ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 2 min de lectura · Intermedio

Sin inventario de activos no hay ciberseguridad

La mayoría de los incidentes graves impactan activos no identificados. El inventario de activos no es un tema técnico: es un control de gobierno y la base de toda la ciberseguridad.

gestión de activosgobernanzaciberseguridadcontinuidad operacionalinfraestructura crítica

La pregunta que muchos evitan

Antes de hablar de ciberseguridad, hay una pregunta básica:

¿Sabes exactamente qué activos tienes?

Sin inventario, no sabes nada

Sin un inventario de activos completo y gobernado:

  • No sabes qué proteger: ¿cómo priorizas controles sobre lo que no conoces?
  • No sabes qué priorizar: sin criticidad asignada, todo tiene la misma importancia (es decir, ninguna)
  • No sabes qué monitorear: los puntos ciegos son exactamente los activos que no están en el inventario
  • No sabes qué respaldar: el día del incidente descubres que el servidor crítico no tenía backup
  • No sabes qué afecta la continuidad del negocio: el BIA sin inventario es ficción

La evidencia en cada incidente

En la práctica, la mayoría de los incidentes graves — ransomware, filtraciones, interrupciones operacionales — impactan activos que:

  • No estaban identificados: servidores olvidados, servicios cloud contratados por áreas de negocio
  • No estaban clasificados: sin nivel de criticidad, sin categorización
  • No estaban asignados a un dueño: nadie es responsable, nadie responde

No es un tema técnico. Es un control de gobierno

El inventario de activos es la base para:

ProcesoDependencia del inventario
Gestión de riesgosSin activos identificados, los riesgos son genéricos
Cumplimiento regulatorioReguladores exigen conocer qué proteges
Continuidad operacionalEl BCP depende de conocer los activos críticos
Seguridad TI y OTLos controles se aplican sobre activos conocidos
Respuesta a incidentesContener requiere saber qué existe y dónde

Qué debe incluir un inventario real

Para cada activo

  • Identificación: nombre, tipo, ubicación (física y lógica)
  • Clasificación: criticidad para el negocio (alta, media, baja)
  • Dueño: quién es responsable del activo (no TI — el negocio)
  • Dependencias: de qué depende y qué depende de él
  • Estado: activo, en mantenimiento, obsoleto, por decomisionar

Para activos OT/ICS

  • Marca, modelo, firmware
  • Protocolo de comunicación (Modbus, DNP3, OPC-UA)
  • Red a la que está conectado
  • Último mantenimiento
  • Ventana de parcheo posible

La madurez comienza con saber qué tienes

Sin inventario, no hay ciberseguridad. Solo hay supuestos.

La madurez real comienza cuando la organización sabe:

  • Qué tiene
  • Dónde está
  • Quién lo opera
  • Qué pasa si falla

Todo lo demás se construye sobre esa base.

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

Artículos relacionados

·2 min de lectura
Acciones inmediatas para la Alta Dirección ante la Ley Marco de Ciberseguridad
ley 21.663ANCIcompliance
·3 min de lectura
El sistema operativo de tu empresa será AI-FIRST: Agentic OS
inteligencia artificialagentesGenAI
·2 min de lectura
Gestión del riesgo en seguridad de la información: buenas prácticas clave
gestión de riesgosISO 27001NIST

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo