La gestión de activos de información es una tarea de las gerencias de seguridad o de gestión de la información que involucra el diseño, establecimiento e implementación de un proceso que permita la identificación, valoración, clasificación y tratamiento de los activos de información más importantes de una empresa.
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”.
Se puede considerar como un activo de información a:
- Los datos creados o utilizados por un proceso de la organización en medio digital, en papel o en otros medios.
- El hardware y el software utilizado para el procesamiento, transporte o almacenamiento de información.
- Los servicios utilizados para la transmisión, recepción y control de la información.
- Las herramientas o utilidades para el desarrollo y soporte de los sistemas de información.
- Personas que manejen datos, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de información crítica).
Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves:
- Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.
- Propiedad de los Activos: Todos los activos de información deben ser “propiedad” de una parte designada de la Organización. En este sentido el propietario del activo definirá y garantizará los controles para la adecuada protección del activo.
- Directrices de Clasificación de Activos: La información debe clasificarse en términos de su valor, de los requisitos legales, de su sensibilidad y la importancia para la organización.
- Tratamiento de Activos: A la información debe dársele un manejo adecuado. Se debe establecer con base en las mejores prácticas de seguridad, que controles mínimos deben ser aplicados a los activos para su adecuado manejo, dependiendo del nivel de clasificación en el cual hayan sido catalogados