Descubrimiento de Activos

Documento MetodológicoÁmbito 3

Alcalde de BogotáEnrique Peñalosa Londoño

Secretario General Raúl Buitrago Arias

Alto Consejero Distrital del TICSergio Martínez Medina

Profesional Especializado en Seguridad de la InformaciónMaría del Pilar Niño Campos

Estrategia de Seguridad y Privacidad de la Información de la Alcaldía de Bogotá

Diciembre 2018

4 5

7

Tabla 1. normas y estándares centro de cómputo

Tabla 2. Partes estándar EN 50173

Tabla 3. Niveles de disponibilidad deseados

Tabla 4. Tabla comparativa de estándar TIER

Tabla 5. Plantillas documentales de apoyo

Figura 1. Metodología descubrimiento de activos

Figura 2. Paso 1

Figura 3. Paso 2

Figura 4. Paso 3

Figura 5. Paso 4

13

14

15

16

17

10

11

12

12

25

ÍNDICE DE TABLAS

ÍNDICE DE FIGURAS

PÁG. 1De acuerdo con el estándar ISO/IEC 27001:2013, todos los activos de información deben estar claramente identificados y las entidades deben elaborar y mantener un inventario de estos. Para ello resulta importante definir lineamientos que permitan su identificación, clasificación, ubicación, valoración y los responsables de estos.

Los centros de cómputo y sus componentes se constituye en uno de los principales activos de información de las organizaciones, ya que son el punto neural de las redes de datos y en ellos se realizan operaciones centralizadas de procesamiento, transmisión y almacenaje de la información digital. Adicionalmente en ellos convergen las tres características de la triada de seguridad de la información: confidencialidad, integridad y disponibilidad.

Para garantizar que se conserven los atributos de seguridad en los centros de cómputo es necesario considerar: el acceso físico, su registro visual y documental, el manejo de factores ambientales como la temperatura, la humedad y la detección y extinción de incendios y los accesos y protecciones digitales, para lo cual se requiere la gestión adecuada de los riesgos de seguridad.

INTRODUCCIÓN

VER VIDEO INTRODUCTORIO

8 9

2La identificación de los activos de información permite conocer la criticidad y sensibilidad de información de la entidad, la cual debe ser salvaguardada en términos de su confidencialidad, integridad y disponibilidad.

La información digital que se gestiona en las entidades del Distrito se puede encont rar : 1 ) a lmacenada, 2) en transmisión o 3) en procesamiento/uso. Cuando está almacenada se puede encontrar en los equipos de sobremesa, portátiles, servidores, buzones de correo electrónico, equipos de comunicaciones, dispositivos de almacenamiento de red (NAS, SAN, etc.), almacenamiento en la nube (OneDrive, Google Drive, etc.), sistemas de archivos y plataformas de gestión de información (como MS SharePoint®), bases de datos, dispositivos de almacenamiento extraíbles, etc.

Cuando la información se transmite puede viajar por medio de redes cableadas, redes inalámbricas, vía microondas, redes celulares, etc., y, por último, cuando la información está en procesamiento o en uso, se puede encontrar en los monitores,

en la memoria caché de los equipos de cómputo, en los procesos que se están ejecutando de las aplicaciones o de los sistemas operativos, o en las pantallas de los dispositivos móviles entre otros.

Las entidades del Distrito generalmente disponen de un centro de cómputo o cuarto de servidores en el cual se localizan los armarios (rack) de servidores y dispositivos de comunicaciones, y son el punto crítico de conectividad, almacenamiento y procesamiento de información.

DEFINICIÓN 34

5

Definir lineamientos para identificar, clasificar, ubicar y valorar los activos de información de una entidad y los responsables de estos.

Proveer información de mejores prácticas en el manejo de centros de datos, particularmente en lo relacionado a control ambiental, acceso físico, perímetro de seguridad y gestión del riesgo de seguridad Verificar el grado de cumplimiento de la gestión de los centros de cómputo contra las mejores prácticas. Definir una metodología de gestión de activos de información de la entidad distrital.

