Joven hacker sonriendo

Hackeamos su software

cero falsos positivos

Inteligencia experta + Tecnología especializada
DXST - SAST - IAST - SCA - DevSecOps
Caja blanca - Caja gris - Caja negra
Atacando Aplicaciones Web, APIs, Apps Móviles,
Cliente Servidor, Servidores, Redes, Dispositivos IoT
IoT SCI: Sistemas de Control Industrial

REQ.001 Activos de información identificados

En el presente documento se detallan los requerimientos de seguridad relacionados a los activos de información de la empresa. Todos los activos de información deben estar debidamente identificados para protegerlos de posibles riesgos y permitir establecer controles de seguridad.

Requisito

Los activos de información del sistema deben estar identificados y se conoce su uso.

Descripción

La organización debe identificar los activos de información con el objetivo de clasificarlos permitiendo de este modo protegerlos de posibles riesgos y establecer controles de acuerdo a su valor.

Implementación

  1. Es recomendable establecer un alcance para la realización de la actividad de identificación de activos, idealmente esta identificación se enmarca en el alcance de un Sistema de Gestión de Seguridad de la Información (SGSI).

  2. Cuando la organización no cuente con un SGSI, es posible establecer el alcance de la actividad identificando inicialmente los activos que correspondan a los procesos más importantes para la organización y progresivamente ir aumentando este alcance a todos los demás procesos.

  3. La identificación de activos puede contener la siguiente información:

    • Código de activo.

    • Nombre del activo.

    • Descripción del activo.

    • Grupo de activos al que pertenece (si se ha establecido algún parámetro de agrupación, lo cual es recomendado.)

    • Nombre del proceso al que corresponde.

    • Criticidad del proceso al que corresponde.

    • Dueño, responsable o propietario del activo (REQ. 002).

    • Clasificación del activo en cuanto a la confidencialidad, disponibilidad e integridad del mismo.

    • Valor del activo teniendo en cuenta su clasificación (REQ. 003).

  4. Es recomendable que la identificación de los activos la realice el responsable de cada proceso de la organización, de forma que pueda realizar una adecuada clasificación de los mismos, tal y como se muestra en el siguiente diagrama:

Diagrama1

Soluciones

  • Consultoría - Establecer el Inventario de Activos de Información.

  • Consultoría- Determinar la granularidad de activo de información.

  • Consultoría - Determinar el Propietario de un Activo de Información​.

  • Consultoría - Responder a cuestionario inventario activos de información​.

  • ISO 27005 - Gestión de riesgos para un SGSI con ISO 27005.

  • ISO 27003 - ​Guía ISO 27003.

Ataques

Un usuario empleado o anónimo ejecuta acciones en contravía de la seguridad de cualquier activo de la organización, el incidente no puede ser valorado pues se desconoce el impacto de los activos afectados. En consecuencia la solución del incidente puede ser tardía e impactar en mayor medida a la organización.

Atributos

  1. Capa: Capa de Recursos

  2. Activo: Activos de Información

  3. Alcance: Adherencia

  4. Fase: Análisis

  5. Tipo de Control: Procedimiento


Estado de los servicios - Términos de Uso