DC

SOLUCIONES:
SERVICIO DE
DATACENTER
METODOLOGÍA DE GESTIÓN DE ACTIVOS DE INFORMACIÓN Y
TI

 OBJETIVO:
Presentar la directriz para identificar, clasificar y establecer los valores de
los activos de información asociados a los procesos de DC
SOLUCIONES.

 ALCANCE:
Está definido a los activos de información de DC SOLUCIONES, con el fin
de determinar que activos posee la empresa, para establecer su
clasificación y criticidad con el propósito de definir los controles a
implementar, esto con la finalidad de mitigar riesgos en la seguridad de la
información.

 DEFINICIONES:

Activo: Es cualquier elemento que representa valor para la empresa;

como, por ejemplo: información, hardware, personas, instalaciones,
procesos, software, redes, entre otros.
Activo de información: Están compuestos por aquellos que contienen
datos con valor para la empresa.

Control: Mecanismo que permite modificar el nivel de exposición del riesgo.

Confidencialidad: Propiedad de la información que permite que no esté
disponible o sea revelada a usuarios no autorizados.
Control de Acceso: Medio para restringir el acceso a los activos de
acuerdo a los requerimientos del negocio y de la seguridad.
Datos: Unidad primaria que agrupada provee información.
Dato semiprivado: Es aquel que no tiene naturaleza íntima, reservada, ni
pública y cuyo conocimiento o divulgación puede interesar no sólo a su
titular sino a cierto grupo de personas o a la sociedad en general.

Dato sensible: Son aquellos que afectan la intimidad del Titular o cuyo
uso indebido puede generar su discriminación, por ejemplo aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones
 DC
SOLUCIONES:
religiosas o filosóficas, la pertenencia a sindicatos,
SERVICIO DE organizaciones sociales, de derechos humanos o que
DATACENTER promueva intereses de cualquier partido político o que
garanticen los derechos y garantías de partidos políticos
de oposición así como los datos relativos a la salud, a la vida sexual y los
datos biométricos.

Dato público: Es clasificado como tal según los mandatos de la ley o de

la Constitución Política y todos aquellos que no sean semiprivados o
privados, de conformidad con la ley 1266 de 2008. Son públicos, entre
otros, los datos contenidos en documentos públicos, sentencias judiciales
debidamente ejecutoriadas que no estén sometidos a reserva y los
relativos al estado civil de las personas.

Dato privado: Es el que por su naturaleza íntima o reservada sólo es

relevante para el titular.

Disponibilidad: Propiedad de ser accesible y utilizable.

Información: Datos relacionados que tienen significado para la empresa.
La información es un activo que, como otros activos importantes del
negocio, es esencial para las actividades de la empresa, como
consecuencia, necesita una protección adecuada.

Información pública: Información de interés general que puede ser de

conocimiento de cualquier persona. La información pública se subdivide
en dos grupos la información que debe ser publicada en el portal de la
Entidad que se denomina “pública” y la que está disponible para consulta,
pero que no se debe publicar en el portal de la Entidad.

Norma ISO 27001:2013: Es la versión del año 2013 de la norma ISO

27001 que “proporciona los requisitos para establecer, implementar,
mantener y mejorar de manera continua un sistema de gestión de la
seguridad de la información.”
Propietario de la información: Personal del área administrativa de DC
SOLUCIONES se hace responsable de la materialización de los riesgos
de seguridad de la información vinculados a esa información y que por lo
tanto debe hacerse cargo de la gestión necesaria para que los controles
definidos en el SGSI se apliquen apropiadamente.
Seguridad de la Información: Gestión de las medidas y controles
diseñados para el tratamiento de los riesgos generados por la afectación
de la confidencialidad, integridad y/o disponibilidad de los activos de
información de una Organización de acuerdo con la Política de Gestión de
riesgos aprobada por DC SOLUCIONES. Estas medidas y controles
incluyen: políticas, procedimientos, guías de implementación, estándares,
 DC
SOLUCIONES:
soluciones de software y hardware, controles
SERVICIO DE electrónicos, capacitación y sensibilización.
DATACENTER
Seguridad Informática: Gestión de controles
específicos para el entorno de Tecnología de información y
comunicaciones con base en los requerimientos definidos por la
seguridad de la información para la protección de los datos almacenados,
enviados y procesados para el cumplimiento de los objetivos y misión de
la empresa. La seguridad informática es un componente de Seguridad de
la información.

 CONTENIDO:

Este documento presenta la metodología que debe ser utilizada para

realizar el inventario, la clasificación de los activos de información y TI,
definir las responsabilidades de protección apropiadas.

POLÍTICA ACTIVOS DE INFORMACION

DC SOLUCIONES está comprometida a mantener un inventario de los

activos de información y TI de toda la empresa.

Para definir el nivel de clasificación de la criticidad, se debe tener en

cuenta la confidencialidad, integridad y disponibilidad del activo de
información, considerando los campos establecidos en el formato
Levantamiento de Inventario de Activos de Información Y TI.

El responsable designado de cada activo de información deberá

diligenciar la información precisa sobre el activo, en el formato para el
levantamiento de Activos de Información, teniendo en cuenta las
recomendaciones para su diligenciamiento.

El responsable designado de cada activo de TI deberá diligenciar la

información precisa sobre el activo, en el formato para el levantamiento
de Activos de TI, teniendo en cuenta las recomendaciones para su
diligenciamiento.

La Oficina de Tecnología de la Información, deberá mantener las

evidencias del levantamiento de inventarios de activos de información y TI
de todos los procesos de la empresa.

CRITERIOS DE CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

Los activos de información de DC SOLUCIONES deben ser identificados,

 DC
SOLUCIONES:
clasificados de acuerdo a los requisitos legales
SERVICIO DE vigentes, evaluados en cuanto a su confidencialidad,
DATACENTER integridad y disponibilidad, con el fin de conocer el valor
de criticidad para la empresa de dicho activo.

El proceso de clasificación del Inventario de activos comprende tres

etapas:

Identificación Clasificación Valoración

del Activo del Activo del Activo