En el presente desarrollo metodológico se define los lineamientos propuestos por ADALID CORP para la identificación o descubrimiento de los activos de información de la entidad, de acuerdo con

OBJETIVOGENERAL

OBJETIVOSESPECÍFICOS

ALCANCE

el alcance establecido en el Anexo Técnico contractual.

Así mismo, se desarrollan análisis a los controles de seguridad física y perimetral como es el circuito cerrado de televisión (CCTV por sus siglas en inglés, closed circuit television), sistema contra incendio y su correspondiente verificación de conformidad contractual, según las buenas prácticas que se describen en el marco teórico y jurídico.

Se hace una revisión inicial de Tecnologías de la Información (TI) y de los activos de información físicos para determinar el estado de configuración, actualizaciones, parches críticos y de seguridad, para detectar dispositivos no autorizados conectados a las redes institucionales.

Se incluye en el análisis las áreas de infraestructura central que componen la solución tecnológica de cada entidad que forman parte de este alcance: centros de cómputo, aires acondicionados y demás elementos del centro de datos, al igual que equipos activos de red, routers, switches, balanceadores y firewalls.

10 11

6MARCO TEÓRICOY JURÍDICO

La presente guía está alineada con lo descrito en la Guía 5 de gestión y clasificación de activos de información del MSPI de MinTIC (2015) y los siguientes instrumentos normativos: Ley 1581 de 2012 (Congreso de la Republica, 2012), Ley 1712 de 2014 (Congreso de la República de Colombia, 2014) y el Decreto 0103 de 2015 (Presidencia de la República de Colombia, 2015).

De igual manera la guía se apoya en los siguientes estándares: ISO-IEC 27001:2013 (Icontec, 2013), ISO-IEC 27002:2013 (Icontec, 2015). Además, existen estándares específicos para la gestión del centro de cómputo, los cuales se ilustra en la tabla 1.

Tabla 1. normas y estándares centro de cómputo

Tabla 2. Partes estándar EN 50173

BICSI 002 (2014)

ASHRAE TC9.9

ISO/IEC 24764 (2010)

ICREA-Std- 131-2017

CENELEC EN 50173-5 EN 50600

TIA 942A (2012)

EN 50173-1

EN 50173-2

EN 50173-3

EN 50173-4

EN 50173-5

Mejores prácticas de diseño e implementación de Centros de Cómputo. Considerada la norma base para el diseño de centros de datos alrededor del mundo. ANSI/BICSI 002-2014 continúa su misión de proporcionar requisitos, directrices y mejores prácticas aplicables a cualquier centro de datos.

Contiene nuevos diseños de equipos de red que son los encargados de extraer el aire de refrigeración de la parte frontal del bastidor hacia atrás y el escape caliente que sale del chasis en la parte posterior del bastidor. Este equipo enfriado de adelante hacia atrás debe tener una clasificación mínima de ASHRAE Clase A3 (40 ° C) y preferiblemente ASHRAE Clase A4 (45 ° C). ASHRAE TC9.9 recomienda que el equipo esté diseñado para soportar una temperatura del aire de entrada más alta que el aire de suministro de refrigeración del centro de datos si: a) el equipo está instalado en un espacio cerrado que no tiene acceso directo a la corriente de refrigeración del centro de datos; o b) el equipo tiene una configuración de flujo de aire de lado a lado dentro de un gabinete cerrado.

Especifica el cableado genérico que admite una amplia gama de servicios de comunicaciones para su uso dentro de un centro de datos. Cubre el cableado balanceado y el cableado de fibra óptica. Se basa en los requisitos de referencia de ISO / IEC 11801 y contiene requisitos adicionales que son apropiados para los centros de datos en los que la distancia máxima a la que deben distribuirse los servicios de comunicaciones es de 2.000 m.

Es un conjunto de recomendaciones y mejores prácticas consensadas entre varios países y un grupo de expertos en centro de procesamiento de datos, los cuales acordaron definir la forma de construir un centro de datos, de acuerdo con los niveles de disponibilidad deseados. Los niveles se ilustran en la tabla 3.

