Agregar y administrar activos de TI en el Gestor de activos

Cada activo de sistemas que posee su organización viene con un conjunto diferente de riesgos y responsabilidades. Con el flujo de trabajo de Gestión de riesgos de TI (anteriormente, ITRMBond), puede registrar información clave sobre cada activo y calcular la criticidad del riesgo y las calificaciones del valor de los activos para él. Luego, puede utilizar estas calificaciones para priorizar los riesgos de su organización y crear sus planes de mitigación de riesgos en consecuencia.

Esta solución requiere una suscripción a Gestión de riesgos de TI (anteriormente, ITRMBond).

¿Qué tipo de activos puedo agregar?

Hay cuatro categorías de activos que puede evaluar en Gestión de riesgos de TI (anteriormente, ITRMBond):

  • Hardware por ejemplo, servidores, computadores portátiles, teléfonos celulares
  • Software por ejemplo, sistemas operativos, aplicaciones
  • Nube por ejemplo, servidores virtuales
  • Sistemas de información elementos que interactúan dentro de un solo sistema; por ejemplo, software de nómina, los servidores en los que se almacenan los datos y los datos sensibles en sí

Los flujos de trabajo para estos activos son todos iguales, pero debido a que estas diferentes categorías de activos requieren diferentes tipos de información (por ejemplo, una pieza de hardware tiene una ubicación, pero un entorno de nube no), cada categoría tiene algunos atributos diferentes que necesita completar.

Después de agregar cada uno de estos activos antes mencionados, el flujo de trabajo es el mismo. Cada activo debe registrarse, categorizarse y luego evaluarse para determinar la criticidad del riesgo. Luego, su organización puede decidir los mejores métodos para priorizar y mitigar esos riesgos.

Para obtener más información sobre los activos, consulte Administración de sus activos con Gestor de activos

1. Agregar un activo de TI en el Gestor de activos

En el Gestor de activos, puede realizar un seguimiento de sus activos de TI y registrar información clave sobre cada uno.

Ejemplo

Escenario

Usted es un administrador de programas de riesgos de sistemas con la tarea de crear un nuevo programa de cumplimiento y seguridad de sistemas para su organización. Tiene muchos activos que abordar, pero decide comenzar con uno de los activos más importantes en sus herramientas de gestión de riesgos: las computadoras portátiles de su organización.

Proceso

Tema de ayuda Trabajo con activos en Gestor de activos

Abre la aplicación Gestor de activos. Selecciona el tipo de activo Activo de TI - Hardware, hace clic en Agregar Activo de TI - Hardware, introduce el nombre:   Computadora portátil y lo guarda.

Resultado

Gestión de riesgos de TI (anteriormente, ITRMBond) guarda su activo de computadora portátil en el Gestor de activos y le asigna automáticamente el estado Borrador.

2. Registrar el activo

Después de crear un borrador de su activo, puede agregar información adicional y hacer avanzar el activo a través del flujo de trabajo de gestión de riesgos de TI. Cuando usted registra un activo, ingresa información crítica sobre él y luego aprueba que se agregue a su Gestor de activos de TI.

Ejemplo

Escenario

Ahora que ha agregado su activo de computadora portátil, debe registrar el activo para poder ingresar más información sobre él y comenzar a evaluar su riesgo.

Proceso

En la ficha Detalles, ingresa toda la información que tiene sobre la computadora portátil, incluido su nombre, propietario del negocio, identificador de referencia y descripción, todos los cuales son necesarios para registrar el activo. Guarda el activo y luego, en el flujo de trabajo visual en la parte superior de la página, hace clic en Registrar. Después de validar que su activo tiene todos los detalles requeridos, el estado pasa a ser Registrado.

Resultado

Su computadora portátil tiene toda la información requerida y está registrada como un activo en estado activo en su organización.

3. Categorizar el activo

Ahora que tiene sus activos agregados y registrados en el Gestor de activos, puede evaluar su criticidad y utilizar esas calificaciones para categorizarlos. Puede optar por proporcionar una única calificación de nivel de criticidad o dejar que Diligent One calcule la criticidad en función de tres valores: los niveles de impacto de la confidencialidad, impacto de la integridad e impacto de la disponibilidad.

Al categorizar un activo, tiene dos opciones: puede enviar un cuestionario a un propietario técnico o del negocio y hacer que el Gestor de activos clasifique automáticamente el activo en función de sus respuestas o, si tiene la información sobre la criticidad del activo, puede ingresar las calificaciones usted mismo.

Ejemplo

Escenario

Para evaluar la criticidad de su computadora portátil por su cuenta, sabe que necesita saber tres cosas al respecto:

  • Nivel de impacto de la confidencialidad
  • Nivel de impacto de la integridad
  • Nivel de impacto de la disponibilidad

No está completamente seguro de cuáles deberían ser estas calificaciones, por lo que decide enviar un cuestionario para completar a su colega, que es el propietario del negocio para su computadora portátil.

