Una práctica
que es posible esté siendo constantemente subestimada, es la clasificación de
los activos de información. La razón para que argumentemos esto, es debido a
que en el momento de revisar los planes de las áreas de riesgo tecnológico,
seguridad de información e inclusive aquellas a cargo de la tecnología en la
organización, nos encontramos con poca evidencia que determine o identifique
que se haya realizado una adecuada clasificación de la información. En la mayoría de
las ocasiones, se evidencian inventarios que son utilizados para llevar un
registro de los equipos o aplicaciones que hacen cuenta de lo que se tiene y
para que se tiene, sin mayor apoyo a otras actividades.
La
clasificación de los activos de información tiene una gran importancia, en vista
que puede retroalimentar otros elementos de gestión de la tecnología, seguridad
y riesgos. Por lo general, y en modo general tiene dos objetivos fundamentales:
el primero es brindar la adecuada administración a los recursos que la
organización dispone; y el segundo objetivo es protegerlos apropiadamente de
las amenazas a las cuales se exponen. Con lo cual, permite desarrollar un
apropiada administración de riesgos sobre los mismos, obteniendo como resultado
de todos estos esfuerzos un aprovechamiento de los activos, mitigando riesgos y
generando valor a la organización.
La práctica en
sí, permite clasificar los activos de información basado en su nivel de
exposición, así como la importancia relativa que éste representa en los
procesos del negocio. En consecuencia, si estos procesos son críticos, es muy
posible que los activos que subyacen en dicho proceso serán críticos y
requerirán de una adecuada protección de acuerdo al nivel de sensibilidad
observado.
Como puede
observarse, la gestión de activos de información, es un marco de gestión que
pudiera ser independiente, pero que bajo esa perspectiva sería perfectamente
inútil. Lo apropiado es derivar (retroalimentar) a otras prácticas en la
organización que conllevan a fortalecer el ambiente de control, tales como los
planes específicos para mitigar eventos o incidentes que atenten contra la
condición ideal del negocio, que es estar operativo constantemente.
Pocas veces se
encuentran planes de tecnología u organizacionales donde un insumo para el
desarrollo de dichos planes sea el producto de la clasificación de los activos
de información. Por lo general, un plan de seguridad o de continuidad del
negocio se inicia con un análisis de riesgos sin retroalimentarse de la
clasificación de los activos de información, esto porque no se ha hecho o
simplemente porque se subestima el valor que esta gestión representa para el
resto de las prácticas de control.
Llevar a cabo
una gestión de clasificación de los activos de información en una organización
es simple. Su método poco varía y se soporta en modelos tradicionales de
evaluación de riesgos; el cual permite identificar los activos, describirlos y
catalogarlos. Si tuviésemos que enumerar los pasos, los mismos serían los
siguientes:
a) Identificar activos que posean
atributos comunes, tales como almacenamiento, procesadores, aplicaciones,
documentos digitales, bases de datos, documentos en físico e inclusive áreas.
El objetivo es identificar el grado de confidencialidad, integridad y
disponibilidad. Nosotros le agregamos un elemento diferenciador ajeno a la
tríada de seguridad de información que está referida al "uso". El uso
intensivo del activo puede influir en los aspectos de control.
b) Se realiza la evaluación para
identificar los riesgos inherentes a los que está expuesto el activo,
visualizando el contexto donde el mismo opera. Es decir, dentro del proceso del
negocio. Todo ello bajo las prácticas conocidas para la determinación de su
impacto y probabilidad de ocurrencia.
c) Se identifican los controles, su
eficiencia y operación a efectos de determinar el riesgo residual
d) Por último, se da la clasificación
del activo y se deriva a la práctica que aconseje su grado de clasificación.
Este último
paso es el fundamental, pues por lo general, esta recomendación puede ir dirigida
a distintas áreas especializadas en la organización. Por ejemplo si el activo
requiere de mayor protección, pues su integridad así lo requiere, es posible
que pase al área de seguridad de información y los responsables de administrar
la arquitectura de tecnología, para que apliquen las políticas establecidas
para la protección de la data a través de criptografía por hardware. También puede suceder que existen áreas que manejan
información en físico que no les están dando la debida protección y custodia, y
el área de infraestructura física de la organización deberá adecuar el ambiente
físico para proteger dicho activo de humedad, polvo, monitoreo y acceso.
En conclusión,
la práctica de clasificación de activos de información es primordial para llevar
adelante muchas de las actividades que conforman el ambiente de control de
tecnología en la organización. Muchos procesos pueden alimentarse de los
productos que son derivados de dicha práctica; y el beneficio obtenido es
representativo cuando se identifica que con un control pueden estar mitigando
muchas de las brechas que pueden presentarse en los activos en su uso a través
de los procesos críticos del negocio; así como el beneficio del reproceso y la
maximización de los recursos en la ejecución de proyectos tan importantes como
la gestión de riesgo operativo o la creación y administración de los planes de
continuidad del negocio, los cuales son proyectos que dan un excelente uso a la
información que le provee la “clasificación de los activos de información”.
NOTA: El marco para la evaluación de riesgos que se utiliza habitualmente es adoptado de la ISO 31000:2009, Risk management – Principles and
guidelines, de la International Organization for Standardization (ISO) tiene como
objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el riesgo con
efectividad.