El estándar europeo CEN/CENELEC, contiene los lineamientos para el cableado de telecomunicaciones en edificios. Está publicado en la norma EN 50173 (Performance requirements of generic cabling schemes). Esta norma se encuentra específica en la reglamentación ISO/IEC 11801. Su principal objetivo es proporcionar un sistema de cableado normalizado de obligatorio cumplimiento, que cubra entornos de productos y proveedores múltiples. El estándar EN 50173 está conformado por cinco partes que se relacionan en la tabla 2.

Norma de Infraestructura de Telecomunicaciones para centros de cómputo. Estándar desarrollado por la Telecommunication Industry Association (TIA) para la integración de los criterios en el diseño de un centro de datos. Inicialmente se basaba en una serie de especificaciones para comunicaciones y cableado estructurado, en la actualidad estas especificaciones brindan lineamientos vitales para el diseño de infraestructura. Este estándar puede ser aplicable a cualquier centro de datos independiente de la magnitud de esta. La evaluación se guía por el estándar TIER de la tabla 4.

requisitos generales de las instalaciones de redes locales.

requisitos generales de las instalaciones en oficinas.

requisitos generales de las instalaciones industriales.

requisitos generales de las instalaciones de las viviendas.

requisitos generales de las instalaciones de los centros de datos.

Estándar

Estándar

Descripción

Descripción

Fuente: Recopilación de ADALID CORP.

Fuente: Norma EN 50173

Parte Descripción

12 13

Nivel Descripción Disponibilidad

Tabla 3. Niveles de disponibilidad deseados

Tabla 4. Tabla comparativa de estándar TIER

Figura 1. Metodología descubrimiento de activos

Quality assurance data center (QADC)

World Class Quality Assurance Data Center (WCQA)

Safety World Class Quality Assurance Data Center (S-WCQA)

High Security World Class Quality Assurance Data Center (HS-WCQA)

High Security High Available World Class Quality Assurance Data

Center (HSHA-WCQA)

Redundant High Available World Class Quality Assurance Data Center

Net (RHA-WCQA)

Capacidad activa de los componentes para soportar la carga de procesamiento

Rutas de Distribución

Mantenimiento Concurrente

Tolerante a Fallas

Compartimentalizado

Refrigeración Continua

Disponibilidad

1

No

No

No

No

99,67%

1

No

No

No

No

99,75%

1 activo y 1

alterno

Si

No

No

No

99,982%

2 simultáneamente activos

Si

Si

Si

Si

99,995%

N Después de cualquier fallaN N+1 N

I

II

III

IV

V

VI

95%

99%

99.9%

99.99%

99.999%

99.9999%

Fuente: ICREA-Std- 131-2017

Fuente: Uptime Institute - ANSI/TIA-942

Fuente: ADALID CORP.

Las normas BICSI 002 y la ICREA-std 131 abarcan las áreas y en particular incluyen temas de Seguridad, CCTV, control de acceso, detección y supresión de incendios. Se encuentran más orientadas al cómo planear, construir y gestionar un centro de cómputo. Las demás normas se enfocan en mayor detalle al que deben tener y cumplir las organizaciones que deseen implementarlas.

Para más información consultar el anexo técnico de Buenas Prácticas y Marco Normativo de la Seguridad Digital

El presente documento metodológico contiene los pasos a seguir para cada uno de los temas descritos en la introducción y alcance: Gestión del Centro de Cómputo y Gestión de activos de información.

El desarrollo de la metodología está compuesto en 4 partes:

Análisis de acceso físico a áreas críticas y sensibles Análisis de aspectos ambientales para áreas críticas Gestión de riesgos de seguridad del centro de datos Gestión de activos de información

7DESARROLLO DE LAMETODOLOGÍA

14 15777!

!

7.1 Análisis de control de acceso físico zonas o áreas sensibles

7.1.1 Entendimiento procesos, procedimientos y conocimiento del lugar

7.1.2 Verificación del estado actual

7.1.1.1 Solicitud de procedimientos de acceso físico a áreas críticas

7.1.1.2 Recopilación de buenas prácticasEl proceso inicia con la recolección de información, incluye los procesos, procedimientos, políticas y en general la documentación que la entidad tenga implementada respecto al acceso físico para áreas críticas o sensibles de la entidad distrital. Documentación que se evalúa y se realiza un proceso de visita o reconocimiento en sitio de las áreas definidas como críticas o sensibles (centro de cómputo, archivo físico, etc.).