Proceso

En el flujo de trabajo visual en la parte superior de la página, hace clic en Categorizar y luego en Iniciar la evaluación de criticidad. En el panel Enviar cuestionario, usted ingresa el nombre de su colega y le envía el cuestionario. Una vez que ingresa sus respuestas, Diligent One completa automáticamente las respuestas del cuestionario. Las calificaciones de riesgo (Confidencialidad, Integridad y Disponibilidad) se calculan y completan en la ficha Detalles. Actualice la página si no aparecen los cambios.

Realiza una verificación rápida para verificar que las categorizaciones del riesgo se vean correctas. Luego, en el flujo de trabajo visual, hace clic en Calificación. Gestión de riesgos de TI (anteriormente, ITRMBond) calcula automáticamente el nivel de criticidad (para obtener más información, consulte Comprender las calificaciones de categorización). Actualice la página si no aparecen los cambios. En el flujo de trabajo visual, hace clic en Más opciones y luego en Aprobar. El estado del activo pasa a Categorizado.

Resultado

Ha cuantificado con éxito los niveles de riesgo asociados con su computadora portátil y ha aprovechado los procesos automatizados de Diligent One para categorizar la computadora portátil en función de los riesgos asociados con ella. Ahora, es más fácil imaginar la creación de un plan y una lista de prioridades para corregir esos riesgos entre todos los demás activos que posee su organización.

Comprender las calificaciones de categorización

Si utiliza respuestas al cuestionario para calcular la criticidad de su activo, dos robots de flujo de trabajo trabajan juntos para calcular el nivel de criticidad que ve en su activo: los robots Categorización de activos de sistemas y Calificación de criticidad de la confidencialidad, integridad y disponibilidad (CIA).

Nota

Debido a que las ponderaciones de las respuestas y los límites del nivel de impacto son configurables, es posible que los ejemplos de esta sección no coincidan con los cálculos que ve en su organización. Si desea obtener más información, consulte Vista de los cálculos de su organización en Robots.

1. Cálculo de las calificaciones de categorización

Cada pregunta de la evaluación de criticidad pertenece a las categorías Confidencialidad, Integridad o Disponibilidad y se utiliza para calcular los niveles de impacto de la confidencialidad, impacto de la integridad o impacto de la disponibilidad, respectivamente. La respuesta a una pregunta en la categoría Confidencialidad, por ejemplo, solo afecta el cálculo del nivel de impacto de la confidencialidad, y no los niveles de impacto de la integridad o de impacto de la disponibilidad.

Cada respuesta en el cuestionario de evaluación de la criticidad tiene asignada una ponderación. Los administradores del sistema con suscripciones de usuario profesional pueden personalizar cada ponderación de las respuestas en el robot de flujo de trabajo Categorización de activos de sistemas.

Este robot calcula una calificación para el cuestionario en función de la calificación más alta posible para cada pregunta:

  • Para las preguntas que solo permiten una respuesta única, la calificación más alta posible es la ponderación más alta de todas las respuestas posibles a la pregunta.
  • Para las preguntas que permiten múltiples respuestas, la calificación más alta posible es la suma de todas las ponderaciones de todas las posibles respuestas a la pregunta.
Ejemplo

Su colega está respondiendo a esta pregunta: ¿Qué tipo de información o datos almacena, procesa o transmite este activo? La pregunta acepta múltiples respuestas.

Las respuestas disponibles y sus respectivas ponderaciones son las siguientes:

Respuesta Ponderación
Información de los empleados (Información de identificación personal, PII, por sus siglas en inglés) 3
Información del cliente (PII) 3
Información financiera 1
Información del propietario 1
Información de la infraestructura de sistemas: confidencial 3
Información de la infraestructura de sistemas: cifrada 1
No se aplica ninguno de estos tipos de datos 0

Su colega selecciona Información financiera e Información de la infraestructura de sistemas - Confidencial.

  • La calificación total de esta pregunta es 4 ( 1 + 3 = 4 ).
  • La calificación más alta posible para esta pregunta es 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).

Debido a que esta pregunta está en la categoría Confidencialidad, las ponderaciones de las respuestas para esta pregunta cuentan solo para el Nivel de impacto de la confidencialidad del activo. No tienen ningún efecto en los niveles de impacto de la integridad o impacto de la disponibilidad.

2. Asignación de un nivel de impacto

Para cada uno de los niveles de Impacto en la confidencialidad, Impacto en la integridad e Impacto de la disponibilidad, Gestión de riesgos de TI (anteriormente, ITRMBond) calcula la calificación final del cuestionario de la siguiente manera: calificación de la categorización = (suma de todas las ponderaciones de las respuestas/suma de todas las calificaciones más altas posibles de las preguntas) * 100 %.

