Los activos incluyen hardware, software, datos, identidades y personal técnico; deben inventariarse y clasificarse por criticidad.
Qué es un activo
Un activo es cualquier recurso de tecnología de la información (hardware, software, datos, personal) que tiene valor para la organización y requiere protección contra amenazas. Los activos incluyen servidores, bases de datos, credenciales, aplicaciones, dispositivos finales e información sensible. La gestión efectiva de activos es la base de cualquier programa de ciberseguridad, ya que no se puede proteger lo que no se conoce ni se ha clasificado.
Por qué importa
La identificación y clasificación de activos es fundamental para evaluar riesgos, asignar presupuestos de seguridad y establecer controles proporcionales. Sin un inventario preciso de activos, las organizaciones no pueden determinar su superficie de ataque, implementar segmentación efectiva, o cumplir con regulaciones como ISO 27001 y NIS2. Un activo no gestionado o desconocido es un vector de ataque potencial, especialmente en entornos cloud híbridos donde los activos proliferan sin control. La gestión de activos también es crítica para la continuidad de negocio y la planificación de backup inmutable.
Puntos clave
Cada activo requiere evaluación de riesgos, asignación de responsables y controles de acceso según su exposición.
Los activos cloud y edge a menudo quedan fuera de inventarios tradicionales, creando puntos ciegos en la postura de seguridad.
La gestión de activos es requisito legal en ISO 27001, NIS2, DORA y ENS; auditorías regulares son obligatorias.
Ejemplo: Inventario de activos en una empresa mediana
Una empresa de servicios financieros arranca su programa de gestión de activos e identifica los elementos críticos que hasta entonces vivían en hojas de cálculo dispersas: servidores de aplicaciones, bases de datos de clientes, portátiles de perfiles ejecutivos, identidades corporativas en la suite de productividad cloud, APIs internas y un parque importante de servicios SaaS contratados por diferentes unidades de negocio. Cada activo se clasifica en función de su impacto sobre confidencialidad, integridad y disponibilidad, y se le asigna una persona responsable que rinde cuentas de los controles que le aplican.
En el primer pentest tras el inventario aparece un servidor web desconocido que un departamento había levantado para una prueba y nunca dio de baja, ejecutando una aplicación no autorizada y expuesta a internet: un activo no gestionado que era además un riesgo regulatorio claro. A partir de ese hallazgo la organización incorpora revisiones periódicas de inventario, obliga MFA en todas las identidades, segmenta la red para limitar el alcance de una cuenta comprometida y despliega EDR en el conjunto del parque, cerrando la brecha entre lo que "oficialmente" existía y lo que realmente estaba conectado.
Errores habituales
- Confundir activos con solo hardware; los datos y credenciales son activos igualmente críticos que requieren protección específica.
- No actualizar inventario de activos cuando hay cambios organizacionales, migraciones cloud o fusiones; causa puntos ciegos de seguridad.
- Asumir que solo activos 'visibles' en la red interna existen; omitir APIs, contenedores, máquinas virtuales de desarrollo y recursos cloud aumenta riesgos.
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué métodos existen para descubrir activos desconocidos?
Escaneo de red, análisis de flujo de red con NetFlow, consultas a CMDB, análisis de logs de firewall, pentest de descubrimiento, auditoría de cuentas activas en directorios corporativos (LDAP, Active Directory, directorios de identidad en nube), análisis de APIs expuestas, búsqueda de dominios shadow IT y análisis de tráfico SSL/TLS.
¿Cómo se clasifica un activo por criticidad?
Matriz de impacto-probabilidad: evalúa pérdida de confidencialidad, integridad y disponibilidad. Considera dependencias con otros activos, requisitos regulatorios, coste de reemplazo o recuperación, y impacto en operaciones críticas. ISO 27001 requiere clasificación de información (público, interno, restringido, secreto).
¿Los activos en cloud tienen requisitos especiales?
Sí. Cloud requiere CSPM (Cloud Security Posture Management) para descubrimiento continuo, validación de configuración y detección de 'cloud orphaned' resources. NIS2 y DORA exigen visibilidad total de activos críticos en entornos híbridos. Herramientas de CASB y CSPM son esenciales.