Procedimientos 5 minutos de lectura

GESTIÓN DE ACTIVOS: NO PUEDES PROTEGER LO QUE NO SABES QUE TIENES

Introducción

Un ataque, una pérdida de datos o una brecha de seguridad siempre tienen algo en común: nadie puede proteger lo que no sabe que existe.
La gestión de activos es la base de toda estrategia de ciberseguridad, aunque sigue siendo una de las tareas más descuidadas en muchas organizaciones.
Sin un inventario fiable, los responsables de seguridad terminan gestionando a ciegas: hay servidores sin responsable, equipos sin parchear, credenciales huérfanas y sistemas obsoletos que siguen conectados a la red.
Y cuando llega un incidente, la pregunta es inevitable: “¿Dónde está eso, quién lo gestiona y por qué nadie lo sabía?”

¿Qué es la gestión de activos?

Es el proceso de identificar, clasificar, registrar y mantener actualizada la información sobre todos los activos que participan en la operativa de una organización.
Según la norma ISO/IEC 27002:2022, los activos incluyen todo lo que tiene valor para la empresa: información, software, hardware, servicios, personas, proveedores y entornos virtuales o cloud.

Objetivos principales

  • Disponer de un inventario completo y actualizado de todos los activos.
  • Asignar propietarios y responsables a cada activo.
  • Clasificar los activos según su criticidad, confidencialidad e impacto.
  • Garantizar trazabilidad y control de cambios en todo el ciclo de vida del activo.
  • Integrar la gestión de activos con los procesos de seguridad, mantenimiento y auditoría.

Tipos de activos a controlar

  • Activos físicos: servidores, portátiles, routers, dispositivos IoT.
  • Activos lógicos: sistemas operativos, software, licencias, APIs.
  • Activos de información: bases de datos, documentación, registros, backups.
  • Activos humanos: usuarios, roles, accesos y privilegios.
  • Activos externos: servicios cloud, proveedores, contratos y terceros.

Relación con la ISO/IEC 27001 y la ISO/IEC 27002

La gestión de activos se desarrolla en los controles A.5.9 a A.5.12 de la ISO/IEC 27002:2022 y es un pilar del Sistema de Gestión de Seguridad de la Información (SGSI).
Un inventario bien mantenido es requisito previo para aplicar políticas de seguridad coherentes, auditar configuraciones y gestionar incidentes.
En resumen: sin gestión de activos, no hay seguridad gestionada.

Errores frecuentes en la gestión de activos

  • No definir responsables ni propietarios de los activos.
  • Inventarios incompletos o desactualizados.
  • No incluir servicios cloud, SaaS o dispositivos móviles.
  • Olvidar activos virtuales, entornos de prueba o APIs.
  • No sincronizar los inventarios con las herramientas de monitorización y backup.

Buenas prácticas y herramientas recomendadas

  • Usar CMDBs (Configuration Management Databases) para mantener un inventario centralizado.
  • Automatizar el descubrimiento de activos mediante escaneos de red o agentes.
  • Integrar la gestión de activos con la gestión de vulnerabilidades y parches.
  • Definir procesos de alta, baja y modificación con aprobación formal.
  • Revisar periódicamente la vigencia y propiedad de los activos.

Checklist rápida para un inventario vivo

  1. Identifica todos los activos físicos y virtuales.
  2. Asigna propietario y responsable de seguridad.
  3. Clasifica cada activo por nivel de criticidad y confidencialidad.
  4. Relaciona cada activo con su función o servicio.
  5. Establece un proceso de revisión y actualización periódica.

Reflexión final

La gestión de activos no es una tarea administrativa: es una disciplina estratégica. Es el mapa que permite saber qué proteger, cómo hacerlo y quién debe responder.
Sin un inventario claro, la seguridad se convierte en una carrera a ciegas. En cambio, con una gestión de activos sólida, cada decisión de ciberseguridad se apoya en información real y trazable.

Conclusión

La seguridad empieza con el conocimiento. Conocer tus activos es conocer tus riesgos.
Cada dispositivo, cuenta o servicio sin registrar es una puerta abierta al incidente del mañana. Porque lo que no se registra, no se protege.