Saltar al contenido
CertENS
EN
Implantación

Gestión de activos [op.pl.1] sin morir en el intento

Cómo construir y mantener un inventario de activos útil, mantenible y aprobado en auditoría, sin convertirlo en un Excel monstruo.

6 min de lectura Diego Aranda · Implantador ENS · CertENS

El inventario de activos es la base sobre la que se apoya todo el resto del ENS: sin activos identificados no hay análisis de riesgos, no hay Declaración de Aplicabilidad razonable, no hay medidas aplicables con sentido. La medida op.pl.1 obliga a mantener un inventario actualizado, y sin embargo, es donde más organizaciones se atascan. El inventario típico es un Excel desactualizado que nadie mira. Este artículo propone cómo hacerlo bien y mantenerlo vivo.

Qué debe cubrir el inventario

El ENS pide inventario de todos los activos relevantes del sistema. En la práctica:

  • Activos físicos: servidores, estaciones, portátiles, dispositivos de red, impresoras, dispositivos IoT.
  • Activos lógicos: aplicaciones, bases de datos, colas de mensajes.
  • Activos de información: datos, documentos, copias de seguridad.
  • Servicios: internos y externos.
  • Infraestructura cloud: instancias, contenedores, funciones serverless, buckets.
  • Identidades: cuentas humanas y de servicio.
  • Proveedores: con su nivel de criticidad.

Lo que no se inventaría no se protege.

Nivel de detalle adecuado

El error más caro: inventariar cada activo individual (cada portátil, cada servidor virtual). En una organización grande acaba siendo inmanejable. La estrategia práctica:

  • Agrupar por clase funcional: “portátiles corporativos (350 unidades, modelo X, versión del SO Y)”.
  • Inventariar individualmente los activos críticos (servidores productivos, equipamiento de red crítico, bases de datos).
  • Referenciar a fuentes de verdad: si ya tienes un CMDB, MDM o cloud tagging, usarlo como fuente, no duplicar.

Un buen inventario tiene entre 50 y 300 entradas para una organización mediana. Más, es detalle innecesario.

Campos mínimos por activo

Por cada activo:

  • Identificador único (tag, ID interno).
  • Descripción breve.
  • Tipo (HW, SW, DAT, SERV, etc. — según MAGERIT).
  • Responsable funcional y responsable técnico.
  • Ubicación (CPD, cloud, oficina, remoto).
  • Clasificación (criticidad, confidencialidad).
  • Valoración en dimensiones ENS (C, I, T, A, D).
  • Dependencias (qué otros activos necesita para funcionar).
  • Estado (producción, preproducción, retirado).
  • Fecha última actualización.

Herramientas

No hace falta una plataforma específica. Alternativas que funcionan:

Opción 1 — Hoja de cálculo con disciplina

Google Sheets o Excel con cabecera fija, responsable de mantenimiento y revisión trimestral. Para menos de 150 activos es suficiente. Exige rigor.

Opción 2 — CMDB ligera

GLPI, iTop, Jira Service Management. Más estructuradas, con flujos de alta/baja y relaciones. Curva de adopción mayor pero más sostenible.

Opción 3 — Fuentes de verdad automatizadas

  • Cloud tagging (AWS Resource Groups, Azure Tags) como fuente primaria para activos cloud.
  • MDM (Jamf, Intune) como fuente primaria para endpoints.
  • Directorio (Entra ID, LDAP) como fuente primaria para identidades.
  • Vista consolidada en un dashboard (Power BI, Metabase, Grafana) que integra las fuentes.

Esta opción es la más mantenible a escala pero exige trabajo de integración inicial.

El secreto: procesos de alta y baja

Un inventario se mantiene vivo con dos procesos simples pero obligatorios:

Alta

Cualquier activo nuevo (servidor, aplicación, proveedor cloud, empleado con accesos) se registra antes de entrar en producción. No hay alta sin responsable asignado y sin valoración inicial.

Baja

Cualquier activo retirado se da de baja formalmente: cuentas revocadas, datos borrados, certificados revocados, contratos terminados. La baja queda registrada.

Sin estos dos procesos, el inventario se degrada mes a mes.

Revisión periódica

  • Trimestral: revisión rápida de activos críticos con los responsables. Actualizar cambios relevantes.
  • Anual: revisión completa. Eliminar obsoletos, añadir nuevos, reevaluar criticidades.
  • Tras incidente relevante: actualizar con lecciones aprendidas.
  • Pre-auditoría: revisión exhaustiva 6 semanas antes.

Conectar inventario con análisis de riesgos

El inventario es la entrada del AR en MAGERIT/PILAR. Si el inventario está limpio, el AR se hace en una fracción del tiempo. Si el inventario está sucio, el AR es irremediable.

Consejo: usa las mismas agrupaciones en inventario y AR. No inventaries “portátiles (350)” y en el AR analices “laptop Corp-A”, “laptop Corp-B” por separado.

Conectar con Declaración de Aplicabilidad

La DA referencia activos y sistemas concretos. Si el inventario cambia, la DA también. Mantén un enlace claro entre ambos documentos (por ID, por sistema).

Errores típicos

1. Inventario en la cabeza del sysadmin

Cuando se va, el inventario se va. Documentar siempre.

2. Hoja de cálculo sin responsable

Nadie la actualiza, todos la consultan, acaba desfasada.

3. Activos cloud olvidados

Instancias creadas para una prueba y nunca eliminadas. Dashboards con datos sensibles expuestos. Inventario automático vía cloud tagging es casi obligatorio.

4. Inventario solo de infraestructura

Olvidar aplicaciones y datos. La auditoría pregunta “qué aplicaciones hay” y la respuesta inconsistente con el inventario genera hallazgo.

5. Actualizar solo pre-auditoría

Detectable al instante por las fechas. Mejor un inventario razonable mantenido que uno perfecto actualizado a última hora.

6. No incluir proveedores

Los proveedores son activos. Sin ellos, el servicio no funciona. Deben estar.

Qué pedirá el auditor

  • Acceso al inventario.
  • Muestra aleatoria cruzada: “mostradme el activo X” y verificación en el terreno.
  • Evidencia de revisión reciente.
  • Procedimiento de alta y baja.
  • Coherencia con AR y DA.
  • Tratamiento de activos obsoletos.

Con un inventario vivo y coherente, este bloque de auditoría se resuelve en una hora.

Recomendación final

Un inventario no es un entregable, es un proceso. Empieza con lo que tengas, aunque sea imperfecto, y oxígenalo con procesos de alta, baja y revisión. En 6 meses tendrás un activo real. En 18 meses, un inventario que presenta en auditoría cualquier día de la semana. Aspirar a la perfección desde el primer día es lo que mata el proyecto.

Sigue leyendo

Implantación

Errores más comunes al redactar el Análisis de Riesgos

Los errores que aparecen una y otra vez en los análisis de riesgos ENS: alcance mal definido, valoraciones infladas, amenazas genéricas y controles desalineados con la DA.

7 min
Implantación

Cómo calcular el coste real de certificarse en ENS

Desglose honesto del coste de certificación ENS: consultoría, auditoría, inversión técnica, horas internas y coste recurrente de mantenimiento.

6 min
Implantación

Logs y trazabilidad: qué exige el ENS y cómo implementarlo

Requisitos de trazabilidad del ENS: qué eventos registrar, con qué retención, cómo proteger la integridad de los logs y cómo usarlos en auditoría.

6 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu