¿Qué es el Inventario de Activos? (Parte I)

Miguel Ruiz

@MAMiguelRuiz

¿Qué es el Inventario de Activos? (Parte I)

Catalogar, registrar, relacionar, enumerar, listar, describir…son algunos de los sinónimos de lo que es en realidad el ejercicio de conocer qué unidades básicas, elementos, partes del puzle corporativo, estructuran los procesos críticos de nuestra empresa (y poder así ser conscientes de qué medidas hemos de tomar a la hora de protegerlos).

El Activo Como Unidad Básica

Habrá que empezar por definir el concepto de “activo”, de forma genérica descrito como cualquier recurso o capacidad. Los activos de un proveedor de servicio incluyen todo aquello que se pueda atribuir a la entrega del servicio, y pueden ser: administrativos, organizativos, de procesos, de conocimiento, personas, información, aplicaciones, infraestructura, y de capital.

En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.

Atendiendo a esta última definición, cualquier profano puede pensar que estamos hablando de ficheros, de carpetas en servidores, o del último balance de cuentas de la empresa. Pues sí, estos son activos indudablemente, pero hay más: para una empresa cuya actividad sea la fabricación de mesas de oficina, sin duda las mesas serán activos importantes en su estructura de negocio. Pero no lo será menos el almacén en el que esperan ser recogidas por el distribuidor, como tampoco hay que olvidar el sistema informático que controla la logística de entrega y recepción, reposición de mesas antes de que éstas se agoten, el módulo de comunicación con el fabricante de patas y junturas, etc. La aplicación informática que hace posible realizar estas tareas, se sirve de una base de datos, quizás de módulos de funcionalidad específica adaptada al tipo de negocio, y todos ellos están soportados por una infraestructura informática, con unos componentes determinados y destinados a asegurar la continuidad, integridad, disponibilidad, autenticidad y seguridad de la información crítica para el negocio.

Todos los elementos mencionados anteriormente, son activos. Activos que pueden ser de servicio, activos de información, activos software, activos hardware, activos informáticos, activos de red o activos de comunicaciones, entre otros.

A la hora de confeccionar un inventario, o de adicionar un activo al mismo, es importante conocer una serie de detalles que determinan su categoría, así como su tratamiento, dependencias y medidas de seguridad aplicables.

Estos detalles y características son campos de datos mínimamente necesarios que categorizan y clasifican al activo.

image016

Ilustración 1. Ejemplo de modelado de Activos y las Relaciones de Dependencia entre los mismos con SandaS GRC de 11Paths (Telefónica).

 

Campos de Información de los Activos

A modo de ejemplo, podríamos incluir la siguiente información mínima en función de la Clase del Activo:

  • Número de Serie (HW) / Número de Licencia (SW: Nº, Tipo de Licencia, Instalaciones, Cantidad con Licencia, Exceso o Falta de Licencia). En el caso de activos como PCs, servidores, impresoras, dispositivos móviles y cualquier otro ítem susceptible de ser etiquetado como unitario, normalmente va asociado a un número de serie único e identificable. Cuando se trata de activos del grupo de aplicaciones, cabría detallar los campos anteriormente mencionados:
  • Localización física: ciudad o edificio donde se encuentra el activo. De esta manera podrán implementarse medidas físicas, de prevención y de gestión del riego, en función de su ubicación y el nivel de madurez de los controles implantados
  • Formato: puede darse en papel o digital, generalmente
  • Tipo: grupo en el que se encuentra clasificado (entorno general, servicio/activo de información, aplicación SW, PC -fijo o portátil-, impresora, servidor, red, etc.)
  • Nombre: único e identificativo

– Identificador de licencia,

– el tipo de licencia de la que se trata,

– cuántas instancias de la misma existen en el parque informático, y

– qué nivel de licenciamiento real existe actualmente para este software

  • Empresa de Soporte: definir, bien la empresa encargada del mantenimiento, reparaciones y eventual sustitución del activo cuando aplique, así como aquella que pueda prestar cualquier servicio alrededor del mismo, y que implique un cierto grado de compromiso o relación más allá de la adquisición
  • ID de Contrato: es la forma de ubicar el momento de la compra del activo, o el inicio de la relación con el proveedor en lo que a ese activo se refiere. De esta forma se podrá contar con una referencia a la hora de comunicar con el proveedor de servicio, indicar la partida exacta de compra, condiciones de la misma y, por tanto, los detalles que éste necesita a la hora de prestar el servicio contratado
  • Fecha Vencimiento Soporte: guarda relación con el campo anterior, tanto en cuanto será el contrato aquel documento donde podremos identificar la fecha de firma o comienzo de soporte para el activo. Si bien este campo apunta al vencimiento y, por tanto, fecha en la que se debería renovar el soporte o servicio sobre el activo, si así fuese necesario
  • Sección/Área/Departamento que le da uso: grupo de personas interactuando con el activo, de forma habitual. Puede no corresponderse con el propietario del activo.
  • Propietario (Responsable del Activo): el responsable del Activo es lo que se denomina Propietario del Activo. Las tareas encargadas al responsable del activo son:

– Asociar o aprobar asociaciones entre activos

– Asociar o aprobar asociaciones ente el Activo y los procesos de negocio

– Ajustar las dependencias o dependientes del Activo

– Tomar las decisiones en torno al activo: creación, acceso, modificación y eliminación

  • Custodio: aquel que “guarda con cuidado y vigilancia” el activo. No tiene por qué ser el mismo que hace uso de él, como tampoco el propietario del mismo
  • Clasificación: este campo determinará el grupo de medidas y controles de seguridad a aplicar al activo en concreto.
  • Descripción/Observaciones: cuando se desee remarcar alguna de las cualidades del activo, o aplique algún tipo de singularidad o condición no genérica al mismo

 

Responsabilidad

Hacer especial hincapié en la propiedad, custodia y auditoría de los activos, clave en la definición de responsabilidades sobre éstos.