De acuerdo con la revisión de la documentación definida e implementada por la entidad, se identifica el avance actual en seguridad física.

Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA y BICSI.

Los temas propuestos para revisión de buenas prácticas:- Diseño e implementación de CCTV.- Protocolos de personal de seguridad.- Seguridad de acceso: puertas y cerraduras.- Registro (log) de acceso físico.

Para evidenciar el nivel de cumplimiento de controles físicos, ADALID CORP. plantea la revisión en sitio de la entidad.

En esta actividad, se plantea:- Cumplimiento de protocolos de personal de seguridad- Ubicación adecuada de las cámaras de CCTV- Funcionamiento del CCTV y tiempo de retención de las grabaciones- Verificación del registro acceso al centro de cómputo- De ser posible, realizar un intento de ingreso bajo un pretexto falso

Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos para entender la situación actual de la entidad.

Las siguientes actividades conllevan una adecuada ejecución del entendimiento.

ADALID CORP. realiza la solicitud a la entidad para la revisión la información disponible sobre los procesos y procedimientos de acceso físico a los centros de cómputo. Algunos documentos que existen en general en las entidades pueden ser:

Política de acceso al centro de cómputo Formato para registro de accesos al centro de cómputo Política de grabación por CCTV del centro de cómputo y tiempo de vida de los videos Contratos para el mantenimiento de equipos del centro de cómputo Contratos de mantenimiento activos que desempeñan funciones de control ambiental y eléctrico

Figura 2. Paso 1

Figura 3. Paso 2

Fuente: ADALID CORP.

Fuente: ADALID CORP.

16 17777El proceso propuesto, es mediante recorridos por las instalaciones de la entidad y así comprobar las políticas de acceso, despliegue de CCTV, controles detectores de incendios. En caso de ser un contrato de alojamiento o colocación:- Verificación que el contrato estipule las protecciones físicas con que debe contar el Centro de Cómputo.

En caso de ser un contrato en la nube:- Verificación de documentación de políticas de acceso del servicio en la nube.

Durante esta etapa ADALID CORP. realiza la estructuración de un diagnóstico del estado actual, acorde con la información suministrada por la entidad. Con ellos se identifica el nivel de madurez en las mejores prácticas de seguridad.

Con el resultado obtenido durante el proceso de análisis GAP, se crea un documento de ruta de trabajo, al menos con los siguientes componentes:- Responsable- Tiempo estimado de ejecución y fecha de inicio- Actividades macro- Riesgo latente ante la falta del control- Probabilidad estimada de materialización del riesgo- Impacto o consecuencia de la materialización del riesgo

El proceso inicia con una etapa de recolección de información, que incluye los procesos, procedimientos y políticas respecto a los aspectos ambientales para las áreas críticas o sensibles de la entidad distrital a evaluar y un conocimiento inicial de los lugares donde se encuentran los centros de cómputo de la entidad. Estos centros de cómputo pueden ser propios, contratados a un ente externo en la modalidad de alojamiento o colocación o en la nube.

De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte de los expertos para evidenciar el cumplimiento respecto a la normatividad propuesta durante el presente documento.

La información analizada y organizada se confronta contra las mejores prácticas de los estándares referenciados. En este proceso se clasifica los distintos controles en: Inexistentes, incompletos, inadecuados o adecuados, según sea el caso.

Figura 4. Paso 3

Figura 5. Paso 4

Fuente: ADALID CORP.

Fuente: ADALID CORP.

7.1.3 Diagnóstico del estado actual conforme a mejores prácticas

7.1.4 Creación de una hoja de ruta de trabajo

7.1.3.1 Análisis de información entregada y recolectada

7.1.3.2 Análisis “GAP” de lo encontrado contra las buenas prácticas

7.2 Análisis aspectos ambientales para áreas críticas y sensibles

18 19

7.2.1 Entendimiento de los procedimientos y conocimiento del lugar

7.2.2 Análisis de información entregada y recolectada

7.2.3 Diagnóstico del estado actual conforme a mejores prácticas

7.2.4 Creación de una Ruta de Trabajo para cerrar el “GAP”

7.2.1.1 Solicitud de procedimientos de aspectos ambientales de áreas críticas

7.2.3.1 Análisis de información entregada y recolectada

7.2.3.2 Análisis “GAP” de lo encontrado contra las buenas prácticas

7.2.1.2 Recopilación de buenas prácticas

Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos para entender la situación actual de la entidad. Para ello, se realizan las siguientes actividades a fin de conocer las áreas críticas y sensibles de la entidad.

Visita al sitio, en caso de ser propio donde se buscará:- Tipo de aires acondicionados funcionando y capacidad- Temperatura y porcentaje de humedad en el ambiente- Verificación aleatoria de 3 servidores para confirmar si están conectados a la UPS- Fecha de última verificación del sistema contra incendios e indicador de valor adecuado de presión.

En caso de ser un contrato de alojamiento o colocación:- Verificación que el contrato estipule los aspectos ambientales con que debe contar el centro de cómputo. También pueden estar estipuladas mediante el TIER o el nivel del centro de cómputo.

En caso de ser un contrato en la Nube:- Verificación de documentación de políticas de aspectos ambientales del servicio en la nube.

La información recolectada se analizará y organiza por tema. De tal manera que se pueda hacer el análisis contra las buenas prácticas

La información analizada y organizada se confronta contra las mejores prácticas de la industria. En este proceso se clasifica los distintos controles en: Inexistentes, incompletos, inadecuados o adecuados, según sea el caso.

Con el resultado de la información del análisis GAP se crea un documento de ruta de trabajo con los siguientes componentes para cada una de las actividades:- Responsable- Tiempo estimado de ejecución y fecha de inicio- Actividades macro- Riesgo latente ante la falta del control- Probabilidad estimada de materialización del riesgo- Impacto o consecuencia de la materialización del riesgo

ADALID CORP. debe solicitar la información que permita evidenciar los procesos y procedimientos de los aspectos ambientales de los centros de cómputo como son:

- Diseño e implementación de aires acondicionados- Implementación de control contra humedad- Sistemas de UPS- Sistemas de extinción de incendios- Contratos de mantenimiento de los elementos anteriores- Registro de realización de los mantenimientos

Durante la revisión, ADALID CORP. plantea la revisión de los estándares o normas ICREA y BICSI.

Los temas propuestos para revisión de buenas prácticas:- Aires Acondicionados- Control de humedad- UPS- Sistemas de extinción de incendios- Contratos de mantenimiento

De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte de los expertos para evidenciar el cumplimiento respecto a la normatividad propuesta durante el presente documento.

Durante esta etapa ADALID CORP. documenta el diagnóstico del estado actual, de acuerdo con la información entregada por la entidad y así lograr identificar el nivel de madurez en las mejores prácticas de seguridad.

20 21

7.3 Gestión de riesgos de seguridad del centro de datos

El proceso inicia con una etapa de recolección de información, que incluye los procesos y procedimientos y políticas respecto gestión de riesgos de seguridad del centro de datos de la entidad distrital a evaluar y un conocimiento inicial de los lugares donde se encuentran los centros de cómputo de dicha entidad. Esto centros de cómputo pueden ser propios, contratados a un ente externo en la modalidad de alojamiento o colocación o en la nube.

De acuerdo con la información entregada por la entidad, se inicia con el análisis por parte de los expertos para evidenciar el cumplimiento respecto a la metodología propuesta de gestión de riesgos de seguridad digital propuesta por ADALID CORP.

La información recolectada se analizará y organiza por tema. De tal manera que se pueda hacer el análisis contra las buenas prácticas.

Se incluirán en el análisis, las pruebas a tres (3) servidores definidos por la entidad. En este análisis se debe incluir la identificación del sistema operativo del objetivo, instalaciones por defecto de servicios y aplicativos, identificación de los puertos abiertos en los objetivos (Protocolos TCP y UDP), identificación de los servicios que se están ejecutando, pruebas de comprobación de contraseñas y protocolos de cifrado débiles, identificación de vulnerabilidades del sistema operativo, búsqueda de información sensible accesible por la red, como la existente en las carpetas compartidas, estado de configuración, actualizaciones, parches.

