Los activos incluyen hardware, software, datos, identidades y personal técnico; deben inventariarse y clasificarse por criticidad.
Qué es un activo
Un activo es cualquier recurso de tecnología de la información (hardware, software, datos, personal) que tiene valor para la organización y requiere protección contra amenazas. Los activos incluyen servidores, bases de datos, credenciales, aplicaciones, dispositivos finales e información sensible. La gestión efectiva de activos es la base de cualquier programa de ciberseguridad, ya que no se puede proteger lo que no se conoce ni se ha clasificado.
Por qué importa
La identificación y clasificación de activos es fundamental para evaluar riesgos, asignar presupuestos de seguridad y establecer controles proporcionales. Sin un inventario preciso de activos, las organizaciones no pueden determinar su superficie de ataque, implementar segmentación efectiva, o cumplir con regulaciones como ISO 27001 y NIS2. Un activo no gestionado o desconocido es un vector de ataque potencial, especialmente en entornos cloud híbridos donde los activos proliferan sin control. La gestión de activos también es crítica para la continuidad de negocio y la planificación de backup inmutable.
Puntos clave
Cada activo requiere evaluación de riesgos, asignación de responsables y controles de acceso según su exposición.
Los activos cloud y edge a menudo quedan fuera de inventarios tradicionales, creando puntos ciegos en la postura de seguridad.
La gestión de activos es requisito legal en ISO 27001, NIS2, DORA y ENS; auditorías regulares son obligatorias.
Ejemplo: Inventario de activos en una empresa mediana
Una empresa de servicios financieros identifica sus activos críticos: servidores de aplicaciones, base de datos de clientes, laptop de ejecutivos, identidades activas en Microsoft 365 y APIs internas. Clasifica cada uno según impacto (confidencialidad, integridad, disponibilidad) y asigna responsables. Un servidor web desconocido descubierto durante pentesting revela que un departamento ejecutaba aplicaciones no autorizada: era un activo no gestionado y un riesgo regulatorio. Con inventario completo, aplican MFA, segmentación y EDR a todos los activos identificados.
Errores habituales
- Confundir activos con solo hardware; los datos y credenciales son activos igualmente críticos que requieren protección específica.
- No actualizar inventario de activos cuando hay cambios organizacionales, migraciones cloud o fusiones; causa puntos ciegos de seguridad.
- Asumir que solo activos 'visibles' en la red interna existen; omitir APIs, contenedores, máquinas virtuales de desarrollo y recursos cloud aumenta riesgos.
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué métodos existen para descubrir activos desconocidos?
Escaneo de red NMAP/Nessus, análisis de flujo de red con NetFlow, consultas a CMDB, análisis de logs de firewall, pentest de descubrimiento, auditoría de cuentas activas en directorios (AD, Entra ID), análisis de APIs expuestas, búsqueda de dominios shadow IT y análisis de tráfico SSL/TLS.
¿Cómo se clasifica un activo por criticidad?
Matriz de impacto-probabilidad: evalúa pérdida de confidencialidad, integridad y disponibilidad. Considera dependencias con otros activos, requisitos regulatorios, coste de reemplazo o recuperación, y impacto en operaciones críticas. ISO 27001 requiere clasificación de información (público, interno, restringido, secreto).
¿Los activos en cloud tienen requisitos especiales?
Sí. Cloud requiere CSPM (Cloud Security Posture Management) para descubrimiento continuo, validación de configuración y detección de 'cloud orphaned' resources. NIS2 y DORA exigen visibilidad total de activos críticos en entornos híbridos. Herramientas de CASB y CSPM son esenciales.