Política de gestión de activos

La Política de gestión de activos (P12) establece los requisitos de la organización para identificar, clasificar, gestionar y proteger todos los activos de información a lo largo de su ciclo de vida. El documento tiene como objetivo proporcionar supervisión y gobernanza a nivel empresarial, abarcando entornos de hardware, software, datos, nube, móviles, remotos y gestionados por terceros. Su intención principal es garantizar que la organización logre visibilidad completa de su cartera de activos, lo que a su vez permite controles de seguridad eficaces, asignación de propiedad, cumplimiento normativo y procedimientos responsables de retirada de servicio. Los activos gobernados por esta política incluyen una amplia variedad: portátiles, equipos de sobremesa, dispositivos móviles, almacenamiento extraíble, impresoras, equipos de red, software, bases de datos, datos de respaldo, claves de cifrado, datos estructurados y datos no estructurados, informes, correo electrónico, propiedad intelectual, recursos en la nube, máquinas virtuales, cuentas de usuario, líneas base de configuración, licencias y más. La política aplica a todos los empleados, contratistas, proveedores terceros de servicios y proveedores que utilicen, gestionen o accedan a activos de información propiedad de la organización o bajo su control. Esta cobertura se extiende incluso a activos en entornos remotos, híbridos o externalizados, garantizando que la seguridad y la trazabilidad de los activos no se vean comprometidas por la ubicación. Un objetivo fundamental es el mantenimiento de un inventario de activos centralizado, preciso y actualizado, gestionado por el responsable de activos de TI y, cuando sea posible, integrado con otros sistemas de gestión de la configuración. Cada activo incorporado a este inventario debe incluir metadatos obligatorios como su identificador único, propiedad, clasificación de activos, ubicación y estado del ciclo de vida. Se designan propietarios del activo para cada activo, responsables de garantizar su clasificación adecuada, protección y validación periódica de los registros. El proceso de clasificación sustenta toda la política, asegurando que los activos se etiqueten y gestionen según la sensibilidad, criticidad y cualquier requisito normativo aplicable. Se aplican procedimientos de etiquetado tanto para activos digitales como físicos, y los requisitos de manejo —por ejemplo, cifrado, almacenamiento bajo llave o control de acceso restringido— deben corresponder a los niveles de clasificación. La política detalla controles de seguridad en cada etapa del ciclo de vida del activo: incorporación, reasignación, manejo, uso, devolución segura durante la desvinculación y eliminación segura. Estipula que el uso de los activos debe adherirse a los estándares de uso aceptable de los activos corporativos, y prohíbe específicamente reutilizar activos para uso personal, instalar software no autorizado o eludir controles como antivirus y cifrado. Las reglas para el uso remoto de activos requieren el empleo de red privada virtual (VPN) o túneles seguros y pueden implicar soluciones de gestión de dispositivos móviles y gestión de endpoints. Las prácticas de retirada de servicio y destrucción seguras se abordan de forma explícita, exigiendo borrados criptográficos o destrucción física con confirmación y mantenimiento de registros. Para respaldar el cumplimiento continuo y la gestión de riesgos, la Política de gestión de activos se integra con el registro de riesgos de la organización y respalda la evaluación de riesgos, la gestión de excepciones y los procesos de auditoría interna. Las infracciones, como activos no registrados o no autorizados, eliminación inadecuada o deshabilitación de controles, son motivo de escalado y pueden dar lugar a medidas disciplinarias, penalizaciones a proveedores o incluso procedimientos legales. Las revisiones periódicas de la política involucran a múltiples grupos de partes interesadas y se activan por cambios regulatorios, hallazgos de auditoría, incidentes de seguridad o cambios operativos sustanciales. El documento concluye con referencias a políticas relacionadas: Política de control de acceso, Política de clasificación y tratamiento de la información, Política de conservación de datos, Política de registro y monitorización y Política de respuesta a incidentes (P30), garantizando que la gestión de activos constituya un pilar central de la estructura de gobernanza más amplia de la organización. Esta política no está etiquetada específicamente como una política para pymes. Está diseñada para organizaciones con equipos designados como Operaciones de TI, Director de Seguridad de la Información (CISO), responsable de activos y diversas partes interesadas de cumplimiento y operaciones, cumpliendo los requisitos integrales de ISO/IEC 27001:2022 y marcos de apoyo.