Se incluirán en el análisis las pruebas a equipos activos de red como: Routers, Switch y Firewalls, Balanceadores, etc. Se analizarán tres (3) equipos en la entidad, a los cuales se les deben realizar pruebas de comprobación de contraseñas y protocolos de cifrado débiles, re-enrutamiento, reconocimiento de la red, y enumeración y explotación de Wi-Fi, u otras que sean relevantes para el equipo de red.

Igualmente, durante las pruebas se realizar la comprobación de contraseñas por defecto según el fabricante y verificación de la documentación de contraseñas.

Durante esta fase, se realiza revisión de esquemas actuales de la topología de la red LAN de la entidad, por medio de análisis de la información enviada por los responsables. Para ello, se aplica las recomendaciones de seguridad o buenas prácticas de al menos:

- Segmentación de redes- Definición e implementación de DMZs.- Asilamiento de infraestructura crítica- Seguridad perimetral

Durante este proceso ADALID CORP. realiza el análisis de contexto a nivel de procesos para entender la situación actual de la entidad. Para ello, se realizan las siguientes actividades a fin identificar los riesgos en seguridad sobre los centros de datos.

ADALID CORP. solicita a la entidad la información para la revisión de la información suministrada sobre los procesos y procedimientos alineados con la gestión de riesgos de seguridad del centro de datos:

Instalación segura de servidores Segmentación de la red Política de uso de los servicios de internet Políticas de claves de servidores y dispositivos de red Contratos de mantenimiento de los elementos activos del centro de cómputo Registro de realización de los mantenimientos

ADALID CORP. sugiere realizar la revisión del diagrama de red o esquema de topología de red que contenga la descripción gráfica del centro de datos y detalles de infraestructura tecnológica de la entidad.

Para identificar las buenas prácticas en seguridad de la información, ADALID CORP. propone alinearse con lo establecido a nivel de riesgos de seguridad digital propuesta en el documento: “DM Ámbito 4 - Gestión de riesgos de información”. Este documento se encuentra acorde con metodologías como ISO 31000, MAGERIT, ISO/IEC 27005.

7.3.1 Entendimiento de los procesos, procedimientos y conocimiento del lugar

7.3.2 Verificación del estado actual

7.3.1.1 Solicitud de procesos y procedimientos gestión de riesgos de seguridad sobre los centros de datos

7.3.2.1 Análisis de información entregada y recolectada

7.3.2.2 Análisis de tres servidores

7.3.2.3 Análisis de tres equipos de red

7.3.2.4 Análisis de topología de red LAN

7.3.1.2 Solicitud de diagrama de red

7.3.1.3 Recopilación de buenas prácticas

22 23

!

!

A nivel técnico, previamente autorizado por la entidad, ADALID CORP sugiere realizar el escaneo y diagnóstico a la red por parte de los expertos con el uso controlado de herramientas para tal fin, con ellos se logra evidenciar la realidad de la entidad. Durante esta etapa, ADALID CORP. sugiere que la entidad inicie con la identificación

del alcance para la gestión de activos de información, así como las partes interesadas involucradas en el proceso. Es importante que se tenga claridad en que proceso están relacionados e incluidos en el alcance para avanzar con las etapas de identificación y actualización del inventario de activos de información.

ADALID CORP. ha definido y propuesto para aplicación en la entidad, un proceso de gestión de riesgos en seguridad digital, este proceso contiene la identificación y valoración de los activos de información, para ello, es importante que la entidad alinea esta etapa con lo descrito en el documento: “DM Ámbito 4 - Gestión de riesgos de información”, el cual tiene una descripción detallada del proceso de identificación del activo.