Es necesario determinar quién tiene la responsabilidad y potestad de decidir acerca del activo en concreto, su tratamiento y la coordinación del mismo a través de los procesos de negocio en los que se vea involucrado. Este rol se denomina “Propietario del Activo”. Bien sea a través de un enfoque jurídico o con fines de cumplimiento, éste tiene el derecho (y obligación) de decidir quién y cómo se accede a los datos y activos corporativos.

El “Custodio” se centra en la disponibilidad de los activos, su seguridad y el mantenimiento de la infraestructura que soporta la integridad de los mismos.

Parte importante del trabajo del custodio es colaborar activamente en la identificación de propietarios, la resolución de problemas e incidencias, así como facilitar el acceso al activo que custodian. Es su responsabilidad la implementación de las medidas necesarias para garantizar la trazabilidad de las acciones o cambios sufridos por el activo, de manera que se diluya cualquier duda acerca del origen y entidad que dieron lugar a dichos cambios.

De esta forma, la asignación de roles y gestión del cambio quedan alineados con el cumplimiento normativo y de datos, de privacidad y retención, el ciclo de vida de la información, etc. La trazabilidad queda asegurada mediante la creación y conservación de evidencias que atestigüen las solicitudes de acceso y de permisos sobre los activos, de forma que resulte más sencillo determinar la correcta aplicación del modelo de gestión de activos y la verificación del cumplimiento de las funciones asignadas a los distintos roles, definidos anteriormente.

Parece que este diseño de separación de funciones y roles, sobre el papel, cumple con todos los requisitos necesarios para una buena gestión del inventario y, por lo tanto, para repercutir positivamente y de manera tangible en el negocio. Claro, que aunque “compile” a carboncillo, no significa que los empleados de una empresa vayan a acoger de motu proprio la tarea de adaptar (y aceptar) funciones y responsabilidades que antes (aunque las tuvieran) aparecían difusas o vagamente definidas. La solución es la pieza del puzle que hace que las demás encajen (adaptando el modelo y con la autoridad que da la dirección) cada una en su lugar: la figura del “Auditor”.

Sin duda, bien por desconocimiento o por incomodidad, la adopción de un nuevo modelo, más tedioso quizás que el anterior, con más interacción entre los distintos entes de decisión y, desde luego, más procedimentado, puede resultar complicada y poner en peligro la veracidad y por tanto utilidad del propio inventario. Los auditores, ya sean internos o externos, comprobarán el cumplimiento de los procedimientos, responsabilidades y flujo de trabajo definidos hasta ahora. Se identificarán carencias y riesgos, se comprobarán evidencias y trazas, así como la correcta interacción entre propietarios y custodios.

 

Ciclo de Vida del Activo

Una vez definidos los tipos de activo, su descripción mediante campos, los roles involucrados en su tratamiento y gestión, procedimientos y flujo de trabajo, introduciré la idea de “Relación” entre los activos. Términos como la ponderación del riesgo o cómo medir la criticidad de un activo dentro del entramado empresarial, pasan por determinar la dependencia que éste mantiene con otros activos, u otros activos para con él.

Al igual que se recopilan, catalogan, ordenan y almacenan los distintos activos, hacer lo propio con las dependencias entre estos asegura poder contar con las herramientas suficientes para sentar las bases del Plan de Desastre y Recuperación, Contingencia y Continuidad.

El ciclo de vida del activo, tal y como se ha descrito anteriormente, se resumiría en:

  • La creación del activo, con la clasificación y asignación de derechos
  • El almacenamiento de la información, estableciendo medidas de seguridad como control de acceso, encriptación y gestión de derechos
  • Uso del activo, con la consiguiente monitorización, control de acceso lógico y a las aplicaciones que hacen uso de éste
  • Compartición, modificación y acceso por parte de terceros
  • Archivado, y
  • Destrucción.

 

Para hablar con propiedad, es necesario introducir términos como CIs, CMDB, CMS y SACM.

  • Elementos de Configuración (“CIs”)
  • Base de Datos de Gestión de la Configuración (CMDB), como el contenedor de registros de configuración durante todo el ciclo de vida.
  • Sistema de Gestión de Configuración (CMS), como las herramientas y bases de datos necesarias en la gestión de los datos de configuración del proveedor de servicios TI. Podemos mantener más de una CMDB, si así fuese necesario, cada una con atributos de CI (“Configuration Items”), así como las relaciones con otros CIs.
  • Proceso de Gestión de Configuración y Activos del Servicio (SACM), o lo que es lo mismo, mantener la información sobre los elementos de configuración necesarios para la provisión de un servicio de TI, relaciones incluidas.

 

…pero de esto hablaremos en próximas entregas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *