Quieres Seguridad, pero ¿sabes lo que tienes?

Todavía recuerdo cuando uno de los primeros jefes que tuve, me puso hacer un inventario de los activos que teníamos en el departamento. Como alguno puede estar pensando, no me lo tomé bien, sino más bien como un castigo.Ha sido al cabo de los años cuando he entendido lo que me quiso enseñar, pidiéndome que realizara esta tarea.Dejarme que os explique, porque considero que tener un inventario es como el kilómetro cero de cualquier departamento.

“El inventario es una relación detallada, ordenada y valorada de los elementos que componen el patrimonio de una empresa o departamento en un momento determinado”

Un buen inventario te ayudará en:

• Gestión con proveedores
• En tu presupuesto económico 
• En tu logistica 

Las principales normas de Seguridad te hablan de la necesidad de tener "controlado tus activos"

ISO 27001 - Gestión de Activos con los siguientes controles :

• 8.1.1 Inventario de activos
• 8.1.2 Propiedad de los activos
• 8.1.3 Uso aceptable de los activos
• 8.1.4 Devolución de activos
• 8.2.1 Clasificación de la información
• 8.2.2 Etiquetado de la información
• 8.2.3 Manejo de los activos

En el Esquema Nacional de Seguridad , Anexo II , en el punto 4.3 se habla de la necesidad de tener un inventario de activos actualizado y mantenido en el tiempo. Las principales metodologías para la realización de análisis de riesgos o de impacto, son metodologias que como MAGERIT te hablan de la necesidad de realizar este analisis desde los activos

Podría seguir enumerando normas, pero creo que con las dos normas más importantes desde el punto de vista de la Seguridad es importante para darse cuenta de un buen inventario. Cuando estoy adquiriendo un nuevo sistema de monitorización , también necesito saber que es lo que tengo y las características de ello, para determinar cual sistema o forma de monitorización es la más idónea para mi.

LLegado este punto,muchos me diréis que vosotros tenéis inventariado en tal o cual herramienta “Que cumplis”, pero ya os adelanto que no sirve de nada si a vuestro inventario, no le dais una vuelta de tuerca y le hacéis crecer relacionando los activos que tenéis en la organización entre sí.

Desde mi experiencia, un buen inventario tendría que tener las siguientes categorías 

• Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen. De esta manera puedes identificar si tienes datos de carácter personal que debas tratar de manera diferente, puede identificar quién tienen acceso a ellos.Creo que no es necesario recordarle a la multa que como empresas te puedes enfrentar si no cumples la legislación 
• Aplicaciones: El software que se utiliza para la gestión del proceso. Sistemas SCADA, herramientas de desarrollo de HMI, aplicativos desarrollados, sistemas operativos, firmware de dispositivos, etc.
• Hardware industrial: Equipos físicos necesarios para desarrollar la labor industrial (terminales remotas, PLC, IED, PC, servidores, dispositivos móviles o de mano, etc.)
• Red: Dispositivos de conectividad de redes (routers, switches, concentradores, pasarelas, etc.)
• Tecnología: Otros equipos necesarios para gestionar las personas y el negocio de la empresa (servidores, equipos de usuario, teléfonos, impresoras, routers, cableado, etc.).
• Personal: En esta categoría se encuentra tanto la plantilla propia de la organización como el personal subcontratado, personal de mantenimiento y, en general, todos aquellos que tengan acceso de una manera u otra a la industria.
• Instalaciones: Lugares en los que se alojan los sistemas relevantes del sistema (oficinas, edificios, instalaciones eléctricas, vehículos, etc.).

Estas son mis ideas y desde luego que cuando las pongo en práctica gestiono mejor mis proyectos. ¿Que tal vosotros y vuestros inventarios?