Entre los campos identificados se tienen:- Nombre de activo de información- Ubicación- Valoración en términos de confidencialidad, integridad y disponibilidad- Responsable o propietario- Custodio- otros

En este proceso, se realiza las siguientes actividades complementarias:

- Solicitar la relación de los activos de TI en almacén, discriminados por equipos de cómputo y licencias, en donde se especifique en qué equipo de cómputo se utiliza cada licencia.- Solicitar una muestra de contratos de adquisiciones de TI - Solicitar el inventario de activos de TI al área de tecnología.- Solicitar contratos de mantenimiento de CCTV, aires acondicionados, UPS’s, servidores, y software.

La información recolectada se analizará y organiza por tema. De tal manera que se pueda hacer el análisis contra las buenas prácticas.

La información analizada y organizada se comprueba contra las mejores prácticas de la industria. Como resultado, se clasifica los distintos controles en: Inexistentes, incompletos, inadecuados o adecuados, según sea el caso.

Con el resultado de la información del análisis GAP se crea un documento de ruta de trabajo con los siguientes componentes para cada una de las actividades:

- Responsable- Tiempo estimado de ejecución y fecha de inicio- Actividades macro- Riesgo latente ante la falta del control- Probabilidad estimada de materialización del riesgo- Impacto o consecuencia de la materialización del riesgo

La gestión de activos corresponde a la descripción y documentación de las actividades claves para mantener una constante actualización de los activos de información en la entidad, es decir, contiene los lineamientos que se debe tener en cuenta en la entidad desde la identificación de un activo, su clasificación, hasta la eliminación o inactivación, según sea el caso del activo en particular.

ADALID CORP. brinda las recomendaciones para que este proceso perdure en el tiempo en la entidad, garantizando una mejora continua, en lo referente a los activos de información.

7.3.3 Diagnóstico del estado actual conforme a mejores prácticas

7.4.1 Definición del contexto

7.4.2 Identificación de los activos de información

7.3.4 Creación de una Ruta de Trabajo para cerrar el “GAP”

7.3.3.1 Análisis “GAP” de lo encontrado contra las buenas prácticas

7.4 Gestión de activos de información

24 25

!

!

!

7.4.3 Definición de buenas prácticas en gestión de activos7.4.4 Verificación de tres PC

Para el mantenimiento y mejora de la gestión de activos de información, es importante establecer un proceso de gestión que incluya la identificación, registro, descripción, evaluación de la criticidad en términos de seguridad de la información. Estas actividades se requieren para mantener actualizado eficazmente el inventario de activos y las acciones para eliminar o inactivar los activos que así lo requieran. Esto como cumplimiento a los establecido en los controles administrativos del MSPI establecido por MinTIC.

ADALID CORP., sugiere que la entidad tenga en cuenta estrategias para garantizar un adecuado proceso de gestión de activos para revisión y actualización del inventario de activos de información. Las actividades son:

a. Definir un control (ejemplo, política) de identificación de activos de información, donde se establezca el reporte y registro por cada líder o responsable de proceso en la herramienta de gestión de activos o en su defecto, envíe la información al encargado de ingresar los nuevos activos de información.

b. Definir un control (ejemplo, política) que establezca que los líderes o responsables de cada proceso deben mantener informado los nuevos activos de información, cambios en su ubicación, valoración, cualquier característica establecida o en su defecto solicitar su eliminación o inactivación. Esta información debe enviarse con una periodicidad no superior a tres meses, o cuando el líder así lo considere.

c. Definir e implementar una política de buen uso de los activos de información en la entidad.

d. El líder o responsables de la herramienta de gestión de activos de la entidad debe realizar una revisión junto con los procesos al menos una vez cada seis meses.

e. La eliminación de los activos de información del inventario de activos debe ser revisada y aprobada por el líder o responsable del proceso, y bajo la aplicación de controles que permitan almacenar la trazabilidad del activo desde su identificación hasta su retiro.

Como prueba de concepto, ADALID CORP. realiza en la entidad la verificación de al menos 3 PCs de usuario, para determinar la siguiente información y comprobar si existe en el inventario de activos vigente en la entidad: Nombre de máquina Marca y modelo Software instalado Software utilizado usualmente Responsable Custodio Ubicación Clasificación del activo

Tenga en cuenta que la hoja de cálculo habilitada es para Macros de Microsoft Excel

A continuación, se presenta una descripción de cada una de plantillas provistas como anexos por ADALID y los archivos correspondientes para esta guía.

8PLANTILLAS DOCUMENTALES

DE APOYO

1.1.Política de uso aceptable de los activos de información y su devolución.

El detalle de la plantilla puede ver en el archivo: Política de uso aceptable de activos de información.docx

Se plantea el modelo de política de uso aceptable de activos de información, acorde con los diferentes aplicaciones o sistemas de información, infraestructura o información crítica que la entidad debe proteger y salvaguardar sobre las terceras partes.

NombrePlantilla Descripción

Tabla 5. Plantillas documentales de apoyo

Consulte la Herramienta Sistematizada para Gestión de Activos

!

26 27

2.

3.

2.

3.

Tablas de retención documental para activos de información.

El detalle de la plantilla puede ver en el archivo: Formato tablas de retención documental.xlsx

Política para tratamiento de los siguientes tipos de activos.

El detalle de la plantilla puede ver en el archivo: Propuesta de tratamiento de activos de información.docx

En búsqueda de lograr la identificación y documentación de activos de información digital, se propone un formato para el registro en cumplimiento a la normatividad vigente, en lo relacionado con las tablas de retención documental.

Se propone una política de tratamiento de activos de información respecto a: Información física, Información digital, Software, Hardware, Servicios.

NombrePlantilla Descripción 9GLOSARIOA continuación, algunos de los términos más importantes sobre el Documento Metodológico del Ámbito 3 por orden alfabético.

ASHRAE: American Society of Heating, Refrigerating and Air-Conditioning Engineers

BICSI: Building Industry Consulting Service International

DMZ: Zona desmilitarizada

TIA: Telecommunications Industry Association.

TIER: Sistema de clasificación del nivel de centros de cómputo.

CCTV: Circuito cerrado de televisión

CENELEC: Comité Européen de Normalisation Electrotechnique

Centro de cómputo: Espacio donde se concentran los recursos necesarios para el procesamiento de la información de una organización.

ICREA: International Computer Room Experts Association

UPS: Uninterruptible Power Supply. Sistema de alimentación ininterrumpida.

28

10BIBLIOGRAFÍA

BICSI. (2014). ANSI/BICSI 002-2014. Recuperado a partir de https://www.bicsi.org/docs/default-source/publications/bicsi_002_esp_sample.pdf?sfvrsn=f4bce3b9_0

Congreso de la Republica. (2012). Ley estatutaria No. 1581 del 17 de Oct de 2012. Ministerio de comerico, industria y turismo. https://doi.org/10.1017/CBO9781107415324.004

Congreso de la República de Colombia. (2014). Ley 1712 de transparencia y del derecho a la información pública nacional. 6 De Marzo De 2014. Recuperado a partir de https://www.alcaldiabogota.gov.co/sisjurMantenimiento/normas/Norma1.jsp?i=60556

Icontec. (2015). NTC-ISO-IEC 27002:2015 – TECNOLOGÍA DE LA INFORMACIÓN. TÉCNICAS DE SEGURIDAD. CÓDIGO DE PRÁCTICA PARA CONTROLES DE SEGURIDAD DE LA INFORMACIÓN – Tienda ICONTEC. Bogotá. Recuperado a partir de https://tienda.icontec.org/producto/e-book-gtc-iso-iec27002-tecnologia-de-la-informacion-tecnicas-de-seguridad-codigo-de-practica-para-controles-de-seguridad-de-la-informacion/?v=42983b05e2f2

Ministerio de Tecnologías de la Información y las Comunicaciones. (2015). Modelo de Seguridad. Recuperado 16 de agosto de 2018, a partir de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html

Presidencia de la República de Colombia. (2015). Decreto 0103 de 2015. Recuperado a partir de http://wsp.presidencia.

gov.co/secretaria-transparencia/Prensa/2015/Documents/decreto_presidencial_103_del_20_de_enero_2015.pdf

32

Descubrimiento de Activos

Documento MetodológicoÁmbito 3

Elaborado por: