En nuestro artículo anterior enseñamos pautas iniciales de aplicación de ISO 27005 en Cloud Computing para la banca, estableciendo el contexto adecuado en base a la información organizacional disponible. Sin embargo la explicación abarcó hasta el establecimiento de criterios, y en este artículo se hablará de la identificación de activos bajo el contexto mencionado.

¿Qué hay ahí?

Anteriormente se tuvo que definir claramente el alcance y cómo serán evaluados los riesgos en todo el proceso. Uno de los métodos mayormente utilizados es la de clasificación de activos, el más común es la de activos primarios y activos secundarios, en el primer grupo están los procesos de negocio, actividades e información, en el segundo grupo están los hardware, software, redes, personal, locación o estructura organizacional.

Aterrizando

Entonces, información como números de cuenta o saldos de cuenta por ejemplo, serán identificados como activos primarios, donde el propietario de esa información, sería el cliente del banco (según el ejemplo mencionado en artículos anteriores, sería Juan Pérez el cliente de Mi Bankito), pero ¿Por qué se considero primario?, bueno la ISO establece lo siguiente para un activo de tipo información, se considera activo primario si la información es vital (podría detener el negocio), personal (afecta la privacidad), estratégica (afecta el cumplimiento de metas) y de alto costo (cuesta mucho obtenerla). Entonces este tipo de información es importante identificarla puesto a que esa información será procesada a través de la plataforma de terceros.

Viendo la luz

Entonces, la totalidad de activos dentro del alcance deberán ser gestionados adecuadamente para una mayor agilidad de evaluación de riesgos basados en los criterios definidos en el establecimiento de contexto de gestión de riesgos de seguridad de la información. Nótese que el entorno de estos artículos ha sido la computación en la nube, como prioridad de la gestión de riesgos, sin embargo, puede ser adaptado a otra prioridad de la empresa, de repente DevOps, CiberSecurity, BigData, etc.

Consejo audit

A través de un ejemplo de una entidad financiera con soluciones en la nube pudimos darnos cuenta de los pasos esenciales que brinda ISO 27005 y cómo con el apoyo de una herramienta puede obtenerse un mejor valor de ello. En audit contamos con aValue, plataforma inteligente GRC para la gestión de riesgos en seguridad de la información.