Inventario de los Activos
Inventario de los Activos:El inventario de activos que se va a utilizar para la gestión de la seguridad no debería duplicar otros inventarios, pero sí que debe recoger los activos más importantes e identificarlos de manera clara y sin ambigüedades.
El inventario de activos es la base para la gestión de los mismos, ya que tiene que incluir toda la información necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta información como mínimo es:
Identificación del activo: un código para ordenar y localizar los activos.
Tipo de activo: a qué categoría de las anteriormente mencionadas pertenece el activo.
Descripción: una breve descripción del activo para identificarlo sin ambigüedades.
Propietario: debe ser quien defina el grado de seguridad que requiere su activo. El propietario no tiene, necesariamente, que ser quien va a gestionar el activo o ser un usuario (es la persona a cargo del activo).
Localización: dónde está físicamente el activo. En el caso de información en formato electrónico, en qué equipo se encuentra.
Una vez identificado los activos hay que realizar un análisis de las dependencias existentes entre ellos. (¿Quién depende de quién? ¿Si hay un fallo en el activo x qué otros activos se ven perjudicados o involucrados?) El resultado de los análisis será un árbol de dependencias de activos en el que se podrá ver la relación existente entre todos los activos de una organización desde los de más alto nivel hasta llegar a los de nivel más bajo.
Por ejemplo, una aplicación alojada en un servidor, depende este servidor para ejecutarse, para estar disponible. Si el servidor tiene una avería o un error de configuración, la aplicación podría ver afectada su disponibilidad. Por lo tanto el valor del servidor puede considerarse que sea no sólo el que tiene en sí mismo, sino también el que tiene por permitir el correcto funcionamiento de la aplicación.
NO TODOS LOS ACTIVOS TIENE LA MISMA IMPORTANCIA PARA LA ORGANIZACIÓN, NI GENERAN LOS MISMOS PROBLEMAS SI SON ATACADOS.
El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un equipo informático no es probable que vaya a proporcionar información relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organización y además complicará enormemente la realización del análisis de riesgos, ya que cuantos más activos haya más laborioso será el mismo.
Todo lo que tenemos disponible en nuestro directorio de activo debe poder pasar el LICA
Listado, Identificado, Controlado y Auditado
Aunque en la mayoría de los casos nos encontraremos con LI (listado e identificado) para realizar una buena gestión de la Seguridad de la Información sobre nuestros activos siempre debemos tener el LICA (listado-identificado-controlado y auditado).