GESTIÓN DE ACTIVOS TI
Enviado por angemahesa • 28 de Octubre de 2015 • Apuntes • 932 Palabras (4 Páginas) • 135 Visitas
GESTIÓN DE ACTIVOS TI
SEINHE > ISO 20000 > Gestión de activos TI
[pic 1]
Florencio Cano Gabarda 05/06/2012 0 ISO 20000, ISO 27001 CMDB, Gestión de activos, ISO 20000, ISO 27001
La gestión de activos informáticos o de información es uno de los aspectos fundamentales en cualquier organización, especialmente si queremos implantar un sistema de gestión de la seguridad (ISO 27001) o de la calidad de los servicios (ISO 20000). Los activos TI son todos aquellos elementos que permiten a nuestra empresa ofrecer sus servicios o producir sus productos.
Un listado de categorías de activos podría ser:
- Sistemas de información
- ERP
- CRM
- Business intelligence
- Servidor de correo
- Software
- Sistemas operativos (Microsoft Windows, Linux…)
- Aplicaciones servidor (Apache, OpenSSH, servidor Subversion…)
- Aplicaciones cliente (Cliente SSH, Chrome, Internet Explorer…)
- Software de seguridad (Antivirus, cortafuegos, IDS…)
- Aplicaciones de usuario (Adobe Acrobat Reader, Adobe Photoshop, Microsoft Word…)
- Hardware
- PCs
- Servidores
- Dispositivos móviles (iPhones, iPads, Androids…)
- Dispositivos de red (Router, Switches…)
- Soportes
- Dispositivos USB
- Discos duros externos
- Papel
- Personal
- Tanto interno como externo
- Ubicaciones
- Despachos
- Armarios
- Almacenes
- Redes
- LAN
- DMZ
- VLANs
- VPN
- Información
- Planes estratégicos
- Nóminas
- Ficheros de caracter personal
Estas categorías son solo un ejemplo. Para gestionar adecuadamente los activos de TI de una organización, ésta debe diseñar su propia taxonomía. Una duda frecuente consiste en saber hasta que profundidad debemos llegar con los activos. En general, ningún estándar va a establecer esto porque cada empresa es distinta. La respuesta es que es necesario tener un listado de activos que nos permita gestionar de manera controlada los riesgos. Lo ideal es empezar con los elementos más concretos y conforme veamos que es necesario ampliar la cantidad de activos que inventariamos.
Es recomendable, y en algunas normas como la ISO 27001, exigido, que a cada activo le asignemos un responsable. El responsable será la persona encargada de tomar decisiones sobre el activo y la responsable de su seguridad.
La ISO 20000, amplía significativamente los requerimientos de la gestión de activos con respecto a la ISO 27001, introduciendo el concepto de gestión de la configuración y la CMDB. La CMDB es un inventario de activos “on steroids”. El objetivo de la CMDB es, además de disponer de dicho listado, gestionar la configuración de cada elemento de manera que podamos tomar decisiones significativas sobre la infraestructura TI de nuestra organización en base a la información almacenada. La CMDB asocia a cada activo distintos atributos que definen el estado del activo en el momento actual. Además, si se realizan cambios en el activo, estos deberían quedar almacenados de manera que mantengamos la trazabilidad en su configuración.
...