Cuando hablamos de proteger la información, no basta con tener buenos firewalls o políticas de acceso. Todo empieza con saber qué activos tenemos, dónde están y quién los usa. La gestión de activos es clave en cualquier estrategia de ciberseguridad, y tanto la ISO 27001 como la Ley 21.663 de Ciberseguridad en Chile la señalan como una obligación dentro de un SGSI bien implementado.
¿Por qué importa tanto? No se puede controlar ni proteger lo que no se conoce. La trazabilidad de activos permite actuar rápido ante incidentes, asignar responsabilidades, controles de seguridad y demostrar cumplimiento ante fiscalizaciones. No tenerlo en orden no solo expone a la organización a riesgos, también puede abrir la puerta a los atacantes y sanciones por incumplimiento legal.
TL;DR – Lo esencial en 3 puntos
- El inventario de activos es obligatorio bajo ISO 27001 y la Ley 21.663. No debe ser una lista olvidada en una hoja de excel sino un documento clave para evaluar activos, responder a incidentes y cumplir con un SGSI robusto.
- No basta con registrar equipos físicos: también debes incluir datos, servicios en la nube, entornos virtuales y responsables.
- Tener evidencia lista para la ANCI es importante: un inventario actualizado, con trazabilidad, responsables y vinculación con el análisis de riesgos, puede marcar la diferencia en una auditoría.
¿Qué es un activo según ISO 27001?
En seguridad de la información, un activo no es solo lo que figura en la contabilidad. Según la ISO 27001, es cualquier elemento que tenga valor para proteger la información: puede ser tangible o intangible, humano o digital. A diferencia del concepto contable, aquí no se trata solo de bienes físicos o financieros, sino de todo lo que, si se pierde o compromete, puede afectar la operación o seguridad de la organización.
Entre los activos más comunes encontramos:
- Dispositivos físicos: laptops, celulares, servidores, impresoras, discos duros externos… todo aquello que almacene o procese información.
- Información y datos: desde bases de datos y hojas de cálculo hasta archivos en papel; cualquier forma en la que se almacene contenido valioso o sensible.
- Infraestructura: redes, sistemas eléctricos, climatización, cableado estructurado… elementos que permiten que los sistemas funcionen y la información circule.
- Personas y servicios tercerizados: empleados, técnicos externos, proveedores de correo o nube. Todos los que tengan acceso o responsabilidades sobre la información también cuentan como activos.
Rol del inventario de activos en un SGSI según la Ley 21.663
Llevar un inventario de activos no es un ejercicio burocrático: es una base esencial del Sistema de Gestión de Seguridad de la Información (SGSI) que exige la Ley 21.663. La norma pide a las organizaciones identificar y controlar todo lo que impacta la seguridad de la información, y eso empieza sabiendo qué activos existen, quién los usa y cómo se protegen.
Además, el inventario es la puerta de entrada a una evaluación de riesgos sólida, ayuda a planificar la continuidad operativa y permite proteger componentes sensibles de la infraestructura. Si no se conoce qué es crítico, es imposible prepararse para un ataque o falla. Por eso, en el caso de los Organismos del Estado, Operadores de Servicios Esenciales (OSE) y de Importancia Vital (OIV), la ley implica varias exigencias claras:
- Trazabilidad completa de los activos tecnológicos, incluyendo ubicación, responsable y estado. (ISO/IEC 27001:2022 – Control A.5.9)
- Controles de acceso y monitoreo, especialmente en dispositivos móviles o remotos. (ISO/IEC 27001:2022 – Control A.5.15)
- Asignación de propietarios de activos, responsables de su gestión y protección. (ISO/IEC 27001:2022 – Control A.5.9)
- Actualización continua del inventario, no basta con hacerlo una vez y dejarlo olvidado. (ISO/IEC 27001:2022 – Control A.5.9, cláusula 8.1)
- Capacidad de respuesta ante incidentes, lo que implica saber exactamente qué activo está comprometido y cómo aislarlo o actuar. (ISO/IEC 27001:2022 – Control A.5.24 y A.5.25)
Cómo construir un inventario de activos conforme a ISO 27001
Tener el inventario de activos al día no es solo para “cumplir con la norma”. Te ahorra tiempo, evita dolores de cabeza y te permite reaccionar rápido si algo falla o se pierde. Saber qué tienes, dónde está, quién lo usa y cuánto vale te da control real. Y si además se mantiene actualizado y con responsables asignados, vas varios pasos adelante para cumplir con cualquier lista de activos.
