ISMS Copilot
Glosario de ISO 27001

¿Qué es un activo en ISO 27001?

Descripción general

Un activo en ISO 27001 es cualquier cosa que tenga valor para su organización y que requiera protección. Los activos incluyen información, sistemas, equipos físicos, servicios, personas y la reputación organizacional que sustentan las operaciones comerciales y requieren salvaguardas de confidencialidad, integridad o disponibilidad.

Qué significa en la práctica

Los activos son lo que usted protege con su SGSI. Su evaluación de riesgos comienza identificando los activos, luego determina qué amenazas podrían dañarlos y qué controles son necesarios para su protección.

Ejemplo del mundo real: Los activos de una empresa SaaS incluyen: base de datos de clientes (información), código fuente (propiedad intelectual), servidores de producción (físicos/técnicos), empleados con habilidades especializadas (personas), servicios en la nube de terceros (servicios) y reputación de marca (intangible). Cada uno requiere diferentes medidas de protección.

Tipos de activos

Activos de información

  • Datos estructurados: Bases de datos, hojas de cálculo, registros

  • Documentos: Contratos, políticas, procedimientos, informes

  • Propiedad intelectual: Código fuente, patentes, secretos comerciales, diseños

  • Datos personales: Información de clientes, registros de empleados (regulados por GDPR)

  • Datos financieros: Registros de transacciones, detalles bancarios, estados financieros

  • Comunicaciones: Correos electrónicos, mensajes de chat, llamadas grabadas

Activos físicos

  • Hardware: Servidores, estaciones de trabajo, laptops, dispositivos móviles

  • Medios de almacenamiento: Discos duros, unidades USB, cintas de respaldo

  • Infraestructura: Equipos de red, cables, sistemas de energía

  • Instalaciones: Centros de datos, oficinas, salas de servidores

  • Documentos en papel: Registros impresos, contratos, archivos confidenciales

Activos de software

  • Aplicaciones: Software empresarial, sistemas CRM, ERP

  • Sistemas operativos: SO de servidores y estaciones de trabajo

  • Herramientas de desarrollo: IDEs, compiladores, sistemas de compilación

  • Software personalizado: Aplicaciones desarrolladas internamente

  • Licencias: Derechos y titularidades de software

Servicios

  • Servicios de TI: Plataformas en la nube, aplicaciones SaaS, servicios gestionados

  • Suministros: Energía, refrigeración, telecomunicaciones

  • Servicios de soporte: Contratos de mantenimiento, monitoreo de seguridad

  • Proveedores externos: Funciones tercerizadas, consultores

Personas

  • Experiencia especializada: Habilidades que son difíciles de reemplazar

  • Personal clave: Individuos críticos para las operaciones

  • Conocimiento institucional: Procesos no documentados conocidos por personas específicas

Activos intangibles

  • Reputación: Valor de marca, confianza del cliente

  • Plusvalía (Goodwill): Relaciones comerciales, posición en el mercado

  • Cumplimiento regulatorio: Licencias, certificaciones

Alcance de la identificación de activos: Concéntrese en los activos dentro del alcance definido de su SGSI. Si su alcance es "aplicación web orientada al cliente e infraestructura de soporte", los activos fuera de ese límite (como los sistemas internos de RR.HH.) no necesitan catalogarse para fines de ISO 27001.

Inventario de activos (A.5.9)

Por qué el inventario es obligatorio

El control A.5.9 de ISO 27001 requiere un "inventario de información y otros activos asociados". No se puede proteger lo que no se sabe que se tiene. El inventario de activos es la base de la evaluación de riesgos.

Qué incluir en el inventario

Para cada activo, documente:

  • ID del activo: Identificador único

  • Nombre/descripción del activo: Identificación clara

  • Tipo de activo: Información, físico, software, servicio, etc.

  • Propietario: Persona responsable del activo

  • Ubicación: Ubicación física o lógica

  • Clasificación: Nivel de sensibilidad (Público, Interno, Confidencial, etc.)

  • Valor: Importancia para el negocio (opcional pero útil)

  • Dependencias: Otros activos de los que depende o a los que sirve de apoyo

Formatos de inventario

  • Hoja de cálculo: Simple, funciona para organizaciones pequeñas

  • Base de datos: Mejor para organizaciones medianas/grandes con muchos activos

  • Herramienta GRC: Integrada con la evaluación de riesgos y la gestión de controles

  • Base de datos de gestión de configuración (CMDB): Activos técnicos rastreados en sistemas de TI

Error común: Crear un inventario exhaustivo de cada bolígrafo y clip. Concéntrese en los activos materiales para los riesgos de seguridad de la información. Un inventario de 500 líneas de artículos triviales es más difícil de mantener que una lista enfocada de 50 artículos críticos.

Propiedad de los activos

Qué significa la propiedad de los activos

El propietario del activo es responsable de:

  • Definir los requisitos de clasificación y protección

  • Aprobar el acceso al activo

  • Garantizar que se apliquen los controles adecuados

  • Revisar periódicamente la seguridad del activo

  • Autorizar la eliminación o el desmantelamiento del activo

Propietario vs. Custodio

  • Propietario: Rol de negocio responsable del activo (generalmente un gerente o ejecutivo)

  • Custodio: Rol técnico que gestiona la seguridad diaria del activo (a menudo el equipo de TI)

Ejemplo: El Vicepresidente de Ventas podría ser el propietario de la base de datos de clientes (responsabilidad de negocio), mientras que el administrador de la base de datos es el custodio (gestión técnica).

