Controles de Activos Críticos
ActivosDeclaración del Control
La organización ha identificado sus activos tecnológicos críticos y ha implementado controles apropiados para asegurar la confidencialidad, integridad y disponibilidad. Los controles se revisan y prueban regularmente.
Descripción
Los activos tecnológicos críticos sustentan los procesos de negocio, datos y servicios más importantes de la organización. Este control requiere un enfoque sistemático para identificar qué activos tecnológicos son críticos (basándose en su rol en el soporte de funciones esenciales del negocio, la sensibilidad de los datos que procesan y el impacto de su compromiso o indisponibilidad), implementar controles que protejan su confidencialidad, integridad y disponibilidad, y asegurar que esos controles permanezcan efectivos mediante revisión y pruebas regulares. Sin esta disciplina, las organizaciones corren el riesgo de sub-proteger sus activos más valiosos mientras potencialmente sobre-invierten en áreas de menor prioridad.
Actividades Clave de Implementación
- 1 Identificar y mantener un inventario de activos tecnológicos críticos basado en análisis de impacto al negocio, clasificación de datos y mapeo de dependencias
- 2 Implementar controles en capas que aborden la confidencialidad (cifrado, controles de acceso), integridad (gestión de cambios, monitoreo de integridad) y disponibilidad (redundancia, respaldo, recuperación ante desastres) para cada activo crítico
- 3 Establecer un ciclo regular de revisión para evaluar si los controles siguen siendo apropiados dados los cambios en el panorama de amenazas, el entorno tecnológico y los requisitos del negocio
- 4 Realizar pruebas periódicas de los controles a través de evaluaciones de vulnerabilidades, pruebas de penetración, ejercicios de recuperación ante desastres y revisiones de efectividad de controles
- 5 Mantener documentación que vincule los activos críticos con sus controles asignados, responsables de riesgo y calendarios de pruebas
Ejemplos de Evidencia
- Inventario de activos críticos con clasificación, calificaciones de impacto al negocio y responsables de riesgo asignados
- Documentación de mapeo de controles que muestre los controles de protección asignados a cada activo crítico en las dimensiones de CIA
- Registros de revisión de controles que demuestren la evaluación regular de la idoneidad y efectividad de los controles
- Resultados de pruebas (informes de escaneo de vulnerabilidades, informes de pruebas de penetración, resultados de pruebas de DR) para controles de activos críticos
- Seguimiento de remediación para deficiencias de controles identificadas a través de actividades de revisión y pruebas
Niveles de Madurez
Los activos críticos se reconocen informalmente pero no se identifican o clasifican sistemáticamente. Los controles se aplican de manera inconsistente y raramente se prueban. No hay vinculación formal entre la criticidad del activo y la profundidad del control.
Los activos críticos se identifican, clasifican e inventarían formalmente. Los controles que abordan la CIA se implementan y mapean a los activos. Los ciclos regulares de revisión y pruebas están establecidos y documentados.
El monitoreo continuo proporciona visibilidad en tiempo real de la efectividad de los controles de activos críticos. Las pruebas se automatizan donde sea factible e incluyen simulación adversarial. La inversión en controles se ajusta dinámicamente basándose en inteligencia de amenazas y cambios en la criticidad de los activos.
Plantillas de Documentos
Requisitos de Evidencia Ver toda la evidencia
| Tipo | Elemento de Evidencia | Frecuencia | Nivel |
|---|---|---|---|
| Documento | Inventario de activos críticos con clasificación, calificaciones de impacto al negocio y responsables del riesgo | Revisado semestralmente | |
| Documento | Documentación de mapeo de controles que muestre los controles de CIA asignados a cada activo crítico | Revisado anualmente | |
| Documento | Criterios de identificación de activos críticos y metodología de clasificación | Revisado anualmente | |
| Registro | Registros de revisión de controles que demuestren la evaluación regular de la efectividad de los controles | Según calendario de revisión | |
| Registro | Resultados de pruebas: escaneos de vulnerabilidades, pruebas de penetración, pruebas de recuperación ante desastres para activos críticos | Según calendario de pruebas | |
| Registro | Seguimiento de remediación para deficiencias de controles identificadas mediante revisión y pruebas | Por hallazgo | |
| Registro | Resumen anual de efectividad de controles reportado a la gobernanza ejecutiva | Anualmente |