Inventario de activos de información Introducción Con el propósito realizar el levantamiento de d e las políticas de seguridad de información uno de los primeros pasos es determinar los activos de información con relación a cada una de las líneas de negocio de la empresa. Este inventario permite a la organización tener un registro para entender mejor las necesidades de seguridad de información y determinar los controles para asegurar la confidencialidad, integridad y disponibilidad de su información. Posteriormente, este inventario servirá como entrada para el análisis de riesgos y demás procesos en la estrategia de aseguramiento de los servicios y procesos de la compañía. Metodología Para el levantamiento del inventario de los activos de información se utilizó un proceso p roceso el cual tiene por objetivo proveer una plataforma desde la cual la empresa puede evaluar objetivamente sus activos de información desde los siguientes elementos: • •
Establecer las categorías sobre las cuales se clasifican los activos Determinar la línea de negocio sobre la cual aplican
Categorías Esta clasificación se hace con base en tres categorías principales: Activos de información pura, activos físicos de tecnología de información, activos de servicios y activos de información humana. A su vez existe una subclasificación para tener una taxonomía mas precisa. La siguiente es la descripción de las tipos de categorías y el listado de subcategorías: Activos de información pura. Hace referencia a activos digitales (ópticos, magnéticos, memoria no volátil), tangibles (como papel u otro material) o intangibles con información o mecanismos de acceso a información de la compañía. Información Digital Información almacenada en medios digitales ópticos, magnéticos o de transistores, como discos duros mecánicos o de estado sólido, discos extraíbles, cintas, memorias USB, CDs, DVDs, BIOS y microprocesadores con memoria no volátil. Dentro de esta se identificaron:
• • • • • • • • • • • • • • • • • • • • • • • • • •
Información personal Información financiera Información legal Información tributaria Información de investigación y desarrollo Información de estrategias de mercadeo y comerciales Correo electrónico Registros de bases de datos de clientes Registros de bases de datos de proveedores Registros de bases de datos de OWL y Dotproject Copias de respaldo Archivos digitales Certificado Digitales (Para el correo electrónico) Metodologías propias de la compañía Formatos de soporte de metodologías Artefactos de procesos de construcción de software Información de registro de productos y/o servicios (cámara de comercio) Información de la página Web Claves de ingreso Archivos de propuestas comerciales Cronogramas Hojas de tiempo Código fuente Archivos objeto o compilados Información de configuración CVS Reglas Firewall
Software de Sistema operativo Comprenden las licencias de los sistemas operativos, BIOS, firmware de sistemas embebidos y controladores de hardware usados en la compañía. Dentro de esta se identificaron: • • • • • •
Licencias de sistema operativo de equipos de escritorio Licencias de sistema operativo de equipos servidores Licencias de sistema operativos de máquinas virtuales Sistema operativo de equipos de redes Software de sistemas embebidos (BIOS y Firmware) Controladores de hardware
Software de aplicación Es el software de utilidad montado sobre el sistema operativo que tiene alguna utilidad en la empresa. Este puede ser usado por humanos o por otras máquinas. Dentro de esta se identificaron:
• • • • • • •
• • •
•
Software hecho o modificado para el servicio de clientes Software hecho o modificados para el soporte del negocio Utilidades de software de escritorio Utilidades para software servidor Licencias de software de ofimática Licencias de software ambientes de desarrollo integrado (IDEs) Licencias de software de seguridad informática (antivirus, antispyware, firewall) Licencias de Bases de datos Licencias de software de virtualización Licencia de Software Middleware (contenedores de aplicación, colas, integradores, etc) Licencias de software de monitoreo
Activos de información tangible Es la información dispuesta en medios físicos como papel, hojas continuas, brochures, libros, revistas, etc. • • •
• • • • • • • • • • • • • • • •
Documentos de constitución de la empresa Hojas de vida Información financiera (extractos, recibos de consignación, estados de cuenta, etc) Documentos con información de investigación y desarrollo Actas archivadas en papel Documentos de estrategia comercial Información de proveedores en papel Correo físico normal Correo físico certificado Faxes Propuestas comerciales archivadas y/o firmadas Libros Revistas Post-its Brochures comerciales Artefactos de metodologías impresos Llaves para el acceso a la empresa Reglamentos y procedimientos impresos Información contable
Activos de información intangible Información que en ocasiones no es factible materializar en un medio físico o su significado es valioso, no por la razón misma de su materialización, sino por lo que relevancia para la compañía.