Luego, el robot de flujo de trabajo toma esa calificación porcentual y la compara con los límites del nivel de impacto definidos para su organización, que puede personalizar en el robot. El nivel de impacto correspondiente al rango en el que se encuentra la calificación porcentual aparece en su activo.

Finalmente, cuando hace clic en Calificación en el flujo de trabajo visual, el robot del flujo de trabajo Calificación de criticidad de la CIA utiliza uno de dos métodos para determinar el nivel de criticidad general del activo:

  • Cota máxima Utiliza los niveles más altos de impacto de la confidencialidad, impacto de la integridad e impacto de la disponibilidad como el Nivel de criticidad general. Este es el método predeterminado.
  • Modo Utiliza el nivel de criticidad que ocurre con más frecuencia entre los niveles de impacto de la confidencialidad, impacto de la integridad e impacto de la disponibilidad como el Nivel de criticidad general. Si los tres niveles son diferentes, el método utiliza el más alto de los tres niveles.
Ejemplo

Después de completar el cuestionario:

  • La suma de las ponderaciones de las respuestas que seleccionó su colega en la categoría de preguntas de confidencialidad es 7.
  • La suma de las calificaciones más altas posibles para todas las preguntas de la categoría Confidencialidad es 20.

La calificación final del cuestionario de confidencialidad es 35% ( ( 7 / 20 ) * 100 = 35 ).

En su organización, a las calificaciones entre el 20 % y el 40 % se les asigna el nivel de criticidad Bajo. Por lo tanto, Bajo aparece en el campo Nivel de impacto de la confidencialidad para el activo de sistemas. El robot repite este proceso para calcular los niveles de impacto de la integridad e impacto de la disponibilidad del activo, utilizando las preguntas que pertenecen a cada una de esas categorías.

Cuando hace clic en Calificación en el flujo de trabajo visual, el robot de flujo de trabajo de Calificación de criticidad de la CIA examina los tres niveles de impacto registrados en el activo:

  • Nivel de impacto de la confidencialidad Bajo
  • Nivel de impacto de la integridad Medio
  • Nivel de impacto de la disponibilidad Bajo

Debido a que el robot está configurado para usar el método Máxima cota y el más alto de los tres niveles es Medio, Medio aparece en el campo Nivel de criticidad general del activo.

Vista de los cálculos de su organización en Robots

Los administradores del sistema con suscripciones de usuario profesional pueden ver las ponderaciones de las respuestas y los límites del nivel de impacto que utiliza su organización para calcular las calificaciones anteriores mediante estos pasos:

  1. Abra la aplicación Robots.
  2. En el tablero de mando de Robots, seleccione la ficha Robots de flujo de trabajo.
  3. Haga clic en el robot que contiene el script que desea ver.
  4. En la esquina superior derecha del robot, haga clic en Desarrollo para cambiar al Modo desarrollo.
  5. En la ficha Versiones del script, seleccione la versión del script que desea ver.

  6. Haga clic en Editar script.

    Resultado El editor de scripts de Robots se abre con el script. Si desea obtener más información, consulte Creación de scripts Python y HCL en Robots.

Si necesita ayuda para encontrar los robots que contienen sus personalizaciones o personalizar los cálculos de su organización para satisfacer sus necesidades, comuníquese con el soporte o con su representante de Diligent.

4. Reevaluar el activo

Si alguna vez necesita reevaluar la criticidad de su activo, puede moverlo hacia atrás en el proceso en cualquier momento.

Ejemplo

Escenario

Un año después de haber agregado la computadora portátil al Gestor de activos, su empresa es objeto de un acceso no autorizado a datos. Los hackers informáticos eluden su firewall y acceden a información sensible en la computadora portátil.

Usted sabe que este acceso no autorizado presenta un gran cambio en la forma en que debe evaluar los riesgos asociados con su computadora portátil: es crucial que su organización descubra por qué ocurrió la infracción y cómo evitar que ocurra otra en el futuro. Debe acceder a la información existente que ha registrado sobre su computadora portátil y aumentar su calificación de criticidad para poder crear una nueva planificación de la mitigación de riesgos para su computadora portátil.

Proceso

En el flujo de trabajo visual, hace clic en Reevaluar la criticidad. El estado de la computadora portátil vuelve a ser Categorización pendiente.

Esta vez, tiene más información sobre la computadora portátil que cuando la ingresó por primera vez en el Gestor de activos. En lugar de enviarle a su colega un cuestionario por segunda vez, decide ingresar la calificación general del Nivel de Criticidad en la ficha Detalles como Crítico y haga clic en Guardar cambios. Después, hace clic en Más opciones y luego en Aprobar.

Resultado

La computadora portátil ahora refleja los niveles actuales de riesgo que presenta para su organización después del acceso no autorizado a los datos.

¿Qué sigue?

Después de agregar y evaluar su activo para identificar los riesgos asociados con él, puede pasar a mitigar esos riesgos. Véase Agregar y administrar riesgos y controles de TI en el Gestor de riesgos para obtener más información.