Activos de Información, como identificarlos y clasificarlos.

El inventario y clasificación de los Activos de Información es la base para la gestión de riesgos de seguridad de la información y para determinar los niveles de protección requeridos.

Que es un activo de información?

Se denomina activo a aquello que tiene algún valor para la entidad y por tanto debe protegerse. Un Activo de Información incluye la información estructurada y no estructurada que se encuentre presente en forma impresa, escrita en papel, transmitida por cualquier medio electrónico o almacenada en equipos de cómputo, incluyendo datos contenidos en registros, archivos y bases de datos. Así mismo, un Activo de Información tiene el mismo valor, bien sea que se encuentre forma física o digital, aunque los controles necesarios para protegerlo son diferentes.

Inventario de Activos de Información

Mediante el inventario de activos de información específica se reconoce cuáles son los activos de información más importantes de una entidad, para así darles el tratamiento que se requiere y una protección adecuada, para el cumplimiento de la misión y los objetivos institucionales de la Entidad, Los responsables del levantamiento de los activos de información se encuentran en cabeza de los Colaboradores delegados por las áreas de Documental, Jurídica, Planeación y Tecnologías de la Información, quienes se encargan de liderar la ejecución y mantenimiento del Inventario de Activos, clasificación y publicación de información.

Pasos para la elaboración:

1.    Identificar los activos de información

En este paso se identifica los responsables de los activos, cuáles y cuantos activos de información tienen cada dependencia bajo su responsabilidad.

2.    Definir los activos de información

Se diligencia los registros de los activos en la Matriz de inventarios de activos, clasificación y publicación de la información, de acuerdo con las variables establecidas en la matriz.

3.    Información mínima de los activos de información – Matriz de inventario de activos, clasificación y publicación de información.

Todos los activos se deben identificar de manera adecuada en la matriz de inventario de activos, clasificación y publicación, la cual está conformada por los siguientes ítems:

·                    ID: Es el consecutivo con el cual se puede llevar el conteo de los activos de información.

·                    Título de la Categoría de Información: Conjunto de unidades de información de contenidos homogéneos, emanadas de un mismo órgano o sujeto producto como consecuencia del ejercicio de sus funciones específicas.

·                    Nombre del activo de información: Palabra o frase con la que se da a conocer el activo de información.

·                    Descripción del activo de información: Breve descripción de la función de la función del activo.

·                    Idioma: Es donde se establece el idioma, lengua o dialecto en que se encuentra el activo de información.

·                    Medio de conservación y/o soporte: Es el medio en que se encuentra la información, que puede ser entre las siguientes:

•          Físico: Activos de información físicos

•          Electrónico: Activos de información digitales.

•          Magnético: Para el caso de USB, Disco Duro, CD Etc.

•          Físico / Electrónico: En caso de encontrarse almacenada en los dos medios.

·                    Formato: Es la forma, tamaño o modo en la que se presenta la información, se permite su visualización o consulta, tales como:

•          Hoja de cálculo

•          Documento de texto

•          PDF (Formato documento portátil)

•          Presentaciones

•          Imágenes

•          Audio

·                    Forma de consulta o Acceso: Es la forma en la que se encuentra la información que puede ser:

•          Información disponible

•          Información publicada

·                    Fecha de Generación de la Información: Identificar la fecha de la creación de la información.

·                                Lugar de Consulta: Donde se encuentra publicada o disponible la información.

·                    Proceso que produce la información: Nombre del proceso Frecuencia de Actualización: Periodicidad con que se actualiza la información.

·                    Responsable de la producción de la Información o Propietario: Nombre de la dependencia que creo la información.

·                    Responsable de la información o Custodio: Corresponde al nombre del área, dependencia o grupo encargado de la custodia o control de los activos de información.

·                    Objetivo legítimo de la excepción: Identificar la excepción dentro de las previstas en la Ley 1712 de 2014, que permiten calificar la información como clasificada (Art. 18) o reservada (Art.19).

·                    Fundamento constitucional o legal: Indicar la norma constitucional o legal que justifica la clasificación o la reserva del activo de información. Se deberá señalar expresamente la norma, artículo, inciso o párrafo que ampara la excepción.

·                    Fundamento jurídico de la excepción: El artículo 2.1.1.5.2.2. Decreto Único Reglamentario 1081 de 2015 establece que se debe hacer "mención de la norma jurídica que sirve como fundamento jurídico para la clasificación o reserva de la información", pues el primero exige indicar la circunstancia que se invoca entre las contempladas en los artículos 18 y 19 de la Ley de transparencia y el numeral 9 exige indicar la norma constitucional o legal que justifica la clasificación o la reserva.

·                    Excepción total o parcial: Indicar si la excepción es total o parcial, esto es, si la clasificación o reserva de la información se establece sobre todo el activo de información o sobre parte de éste. En caso de ser parcial se deberá indicar expresamente la parte o sección que es objeto de la clasificación o reserva, pues todo lo demás se entenderá que constituye información pública.

