Relacionan los Controles del Anexo A, con la clasificación de los Activos de Información....?

Antonio Alejandro Vera Gallardo

student•

El excel no me funciono, al abrirlo tenia que descargar cosas adicionales, pero no podia, decia que la direccion no estaba disponible, y asi varios intentos, por lo que no pude hacerlo

David Castellanos

student•

Gracias por compartir la matriz, es de gran ayuda y orientacion.

Juan Esteban Ocampo Beltran

student•

Me parece que es una matriz que otorga bastante informacion al respecto de los activos, por lo tanto no veo como posible buscar una implementacion de esta en mi organizacion ya que es una universidad con gran cantidad de activos

Martha Patricia Calderon

student•

Lo principal es que los lideres de proceso no le dan la importancia. Entonces es muy difícil que le den tiempo para ejecutar esta actividad. Y normalmente son muy celosos con la información. Pero cuando se pierde alfo ..eso si llaman a TI.

SANDRA MILENA ALFONSO BERMUDEZ

student•

Buenas tarde,

Excelente la matriz de inventario de activos. me gustaria consultar: Cómo puedo explicar los conceptos de confidencialidad, integridad y disponibilidad de forma clara a personas de otras áreas, para que comprendan su importancia en la clasificación de activos (alta, media, baja)? Además, ¿existe alguna metodología o ponderación que pueda emplearse para facilitar esta clasificación?

Platzi

student•

Los conceptos de confidencialidad, integridad y disponibilidad se explican con el nivel de criticidad para cada uno. La confidencialidad define quién puede acceder al activo, la integridad asegura que el activo es preciso y no se ha alterado indebidamente, y la disponibilidad garantiza que el activo está accesible cuando se necesita. La ponderación se asigna en alto, medio o bajo, basado en la criticidad que tenga cada elemento, definida por el dueño del proceso. No hay detalles de una metodología específica de ponderación en la transcripción.

Melany Tatis

student•

El apartado Recursos donde lo puedo encontrar?

Omar D

student•

En la clase anterior Laboratorio: construyendo una matriz de activos de información

Ardanys Canchila Mercado

student•

Exactamente en la clase 13, debajo del panel de control del video, ha dos versiones una en Excel y otra en Google Sheet

Melany Tatis

student•

Buenas tardes. Donde puedo descargar el laboratorio?

Ardanys Canchila Mercado

student•

Exactamente en la clase 13, debajo del panel de control del video, ha dos versiones una en Excel y otra en Google Sheet

Jonathan Lopez

student•

Estarían genial que compartieran un archivo como el de la presentación para los principiantes que estamos empezando en esto

Clasificación de Activos de Información en Excel

Introducción a la norma ISO 27001

Preparación para Auditoría Interna ISO 27001

Historia y Evolución de la Norma ISO 27001 hasta 2019

Principios de la Seguridad de la Información: Confidencialidad, Integridad y Disponibilidad

Sistema de Gestión de Seguridad según la Norma ISO 27001

Contenido de la norma

Terminología clave de la norma ISO 27001

Norma ISO 27001: Gestión de Seguridad de la Información

Implementación de ISO 27001: Contexto, Liderazgo y Planificación

Implementación de la Norma ISO 27001: Recursos y Competencias

Controles del Anexo A de ISO 27001: Introducción y Aplicaciones

Controles de Seguridad en ISO 27001: Anexo A y su Implementación

Gestión de Riesgos

Gestión de Riesgos y Clasificación de Activos de Información