Para armarlo correctamente, se recomienda:
Recolección y entrevista a responsables
El primer paso para tener un inventario útil es levantar bien la información. Esto significa sentarse a conversar con los responsables de cada área y revisar documentación clave como inventarios contables, registros de TI o contratos de servicios. El objetivo es construir una visión completa y actualizada de todos los activos relevantes —hardware, software, datos, infraestructura, personas, licencias, servicios— que luego facilitará la clasificación y el etiquetado.
Clasificación y etiquetado
No todos los activos tienen el mismo valor ni requieren el mismo nivel de protección. Por eso, clasificarlos según su tipo y sensibilidad es un paso clave en cualquier inventario bien hecho. Puedes usar como referencia el estándar ISO/IEC 27001:2022 – Anexo A 5.12, que sugiere niveles como pública, interna, confidencial o secreta, o si prefieres algo más técnico, el esquema del NIST: bajo, moderado y alto.
Para que esta clasificación y etiquetado sea realmente útil, cada activo debería incluir:
- Identificador único: algo que no se repita y permita rastrear el activo sin confusión, puede ser una etiqueta física o digital.
- Tipo de activo: por ejemplo, hardware, software, información, infraestructura o recurso humano.
- Nivel de criticidad: basado en el impacto que tendría su pérdida, mal uso o compromiso.
- Responsable asignado: una persona o rol que se encargue de su protección y uso correcto.
- Información clave: como ubicación, nivel de confidencialidad, valor estimado y estado dentro de su ciclo de vida (activo, fuera de servicio, dado de baja, etc.).
Asignación de responsabilidades
Tener claro quién es el responsable de cada activo es casi tan importante como saber que el activo existe. Cada equipo, sistema o base de datos debería tener un propietario designado, alguien que se haga cargo de su uso y protección.
Esto no solo ordena el acceso, también facilita el mantenimiento, el monitoreo y la respuesta ante incidentes. Cuando todos saben qué les toca cuidar, hay menos confusión y más responsabilidad.
Gestión del ciclo de vida del activo
Gestionar un activo no es solo incorporarlo al inventario y olvidarse. Cada activo tiene un ciclo de vida que comienza desde su adquisición y termina cuando se da de baja. Tener visibilidad sobre cada etapa permite asegurar su correcto uso, mantenimiento y eliminación. Además, ayuda a evitar brechas de seguridad y pérdidas de información en el camino.
- Documentar y controlar las etapas del ciclo de vida: desde que se adquiere un activo hasta su eliminación, es importante dejar registro de cada fase: adquisición, uso, mantenimiento, transferencia, baja o eliminación.
- Uso y mantenimiento: mantener actualizados parches de seguridad, configuraciones, accesos y permisos ayuda a reducir riesgos y asegurar el funcionamiento del activo.
- Transferencia o reutilización: si un activo cambia de área o usuario, debe quedar registrado quién lo recibe y bajo qué condiciones.
- Registro de eventos importantes asociados al activo: como incidentes de seguridad, cambios técnicos o movimientos físicos. Todo debe estar documentado para fines de auditoría.
- Aplicar políticas para la eliminación segura: cuando el activo ya no se usa, debe eliminarse correctamente. En el caso de dispositivos, esto incluye métodos como el borrado seguro de discos duros, para evitar fugas de información.
