Creación de Plantilla de Gestión de Activos de Información en Excel
Clase 13 de 39 • Curso de Preparación para la Certificación en la Norma ISO 27001 (2020)
Contenido del curso
Contenido de la norma
- 5
Terminología clave de la norma ISO 27001
09:00 min - 6
Norma ISO 27001: Gestión de Seguridad de la Información
06:39 min - 7
Implementación de ISO 27001: Contexto, Liderazgo y Planificación
08:28 min - 8
Implementación de la Norma ISO 27001: Recursos y Competencias
10:15 min - 9
Controles del Anexo A de ISO 27001: Introducción y Aplicaciones
08:48 min - 10
Controles de Seguridad en ISO 27001: Anexo A y su Implementación
07:54 min
Gestión de Riesgos
- 11
Gestión de Riesgos y Clasificación de Activos de Información
09:56 min - 12
Clasificación de Activos de Información en Excel
11:46 min - 13
Creación de Plantilla de Gestión de Activos de Información en Excel
Viendo ahora - 14
Clasificación de Activos de Información en Excel
06:30 min - 15
Gestión de Niveles y Tratamientos de Riesgo según ISO 27001
12:58 min - 16
Gestión de Riesgos: Mapa de Calor y Tratamiento Efectivo
08:01 min - 17
Controles para Mitigar Riesgos según ISO 27001
07:28 min - 18
Construcción de Matriz de Riesgos para Gestión Empresarial
12:12 min - 19
Gestión de Controles en Matrices de Riesgos en Excel
08:54 min - 20
Modelo de Tres Líneas de Defensa en Seguridad de la Información
06:38 min - 21
Declaración de Aplicabilidad en ISO 27001: Importancia y Contenido
01:40 min
Controles de seguridad: Políticas y controles de acceso
Controles de seguridad: Operaciones y Comunicaciones
Controles de seguridad: Sistemas de información
Auditoría
- 31
Auditoría de Sistemas de Seguridad según ISO 27001
09:16 min - 32
Terminología de Auditoría según ISO 27001
08:33 min - 33
Fases de una Auditoría: Paso a Paso para su Ejecución
14:15 min - 34
Auditoría ISO 27001: Identificación y Reporte de No Conformidades
09:47 min - 35
Reporte de No Conformidades en Auditoría ISO 27001
10:42 min
Gestión de la Continuidad del Negocio
Cierre del curso
Resumen
¿Cómo desarrollar una matriz de confidencialidad, integridad y disponibilidad?
En el mundo actual, donde la información se erige como uno de los activos más valiosos de las organizaciones, gestionar adecuadamente la confidencialidad, integridad y disponibilidad es vital. La construcción de matrices que permitan identificar y clasificar la información es esencial, pero ¿cómo hacerlo de manera efectiva? Aquí te guiaré paso a paso en el uso de una plantilla de Excel para lograrlo.
¿Qué debes incluir en la plantilla?
Primero, debes comprender que la creación de tu propia matriz no sigue un estándar universalmente aplicado. La norma ISO 27001 no proporciona una plantilla fija; más bien, se construye basándose en las necesidades y estructuras de cada empresa. Asegúrate de que se adapte a tus necesidades específicas y que la información esté tan completa como sea posible.
Elementos básicos de la plantilla
- Logo de la organización: Facilita la identificación visual.
- Nombre del activo: Asegúrate de que corresponda al título con el que se le identifica comúnmente.
- Nivel de confidencialidad: Esta información debe ser manejada con rigor ético y no debe ser divulgada fuera del proceso de gestión de seguridad de la información.
Por ejemplo, para el caso de informes de gestión en una oficina de secretaría, los datos deben reflejar:
- Código (ID): Un identificador único.
- Dependencia o área: Lugar donde reside o se usa principalmente el activo.
- Descripción del activo: Una explicación detallada elaborada en colaboración con el usuario responsable.
- Observaciones: Notas opcionales que añadan contexto o detalles relevantes.
¿Cómo definir los atributos del activo?
La matriz debe también describir atributos particulares que impacten en cómo se administra el activo:
- Datos personales: Indicar si el activo contiene o no datos personales.
- Susceptibilidad a fraude: Reflexiona sobre potenciales riesgos de manipulación o corrupción, especialmente en formatos digitales no protegidos.
- Importancia operativa: Clasifica si el activo es clave para el funcionamiento de un proceso específico o si es fundamental para la organización en general.
¿Cómo gestionar la ubicación y propiedad del activo?
Es fundamental identificar dónde y cómo se almacena el activo:
- Ubicación: Puede ser física, digital, o ambas. Una mezcla de reportes impresos y datos digitales es común en muchas compañías.
- Propietario y custodio: Mientras el propietario es quien hace uso del activo diario, el custodio es el responsable de su protección y conservación.
Por ejemplo, el propietario puede ser la oficina del secretario, mientras que el custodio podría ser el área de gestión documental.
¿Cómo establecer el acceso y formato del activo?
Finalmente, el formato y el acceso a los activos deben ser claramente definidos:
- Formato de acceso: Si es tangible (papel) o digital (Excel, aplicativos), cada uno tiene sus particularidades.
- Usuarios con acceso: Indica quién tiene derecho de acceso y bajo qué condiciones.
Imagínate un archivo Excel que es accedido por el comité de política de riesgo dentro de una Secretaría de Hacienda, aquí se debe especificar claramente dicha restricción.
Conclusión práctica
La capacidad de compilar, gestionar y resguardar la información en una organización refleja el profesionalismo y la eficiacia en su administración de seguridad. Compartir experiencias y dialogar sobre las buenas prácticas ayudará a sistematizar la implementación de estas plantillas de forma exitosa. Sigue explorando, ajusta las herramientas a tus necesidades y ¡continúa aprendiendo para fortalecer la seguridad de la información en tu organización!