Activos de Información y Criticidad

Clase 7 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

La gestión de activos de información es un pilar fundamental en cualquier sistema de seguridad empresarial moderno. Identificar, clasificar y proteger adecuadamente estos activos no solo es una buena práctica, sino una necesidad imperativa para salvaguardar el valor más preciado de las organizaciones actuales: sus datos. A continuación, exploraremos cómo implementar un sistema efectivo de gestión de activos de información y cómo detectar los riesgos asociados a ellos.

¿Qué son los activos de información y por qué son cruciales para tu empresa?

Los activos de información son todos aquellos elementos donde fluyen los datos valiosos para tu empresa. Esto incluye:

  • Datos
  • Sistemas
  • Componentes de hardware y software
  • Servicios en la nube
  • Modelos de aprendizaje
  • Personal
  • Documentos
  • Servicios relacionados

Estos activos son críticos porque forman parte de los procesos dentro del alcance de tu sistema de gestión y deben protegerse contra ciberdelincuentes y otras amenazas de seguridad. Para cumplir con las normativas de seguridad, es necesario realizar un inventario detallado de estos activos, clasificarlos según su criticidad y naturaleza, y mantener esta información documentada y actualizada.

Es fundamental que toda esta información esté disponible para todos los miembros de la organización, ya que la seguridad es responsabilidad de todos dentro de la empresa.

¿Cómo realizar un inventario efectivo de activos de información?

Tomando como ejemplo a Nutriglobal, podemos observar un enfoque estructurado para inventariar activos de información. La empresa ha realizado un esfuerzo significativo para clasificar sus activos y definir su nivel de criticidad. Por ejemplo, han identificado que los datos utilizados para analítica y ciertas aplicaciones son extremadamente críticos.

Un inventario de activos debe seguir un esquema que incluya:

  • Codificación única
  • Nombre corto
  • Descripción detallada
  • Tipo de activo
  • Nivel de criticidad

Adicionalmente, es recomendable incluir niveles de confidencialidad, lo que permite etiquetar los activos según quién puede acceder a ellos:

  1. Públicos: Pueden compartirse con cualquier persona en internet.
  2. Confidenciales para la empresa: Solo accesibles para el equipo interno.
  3. Confidenciales para clientes: Información sensible compartida únicamente con clientes específicos.

¿Cómo detectar riesgos de seguridad en tus activos de información?

Una vez identificados los activos, es crucial iniciar el proceso de detección de riesgos de seguridad. Esto implica:

  1. Identificar amenazas potenciales
  2. Detectar vulnerabilidades en el entorno
  3. Evaluar y medir el impacto de posibles incidentes de seguridad

Diariamente se publican numerosas vulnerabilidades que podrían afectar a tus sistemas. Por ejemplo, una falla en Nest JS podría permitir a ciberdelincuentes eludir mecanismos de autorización y acceder a partes ocultas del código de una aplicación.

Herramientas para la detección de riesgos en activos de información

Nutriglobal utiliza diversas herramientas para revisar la seguridad de sus activos críticos:

  1. OWASP: Esta herramienta permite detectar vulnerabilidades en servicios web. Mediante un escaneo simple hacia una dirección IP asociada a un servicio web, se pueden identificar riesgos como directorios navegables, que podrían representar un nivel de riesgo medio o crítico dependiendo del contexto.

  2. Wepiri: Un escáner de vulnerabilidades orientado a sistemas de información web. Esta herramienta puede identificar fallas como tráfico inseguro a través del protocolo HTTP, proporcionando información sobre el nivel de riesgo en determinados activos.

  3. Pruebas de prompt injection: Para aplicaciones que utilizan inteligencia artificial, Nutriglobal realiza pruebas específicas para detectar si los modelos de aprendizaje pueden ser manipulados para omitir acciones para las que fueron diseñados, lo que podría permitir acceso a información sensible.

Es importante analizar cuidadosamente tus activos de información para determinar qué herramientas son las más adecuadas para detectar vulnerabilidades específicas. Recuerda que la alta dirección debe proporcionar el apoyo necesario para implementar estos procesos de seguridad de manera efectiva.

La gestión de activos de información y la detección de riesgos son procesos continuos que requieren atención constante. Al implementar estas prácticas, tu organización estará mejor preparada para proteger sus datos más valiosos y mantener la confianza de clientes y socios comerciales. ¿Has comenzado a implementar alguna de estas prácticas en tu empresa? Comparte tu experiencia y dudas en los comentarios.