·                    Fecha de calificación de la información clasificada y reservada: Indicar la fecha en la que se hace la calificación del activo como reservado o clasificado.

·                    Plazo de la clasificación o reserva: Indicar el tiempo que cobija la clasificación o reserva del activo de información, debe estar previamente establecido en una norma legal, el plazo no debe ser mayor a 15 años.

·                    En la sección de Nivel de protección Seguridad de la Información (ISO 27001:2013) se califican los criterios de seguridad de la información, con base en la clasificación de la información adoptada por la entidad y las regulaciones que rigen a la Entidad, de existir algún activo de información que por su naturaleza sea confidencial y no se encuentre cobijado por la ley, se debe otorgar el valor correspondiente para su análisis y así poder determinar cómo se va a proteger por la Entidad.

·                    Determinación de los riesgos por divulgación de la información: Identificar los riesgos que se pueden materializar con la divulgación de la información clasificada o reservada. Para ello deberán indicarse cuáles son los eventuales daños que se puedan generar al permitirse el acceso a la información.

Estos daños deben cumplir con las siguientes características:

•      Probabilidad: Cuando existan circunstancias que puedan materializar el riesgo.

•      Especificidad: Que se trate de daños que puedan ser individualizados y no de afectaciones genéricas.

Nota. La información contenida en este campo servirá de insumo para motivar la eventual respuesta negativa que se pueda dar frente a una solicitud de acceso a la información, que deberá cumplir con las exigencias del Art. 2.1.1.4.4.1 del Decreto Único Reglamentario 1081 de 2015.

·                    Fecha de calificación del nivel de protección: Indicar la fecha en la que se realiza la calificación de los activos de información.

·                    Categoría: Está de acuerdo a lo siguiente:

•          Recursos de Información: Bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad y contingencia, información archivada, etc.

•          Recursos de Software: Que pueden ser Físicos o digitales como: software de aplicaciones, sistemas operativos, herramientas de desarrollo y publicación de contenidos, utilitarios, etc.

•          Activos Físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, fax, contestadores automáticos, switches, etc.), medios magnéticos (cintas, discos, dispositivos móviles de almacenamiento de datos – pen drives, discos externos, etc.-), otros equipos técnicos (relacionados con el suministro eléctrico, unidades de aire acondicionado, controles automatizados de acceso, etc.), mobiliario, lugares de emplazamiento, etc.

•          Servicios: servicios informáticos y de comunicaciones, utilitarios generales (calefacción, iluminación, energía eléctrica, etc.).

•          Clasificación: Es la calificación que le da la entidad, de acuerdo a la clasificación adoptada.

·                    Confidencialidad: Calificar el activo de información en términos de confidencialidad entendiendo que éste, no se debe poner a disposición ni se debe revelar a individuos, entidades o procesos no autorizados.

·                    Se debe considerar para esta calificación, los requisitos legales como la Ley 1712 de 2014 y Ley 1581 de 2012. .

·                    Integridad: Calificar el activo de información en cuanto a la integridad, mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

·                    Disponibilidad: Calificar el activo de información, en términos de disponibilidad, de acuerdo a la importancia que tiene en cuanto a este componente.

·                    Nivel de Criticidad: Esta casilla no debe ser diligenciada por el usuario, corresponde al resultado final de la calificación de los criterios de confidencialidad, integridad y disponibilidad de la información.

·                    Observaciones: Mencionar los aspectos más relevantes de los activos de información.

4.    Propiedad de los activos de información

La propiedad de los activos se identifica en la matriz de inventario de activos, clasificación y publicación de la información, de acuerdo a los campos de:

·                    Responsable de la Producción de la Información o Propietario

·                    Responsable de la Información o custodio

5.    Atributos de los activos de información en cuanto a seguridad de la información

Esta actividad se realiza con el fin de que los activos de información reciban el nivel de protección adecuada, de acuerdo con su clasificación, esta se realiza con base en los atributos de Integridad, Confidencialidad y Disponibilidad de la Información teniendo en cuenta la importancia del activo y su criticidad en los procesos.

6.    Aprobación del inventario  de activos de información

Una vez sea haya identificado todos los registros de información y clasificado según la ley 1712 del 2014, sea información pública, clasificada o reservada se convoca al comité sea el de Eficiencia Administrativa o MIPG, para que sea aprobado, luego se elabora el acto administrativo.

7.    Publicación del inventario  de activos de información en la página web institucional.

Dando cumplimiento al artículo 20 de la Ley 1712 de 2014 “Ley de Transparencia”, la entidad debe publicar el índice de información calificada como clasificada o reservada junto con el inventario de activos de información.

ublicado por Giovanna Tomassoni

Ingeniera de sistema, actualemente en la alcaldía de Yopal

https://www.youtube.com/watch?v=zNtLIhsX97M