¿Se han identificado todos los activos de información del Organismo, incluyendo: información, activos de software, activos físicos, instalaciones, servicios, personas, y sus calificaciones, habilidades y experiencia y activos intangibles?
Requerimientos iniciales:
- Lista completa de todos los activos de información del organismo.
- Sistema de gestion: registros, inventarios, herramientas.
- Registros de servicios externos.
- Perfiles del persoanal: calificaciones, habilidades, experiencia
- Lista de activos intangibles: marcas registradas, patentes, derechos de autor.
- Lista completa de todos los activos de información del organismo.
- Sistema de gestion: registros, inventarios, herramientas.
- Registros de servicios externos.
- Perfiles del persoanal: calificaciones, habilidades, experiencia
- Lista de activos intangibles: marcas registradas, patentes, derechos de autor.
Procedimientos de cumplimiento:
- Realizar entrevistas con el personal responsable de la gestión de activos para determinar si están al tanto de las políticas y procedimientos relacionados con el inventario, y si los siguen en su trabajo diario. Preguntar sobre la existencia de activos, su ubicación y estado, y cómo se lleva a cabo el registro de incidentes relacionados con activos.
- Revisar los registros de revisión de las políticas y procedimientos relacionados con el inventario de activos para evaluar si están siendo actualizados periódicamente.
Procedimiento sustantivo:
- Seleccionar una muestra representativa de activos del inventario y verificar su existencia física. Comprueba si los activos identificados en el inventario realmente se encuentran en las ubicaciones especificadas.
- Realizar entrevistas con el personal responsable de la gestión de activos para determinar si están al tanto de las políticas y procedimientos relacionados con el inventario, y si los siguen en su trabajo diario. Preguntar sobre la existencia de activos, su ubicación y estado, y cómo se lleva a cabo el registro de incidentes relacionados con activos.
- Revisar los registros de revisión de las políticas y procedimientos relacionados con el inventario de activos para evaluar si están siendo actualizados periódicamente.
Procedimiento sustantivo:
- Seleccionar una muestra representativa de activos del inventario y verificar su existencia física. Comprueba si los activos identificados en el inventario realmente se encuentran en las ubicaciones especificadas.
Incumplimiento total.
De la muestra seleccionada, solo el 67% de los activos de información fueron inventariados formalmente. Se encontró que el total de servicios externos utilizados en la organización fueron omitidos. La mayoría de los activos de software no se tuvieron en cuenta a la hora de identificarlos y registrarlos.
Impacto: Medio. La falta de un inventario completo y preciso de los activos de información puede llevar a una falta de visibilidad y control sobre ciertos recursos de la organización. Genera una incapacidad para asignar recursos de manera eficiente y un problema para tener un visión amplia sobre los riesgos asociados a cada activo.
De la muestra seleccionada, solo el 67% de los activos de información fueron inventariados formalmente. Se encontró que el total de servicios externos utilizados en la organización fueron omitidos. La mayoría de los activos de software no se tuvieron en cuenta a la hora de identificarlos y registrarlos.
Impacto: Medio. La falta de un inventario completo y preciso de los activos de información puede llevar a una falta de visibilidad y control sobre ciertos recursos de la organización. Genera una incapacidad para asignar recursos de manera eficiente y un problema para tener un visión amplia sobre los riesgos asociados a cada activo.