Registro de Activos Tecnológicos Críticos y Matriz de Controles
Control de Gobernanza: Controles de Activos Críticos
1. Propósito
Documentar los activos tecnológicos críticos de [ORGANIZACION], sus clasificaciones de impacto en el negocio, controles asignados que aseguran la confidencialidad, integridad y disponibilidad, y el calendario de revisión y pruebas de controles.
2. Alcance
Este registro cubre todos los activos tecnológicos clasificados como críticos basándose en su rol de soporte a funciones esenciales del negocio, la sensibilidad de los datos que procesan y el impacto de su compromiso o indisponibilidad.
3. Contenido del Registro
3.1 Criterios de Identificación de Activos Críticos
Un activo tecnológico se clasifica como crítico si se cumple cualquiera de los siguientes criterios:
El activo soporta un proceso de negocio con un Objetivo de Tiempo de Recuperación (RTO) de [PERSONALIZAR: 4 hours or less]
El activo procesa, almacena o transmite datos clasificados como [PERSONALIZAR: Confidential or Restricted]
El compromiso o indisponibilidad del activo resultaría en incumplimiento regulatorio
El activo ha sido identificado como una dependencia clave para [PERSONALIZAR: 3 or more] otros sistemas críticos de negocio
El activo es de cara al cliente y su interrupción impactaría directamente [PERSONALIZAR: service delivery / revenue generation]
La criticidad de los activos deberá revisarse durante el análisis de impacto en el negocio anual y actualizarse cuando ocurran cambios significativos en los procesos de negocio o la arquitectura tecnológica.
3.2 Registro de Activos Críticos
La siguiente información deberá mantenerse para cada activo tecnológico crítico:
| Campo | Descripción |
|---|---|
| ID del Activo | Identificador único del inventario de activos empresarial |
| Nombre del Activo | Nombre descriptivo del activo |
| Tipo de Activo | Servidor, base de datos, aplicación, dispositivo de red, servicio en la nube, etc. |
| Función de Negocio Soportada | El(los) proceso(s) crítico(s) de negocio que el activo soporta |
| Clasificación de Datos | La clasificación más alta de datos procesados/almacenados/transmitidos |
| Calificación de Impacto en el Negocio | Crítico / Alto / Medio basado en los resultados del análisis de impacto en el negocio |
| Propietario del Riesgo | Individuo nombrado responsable de las decisiones de riesgo sobre este activo |
| Propietario Técnico | Individuo nombrado responsable de la gestión técnica |
| RTO / RPO | Objetivos de Tiempo de Recuperación y Punto de Recuperación |
| Ubicación / Entorno | Ubicación física, región en la nube o entorno de alojamiento |
| Dependencias | Dependencias de sistemas ascendentes y descendentes |
3.3 Matriz de Controles - Confidencialidad
Los siguientes controles deberán implementarse para activos críticos para asegurar la confidencialidad:
| Control | Requisito | Frecuencia de Revisión | Método de Prueba |
|---|---|---|---|
| Control de Acceso | Acceso basado en roles con privilegio mínimo; acceso privilegiado mediante PAM | [PERSONALIZAR: Quarterly] | Auditoría de revisión de acceso |
| Cifrado en Reposo | AES-256 o equivalente para todos los datos clasificados como [PERSONALIZAR: Confidential+] | [PERSONALIZAR: Annually] | Escaneo de configuración |
| Cifrado en Tránsito | TLS 1.2+ para todos los datos en tránsito; TLS mutuo para comunicación entre sistemas | [PERSONALIZAR: Quarterly] | Escaneo de protocolo |
| Prevención de Pérdida de Datos | Reglas de DLP para tipos de datos sensibles en todas las rutas de salida | [PERSONALIZAR: Monthly] | Prueba de reglas de DLP |
| Segmentación de Red | Activos críticos aislados en segmentos de red dedicados con acceso controlado | [PERSONALIZAR: Semi-annually] | Prueba de penetración |
3.4 Matriz de Controles - Integridad