Evaluación de riesgos sobre los activos
Saber qué activos tienes está bien, pero entender qué tan expuestos están es aún mejor. Por eso, hacer una evaluación de riesgos es clave. Se trata de analizar qué tan importante es un activo para tu operación y qué tan vulnerable es frente a amenazas. Aquí, la clasificación que ya hiciste con base en estándares como ISO o NIST en la parte de clasificación y etiquetado te va a servir muchísimo.
Una forma práctica de hacerlo es utilizando una matriz de riesgo, que combina probabilidad e impacto para asignar un valor de riesgo. La fórmula es simple: Riesgo = Probabilidad × Impacto.
Algunos puntos clave para una evaluación efectiva:
- Identificar amenazas posibles: errores humanos, fallas técnicas, ataques intencionados, pérdida o robo.
- Analizar vulnerabilidades: sistemas desactualizados, accesos mal configurados, falta de respaldo o cifrado.
- Estimar el impacto: ¿qué pasa si este activo se pierde, se daña o es comprometido?
- Asignar niveles de riesgo: combinando probabilidad e impacto, puedes definir si un riesgo es bajo, medio o alto.
- Priorizar controles: enfócate en proteger primero los activos con mayor riesgo o impacto potencial.
Integración con otros procesos
El inventario de activos no puede vivir aislado. Para que realmente aporte valor, tiene que estar conectado con otros procesos clave del SGSI. Esto no solo mejora la eficiencia, también evita errores, fugas de información o accesos innecesarios. Integrarlo con los flujos diarios del negocio hace que el inventario sea útil, actualizado y accionable.
- Gestión de incidentes: ante un incidente, saber rápidamente qué activo está involucrado y su historial puede marcar la diferencia entre una respuesta efectiva y una crisis mal manejada.
- Gestión de cambios: cuando se actualiza o reemplaza un sistema, el inventario debe reflejarlo. Esto evita confusiones y mantiene la trazabilidad.
- Control de acceso: asignar accesos en función del tipo de activo, su sensibilidad y el rol del usuario ayuda a reducir riesgos innecesarios.
- Continuidad del negocio: identificar activos críticos permite priorizar su protección y recuperación en caso de desastre.
- Onboarding y offboarding: al ingresar o salir una persona de la organización, el inventario permite asignar y retirar activos de forma ordenada, sin que nada se pierda en el camino.
Buenas prácticas complementarias
Un inventario por sí solo no garantiza control ni seguridad. Lo que marca la diferencia es cómo lo usas, lo mantienes y lo integras al día a día de tu organización. Estas buenas prácticas complementarias ayudan a mantenerlo vivo, confiable y realmente útil cuando más se necesita. Aquí algunas que vale la pena aplicar:
- Integración con procesos como gestión de incidentes y accesos: el inventario debe estar conectado con estos flujos para asegurar respuestas rápidas y accesos controlados.
- Auditorías periódicas del inventario: revisar regularmente si los activos registrados realmente existen, están en uso y están bien documentados.
- Control de cambios en los activos: registrar cualquier modificación en la configuración, propiedad o ubicación de un activo es clave para mantener la trazabilidad.
- Automatización con herramientas de ITAM o MDM: sistemas como Prey ayudan a mantener el inventario actualizado en tiempo real y con menos errores manuales.
- Educación y concienciación del personal sobre el uso de activos: si los usuarios no entienden el valor de los activos que usan, difícilmente los van a proteger bien.
- Implementar políticas de uso aceptable de activos: establecer reglas claras sobre cómo se deben usar los equipos, sistemas y accesos ayuda a prevenir incidentes por mal uso o negligencia.
Errores comunes al gestionar activos y cómo evitarlos
Incluso con la mejor intención, es fácil meter la pata al armar y mantener un inventario de activos. A veces se nos pasan cosas que no se ven, otras veces simplemente nadie se hace cargo. Lo importante es detectar esos errores a tiempo y corregirlos, porque una omisión puede terminar en un problema mucho más grande del que parece.
