Inventario y clasificación de activos de información empresarial

Proteger los activos de información es esencial en la seguridad de cualquier empresa. Cuando hablamos de gestión, no solo se trata de proteger datos, sino de entender cómo se identifican, clasifican y evalúan los riesgos para reducir vulnerabilidades y fortalecer la infraestructura tecnológica y operativa, como muestra el ejemplo de Nutriglobal.

¿Qué son los activos de información en la empresa y por qué son críticos?

Los activos de información incluyen datos, sistemas, hardware, software, servicios cloud, modelos de aprendizaje, personas y documentos. Forman parte del sistema de gestión y son tan importantes que, si los ciberdelincuentes los afectan, los daños podrían ser críticos.

• La protección de estos activos debe ser prioridad y un esfuerzo conjunto de todo el equipo.
• Es fundamental contar con un inventario actualizado de activos de información que identifique claramente qué proteger y cómo.

¿Cómo se elabora y clasifica un inventario de activos según su criticidad para la seguridad?

El inventario de activos debe contener información como:

• Codificación única.
• Nombre corto.
• Descripción resumida.
• Tipo de activo.
• Nivel de criticidad, así como niveles de confidencialidad (público, confidencial interno, confidencial para clientes).

Nutriglobal clasifica sus activos según su importancia, por ejemplo, los datos para analítica y ciertas aplicaciones se consideran extremadamente críticos. Etiquetar activos es clave para gestionar adecuadamente el flujo de información.

¿Cómo identificar riesgos y vulnerabilidades en los activos de información?

Tras identificar los activos, el siguiente paso es detectar riesgos y posibles vulnerabilidades del entorno:

• Es fundamental identificar amenazas y medir el impacto de incidentes si ocurrieran.
• Existen muchas vulnerabilidades que aparecen cada día; una falla en Next.js puede ser un ejemplo relevante, ya que podría permitir eludir controles de autorización en aplicaciones web.

¿Qué herramientas utilizan las empresas como Nutriglobal para detectar riesgos?

Nutriglobal emplea soluciones especializadas para hacer análisis y escaneos de seguridad:

• OWASP: Escanea aplicaciones web buscando posibles fallas; por ejemplo, identifica directorios navegables con riesgo medio, que, según el contexto, puede escalarse a crítico.
• Webpiri: Escáner de vulnerabilidades que detecta fallas como tráfico no seguro por HTTP.
• Pruebas de prompt injection en modelos de AI permiten detectar si un modelo ejecuta acciones fuera de lo planeado y accede a información sensible.

¿Por qué es importante el apoyo de la alta dirección en la gestión de riesgos?

El respaldo y compromiso de la alta dirección son claves para dotar de recursos y facilitar la implementación de procesos efectivos de gestión y control de activos de información. Analizar, clasificar y proteger activos requiere una visión estratégica y trabajo constante.

¿Tienes experiencia usando estas herramientas o métodos para identificar riesgos en los activos de información de tu empresa? Comenta y comparte tus ideas para seguir aprendiendo juntos.