Los siguientes controles deberán implementarse para activos críticos para asegurar la integridad:
| Control | Requisito | Frecuencia de Revisión | Método de Prueba |
|---|---|---|---|
| Gestión de Cambios | Todos los cambios a través del proceso aprobado de gestión de cambios con plan de reversión | [PERSONALIZAR: Per change] | Auditoría de cambios |
| Monitoreo de Integridad de Archivos | FIM desplegado en archivos críticos del sistema, configuraciones y binarios | [PERSONALIZAR: Continuous] | Revisión de alertas de FIM |
| Validación de Entrada | Validación de entrada y codificación de salida a nivel de aplicación para todas las entradas de usuario | [PERSONALIZAR: Per release] | Pruebas de seguridad de aplicaciones |
| Integridad de Base de Datos | Restricciones de integridad de base de datos, pistas de auditoría y verificación de respaldos | [PERSONALIZAR: Monthly] | Scripts de verificación de integridad |
| Firma de Código | Todo el código y actualizaciones desplegados son firmados digitalmente y verificados | [PERSONALIZAR: Per deployment] | Auditoría de despliegue |
3.5 Matriz de Controles - Disponibilidad
Los siguientes controles deberán implementarse para activos críticos para asegurar la disponibilidad:
| Control | Requisito | Frecuencia de Revisión | Método de Prueba |
|---|---|---|---|
| Redundancia | Redundancia activo-activo o activo-pasivo para todos los activos críticos de Nivel 1 | [PERSONALIZAR: Semi-annually] | Prueba de conmutación por error |
| Respaldo y Recuperación | Respaldos automatizados según el RPO definido; restauración probada al menos [PERSONALIZAR: quarterly] | [PERSONALIZAR: Quarterly] | Prueba de restauración |
| Recuperación ante Desastres | Capacidad de DR en ubicación geográficamente separada; probada [PERSONALIZAR: annually] | [PERSONALIZAR: Annually] | Ejercicio de DR |
| Gestión de Capacidad | Monitoreo de utilización de capacidad con alertas al umbral de [PERSONALIZAR: 80%] | [PERSONALIZAR: Monthly] | Revisión de informe de capacidad |
| Protección contra DDoS | Mitigación de DDoS para activos críticos expuestos a internet | [PERSONALIZAR: Annually] | Simulación de DDoS |
| Gestión de Parches | Parches críticos aplicados dentro de [PERSONALIZAR: 72 hours]; altos dentro de [PERSONALIZAR: 30 days] | [PERSONALIZAR: Monthly] | Escaneo de cumplimiento de parches |
3.6 Calendario de Revisión y Pruebas
El registro de activos críticos deberá revisarse al menos [PERSONALIZAR: semi-annually] por [PERSONALIZAR: IT Operations and Cyber Risk] para asegurar la precisión y completitud.
Todos los controles deberán probarse según las frecuencias definidas en las matrices de controles anteriores. Las pruebas deberán ser realizadas o validadas por [PERSONALIZAR: second line / internal audit] al menos anualmente.
Los resultados de las pruebas deberán documentarse en [PERSONALIZAR: GRC tool/system] con hallazgos rastreados hasta su remediación.
El resumen anual de efectividad de controles para activos críticos deberá reportarse al [PERSONALIZAR: Executive Risk Committee / Board] como parte del informe anual de riesgo cibernético.
4. Cumplimiento
El cumplimiento de este registro es obligatorio para todo el personal y funciones dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, revisión de la gerencia y supervisión de la segúnda linea de defensa.
Las excepciones a este registro deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Comite Ejecutivo de Riesgos], y revisarse al menos anualmente.
5. Revisión y Actualización
Este registro será revisado al menos anualmente por [PERSONALIZAR: CISO/Propietario del Documento] y actualizado según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios, estructura organizaciónal o apetito de riesgo.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación del Documento
Aprobado Por
Cargo
Fecha
Control de Documentos