• • • • • • • • • •
Reputación de la compañía Secretos comerciales Patentes Registros de marca Confianza de los clientes Ventaja competitiva Ética Productividad Relación de negocios (proveedores, clientes, sociedad) Logos e imagen corporativa
Activos físicos de tecnología de información Consiste en los activos materiales sobre los cuales la operación de tecnología de información, implican la infraestructura de soporte, sistema de control ambientales y hardware. Infraestructura de soporte Comprende las estructuras físicas donde se ubica el personal de IT y almacenamiento de equipos, sistemas de control de acceso y vigilancia. • • • • • •
Ubicaciones o sucursales de la empresa Cuarto de servidores Closets de cableado y LAN Escritorios, cajones y gabinetes Sistemas de alarma Ubicación de proveedor Terremark
Sistemas de control ambientales de Tecnología de información Sistemas físicos que mantienen las condiciones de operación de los recursos de IT. • • • • • • •
Alarmas de robo (en las dos sucursales) Alarmas de incendio Sistemas de detección de humo UPS Subestación eléctrica Sistemas de alimentación de equipos Sistemas de aire acondicionado para servidores y chillers
Hardware de IT Sistemas de cómputo de escritorio o servidores, sistemas de comunicaciones y otros dispositivos de procesamiento, almacenamiento o transmisión de información.
• • • • • • • • • • •
•
Servidores de aplicación Servidores de bases de datos Servidores carpetas compartidas Servidores de Firewall Servidor de correo electrónico Servidor Web Servidor VPN Servidor Proxy Estaciones de trabajo de escritorio Laptops Dispositivos de comunicación (switches, routers, servidor DNS, Cableado LAN Equipos Wireless)
Activos de servicios Servicios que corren con la interacción de uno o mas servidores y/o software montado sobre estos. • • • • • • • • • • •
Servicios de soporte a clientes Servicios de soporte interno Servicio de VPN Servicio de FTP Servicios WEB Servicios Proxy Servicio Mail Servicio de asistencia o control remoto Contratos de soporte y mantenimiento Servicios de seguridad (Firewall, IDS, IPS, anti-spam/virus/spyware) Servicio de wireless y protocolo de autenticación
Activos de información humana Hace referencia a los datos, información, conocimiento y experiencia que poseen las personas que interactúan con la empresa. Esta información se puede caracterizar de acuerdo al tipo de contratación: pueden ser empleados o no empleados con los cuales se tiene un contrato de servicios y/o obra. Empleados Personas que tienen un contrato legal vigente a término fijo o indefinido. Gerentes y Staff (Ejecutivos y gerenciales). • • • •
Arquitectos de software Desarrolladores Testers Administradores de sistemas
• •
Abogados y personal de cumplimiento Personal administrativo (caja, cartera, finanzas, recursos humanos, recepcionista, servicios generales, etc)
No empleados Empleados que prestan sus servicios de manera temporal y/o esporádica. • • • • • •
Empleados temporales Contratistas Consultores Consejeros Empleados de proveedores o clientes Asociados de negocio
Áreas y líneas de negocio sobre los que aplican Se elaboró una matriz sobre la cual se detallan los activos de información arriba descritos sobre las unidades de negocio que aplican en la compañía. Para propósitos de este informe inicialmente se determina si aplica o no, sin embargo en una entrega posterior se determinará el nivel de relevancia sobre las líneas de negocio. Las áreas y líneas de negocio sobre las que se hace el diagnóstico son: • • • • • • • • •
Aplicaciones Infraestructura Fabrica de software Servicios BPO Comercial IT Recursos Humanos Financiera Administrativa
En la matriz “ActivosInformacion-AreasEmpresa.xls” se muestra la correspondencia entre estas.