Algunos errores comunes que vale la pena evitar:
- No registrar activos intangibles o servicios contratados: las licencias de software, accesos a plataformas en la nube o servicios externos también son activos. Para evitar dejar fuera estos elementos, es clave incluirlos desde el inicio en tu checklist y validar con los equipos de TI, legales o contrataciones.
- Falta de asignación de responsables: si nadie está a cargo de un activo, nadie lo protege. Este problema se evita fácilmente definiendo un responsable claro en el momento en que el activo se incorpora al inventario.
- Inventarios desactualizados: si un equipo se retiró o cambió de usuario y el inventario no lo refleja, la trazabilidad se pierde. Esto se resuelve estableciendo revisiones periódicas —idealmente mensuales o trimestrales— y asegurándose de que los movimientos queden documentados al momento.
- No vincular los activos con análisis de riesgos o planes de recuperación: un activo sin evaluación de riesgos es un punto ciego. La solución está en incorporar el nivel de criticidad y su relación con los planes de contingencia directamente en la ficha del activo.
- Dejar fuera activos importantes: es común olvidar máquinas virtuales, entornos de desarrollo o pruebas. Una revisión conjunta con el área técnica ayuda a detectar estos activos menos visibles, pero igual de relevantes.
- No saber dónde están los activos físicos inteligentes: cuando pierdes la ubicación de un laptop o móvil, también pierdes acceso a la información que contiene. Aquí, contar con herramientas de rastreo y control remoto es fundamental para mantener visibilidad en tiempo real.
- Duplicar o confundir registros: registrar dos veces el mismo equipo o identificarlo mal puede complicar auditorías o causar decisiones erradas. Usar identificadores únicos y centralizar el control del inventario ayuda a evitar este tipo de errores.
Cómo auditar y mantener el inventario actualizado
Tener el inventario bien hecho está bien, pero mantenerlo al día es lo que realmente marca la diferencia. Un inventario desactualizado no solo te deja expuesto, también puede jugarte en contra si llega una auditoría o pasa algo serio. Lo ideal es que este proceso se vuelva parte del ritmo de trabajo del SGSI, no una tarea olvidada en una carpeta.
Para que funcione, hay algunas prácticas que ayudan bastante:
- Frecuencia de revisión: el inventario debería actualizarse al menos una vez al trimestre, o cada vez que se incorpore, retire o reasigne un activo importante.
- Integración con otras funciones del SGSI: conecta el inventario con gestión de riesgos, control de accesos y respuesta ante incidentes. Todo está relacionado.
- Automatización y uso de herramientas de gestión: plataformas como Prey permiten ver el estado de tus dispositivos en tiempo real, recibir alertas y generar reportes automáticos que te ahorran trabajo (y errores).
Evidencias necesarias para fiscalizaciones o auditorías de la Agencia Nacional de Ciberseguridad (ANCI): si te toca pasar por una auditoría o fiscalización de la ANCI, estas son algunas de las evidencias que deberías tener a mano:
- Inventario de activos actualizado, con responsables asignados.
- Evaluaciones de riesgo vinculadas a los activos registrados.
- Registros de configuración, controles aplicados y cambios relevantes.
- Historial de incidentes reportados y las medidas tomadas.
- Auditorías internas o externas previas, con sus resultados.
- Simulacros o pruebas de continuidad operativa.
- Documentación de capacitaciones y actividades de concientización.
El inventario de activos como herramienta de ciberseguridad real
El inventario de activos no debería ser solo una hoja de cálculo que nadie revisa. Es una herramienta estratégica que permite tomar decisiones, anticiparse a incidentes y demostrar cumplimiento real. Soluciones como Prey ayudan a mantener ese control vivo, automatizado y alineado con ISO 27001 y la Ley 21.663.
Para OSE y OIV en Chile, la recomendación es clara: identificar bien sus activos, mantenerlos actualizados, asignar responsables y contar con evidencia lista para cualquier fiscalización. Eso no solo evita sanciones, también fortalece la seguridad de todo el ecosistema.