Mejor práctica: Asigne propietarios en un nivel adecuado: lo suficientemente alto para tener autoridad y responsabilidad, pero lo suficientemente cerca del activo para tomar decisiones informadas. Un ejecutivo de nivel C que posee 200 activos individuales no puede gestionarlos eficazmente.

Clasificación de activos (A.5.12)

Por qué clasificar los activos

La clasificación garantiza que los activos reciban la protección adecuada según su sensibilidad y valor. No todos los datos necesitan la misma seguridad: la clasificación permite la selección proporcional de controles.

Esquemas de clasificación comunes

Básico (3 niveles)

  • Público: Puede ser divulgado libremente

  • Interno: Para uso interno, no público

  • Confidencial: Sensible, acceso restringido

Estándar (4 niveles)

  • Público: Sin impacto en la confidencialidad si se divulga

  • Interno: Bajo impacto por divulgación

  • Confidencial: Impacto medio-alto por divulgación

  • Secreto/Restringido: Impacto grave por divulgación

Detallado (5+ niveles)

Algunas organizaciones añaden niveles como "Propietario", "Sensible" o clasificaciones específicas de regulación (PII, PHI, PCI).

Criterios de clasificación

Determine la clasificación según el impacto en la CIA (Confidencialidad, Integridad y Disponibilidad) si se ve comprometido:

  • Confidencialidad: Impacto de la divulgación no autorizada

  • Integrity: Impacto de la modificación no autorizada

  • Disponibilidad: Impacto de la pérdida o falta de disponibilidad

También considere:

  • Requisitos legales/regulatorios (GDPR, HIPAA, PCI DSS)

  • Obligaciones contractuales (acuerdos de confidencialidad con clientes, acuerdos con proveedores)

  • Valor comercial y sensibilidad competitiva

Pautas de clasificación: Cree criterios de decisión claros para cada nivel. Por ejemplo, "Confidencial: Datos personales, registros financieros, secretos comerciales o datos cuya divulgación causaría un daño comercial significativo o sanciones regulatorias".

Valoración de activos

Por qué valorar los activos

El valor de los activos ayuda a priorizar los esfuerzos de protección y a justifica las inversiones en controles. Los activos de alto valor justifican controles más fuertes (y costosos).

Enfoques de valoración

Cuantitativo (financiero)

  • Costo de reemplazo (hardware, licencias de software)

  • Impacto en los ingresos si no está disponible

  • Multa o sanción potencial si se ve comprometido

  • Valor de mercado o valor de la propiedad intelectual

Cualitativo (impacto en el negocio)

  • Crítico: Esencial para la supervivencia del negocio

  • Alto: Impacto empresarial significativo

  • Medio: Impacto notable pero existen alternativas

  • Bajo: Impacto mínimo si se pierde o se compromete

Factores que afectan el valor del activo

  • Costo y esfuerzo de reemplazo

  • Tiempo para restaurar o recrear

  • Dependencia de ingresos

  • Importancia regulatoria

  • Ventaja competitiva proporcionada

  • Impacto reputacional si se compromete

El valor no es solo el costo: El costo de reemplazo de una base de datos de clientes puede ser modesto, pero su valor incluye años de construcción de relaciones, inteligencia competitiva y obligaciones de cumplimiento de GDPR. El valor abarca todos los impactos comerciales, no solo el costo financiero de reemplazo.

Gestión del ciclo de vida de los activos

Adquisición

  • Añadir al inventario de activos cuando se adquiera

  • Asignar propietario y clasificar

  • Aplicar controles adecuados según la clasificación

Uso

  • Operar dentro de las políticas de uso aceptable (A.5.10)

  • Mantener los controles durante todo el ciclo de vida

  • Revisar periódicamente los permisos de acceso

Modificación

  • Actualizar el inventario cuando los activos cambien

  • Reevaluar la clasificación si el uso o la sensibilidad cambian

  • Seguir los procesos de gestión de cambios (A.8.32)

Transferencia

  • Mantener la confidencialidad durante la transferencia (A.5.14)

  • Actualizar la propiedad en el inventario

  • Garantizar que los controles permanezcan en su lugar

Eliminación

  • Eliminar la información de forma segura (A.8.10)

  • Destrucción física si es necesario

  • Eliminar del inventario

  • Devolver activos arrendados/licenciados (A.5.11)

Los activos y la evaluación de riesgos

Evaluación de riesgos centrada en los activos

Enfoque común de evaluación de riesgos:

  1. Identificar activos

  2. Determinar el valor/clasificación del activo

  3. Identificar amenazas para cada activo

  4. Identificar vulnerabilidades que las amenazas podrían explotar

  5. Evaluar el impacto si la amenaza explota la vulnerabilidad

  6. Evaluar la probabilidad de ocurrencia

  7. Calcular el nivel de riesgo (impacto × probabilidad)

  8. Seleccionar controles para reducir el riesgo

Dependencias de activos

Considere las dependencias en la evaluación de riesgos. Si el Activo A depende del Activo B, las amenazas al Activo B también amenazan al Activo A.

Ejemplo: Su aplicación web orientada al cliente depende del servidor de la base de datos. Los riesgos de la base de datos se convierten indirectamente en riesgos de la aplicación.

Conceptos relacionados

Obtener ayuda

Utilice ISMS Copilot para generar plantillas de inventario de activos, crear esquemas de clasificación adecuados para su negocio y vincular activos a evaluaciones de riesgos de manera eficiente.

¿Te fue útil?