El inventario de activos para ISO 27001 es el primer ladrillo de cualquier Sistema de Gestión de Seguridad de la Información (SGSI). Si no sabes qué tienes, dónde está y quién responde de ello, no puedes protegerlo ni demostrar ante un auditor que lo estás haciendo bien. En esta guía práctica te explicamos por qué el inventario de activos es la base del SGSI, qué activos hay que registrar, cómo mantenerlo vivo sin volverte loco con hojas de cálculo y de qué forma puedes automatizarlo para llegar a la auditoría con las evidencias listas.
Por qué el inventario de activos es la base del SGSI
La norma ISO/IEC 27001 parte de una idea sencilla: solo puedes gestionar el riesgo sobre aquello que conoces. El análisis de riesgos, que es el corazón del SGSI, necesita una lista fiable de activos sobre la que trabajar. Sin inventario no hay valoración de riesgos creíble, y sin valoración de riesgos no hay controles bien elegidos. Por eso el inventario no es un trámite administrativo, es el cimiento sobre el que se apoya todo lo demás.
La cláusula 8 de la norma (operación) exige planificar, implementar y controlar los procesos necesarios para cumplir los requisitos de seguridad, y eso incluye mantener actualizada la información sobre la que se sostiene el tratamiento del riesgo. El Anexo A refuerza esta idea con controles concretos. El control 5.9 pide un inventario de información y otros activos asociados, con sus propietarios identificados. El 5.10 regula el uso aceptable de esos activos. El 5.11 cubre su devolución cuando alguien deja la organización. Todos parten de lo mismo: tener el inventario claro.
Si quieres entender el contexto completo de la norma antes de entrar en detalle, te puede ayudar nuestra guía sobre qué es la ISO 27001 y cómo certificarse, donde explicamos el recorrido entero hacia la certificación.
Identificación y clasificación: el corazón del inventario
Inventariar no es solo hacer una lista. Un inventario útil para el SGSI cumple tres funciones: identifica el activo, lo clasifica según su valor para el negocio y le asigna un propietario responsable. Veamos cada pieza.
Identificación
Cada activo necesita un registro único: qué es, dónde está, qué versión o configuración tiene y a qué proceso de negocio da soporte. Un portátil sin identificar es un agujero; ese mismo portátil con su número de serie, su sistema operativo, su software instalado y su usuario asignado es un activo gestionable.
Clasificación
No todos los activos valen lo mismo. La clasificación (por ejemplo público, interno, confidencial, restringido) determina qué nivel de protección merece cada uno. Clasificar bien evita dos errores caros: proteger de más lo trivial y proteger de menos lo crítico. La clasificación debe basarse en la confidencialidad, la integridad y la disponibilidad que necesita la información que maneja el activo.
Propietario del activo
Cada activo tiene que tener un propietario, una persona o rol que responde de su seguridad, autoriza accesos y decide sobre su ciclo de vida. Sin propietario, las decisiones se quedan en tierra de nadie y los controles no se aplican. El propietario no siempre es quien usa el activo a diario, sino quien rinde cuentas sobre él.
Qué activos hay que inventariar
Uno de los errores más comunes es pensar que el inventario es solo la lista de ordenadores. La información, los servicios y las personas también son activos. Esta es una clasificación práctica de lo que deberías registrar:
| Tipo de activo | Ejemplos | Por qué importa |
|---|---|---|
| Hardware | Portátiles, servidores, móviles, equipos de red, dispositivos de almacenamiento | Son la puerta de entrada física a tus datos y el punto donde se materializan muchos incidentes |
| Software | Sistemas operativos, aplicaciones, licencias, servicios SaaS | El software sin parchear o sin licencia es una de las mayores fuentes de vulnerabilidades |
| Información | Bases de datos, documentos, copias de seguridad, código fuente | Es el activo que la norma quiere proteger en última instancia |
| Servicios | Conectividad, alojamiento, correo, servicios cloud de terceros | Su caída o compromiso afecta a la disponibilidad y a la cadena de suministro |
| Personas y conocimiento | Roles clave, competencias críticas, accesos privilegiados | El conocimiento concentrado en una sola persona es un riesgo operativo real |
Para los activos de hardware y software conviene capturar como mínimo el modelo, el sistema operativo, la versión, el responsable y el estado de actualización. Ese nivel de detalle es justo el que después te pide el auditor cuando revisa si controlas tu superficie de exposición.
Cómo mantener el inventario vivo (y no muerto en un Excel)
Aquí está el problema de fondo. La mayoría de organizaciones arranca su SGSI con una hoja de cálculo bien intencionada que recoge todos los activos en un momento dado. El día de la foto, el inventario es perfecto. Tres meses después ya está desfasado: se compraron equipos nuevos, se dieron de baja otros, se instaló software que nadie anotó y rotó parte de la plantilla. El Excel sigue ahí, pero ya no refleja la realidad.
Un inventario desactualizado es peor que no tener inventario, porque genera una falsa sensación de control. El análisis de riesgos se hace sobre datos viejos, los controles se aplican a activos que ya no existen y faltan otros que nadie está vigilando. Cuando llega la auditoría, el desfase salta a la vista en cuanto el auditor cruza el inventario con lo que de verdad hay conectado a la red.
Mantener el inventario vivo exige un proceso, no un documento. Necesitas saber, de forma continua, qué se incorpora, qué cambia y qué se retira. Eso puede hacerse a mano con disciplina férrea (revisiones periódicas, registro de altas y bajas, responsable asignado) o puede hacerse de forma automática, que es lo que recomendamos cuando el parque crece y la hoja de cálculo deja de dar abasto.
Errores típicos que cuestan caro
- El Excel desactualizado. El clásico. Funciona el primer mes y se pudre el resto del año.
- Inventariar solo hardware. Olvidar el software, los servicios cloud y la información deja medio SGSI cojo.
- Activos sin propietario. Si nadie responde de un activo, nadie lo protege ni lo actualiza.
- No clasificar. Tratar todo igual hace que lo crítico reciba la misma atención que lo irrelevante.
- Inventario sin evidencias. Tener la lista no basta; el auditor quiere ver que el dato es real y trazable en el tiempo.
Estos fallos no son anecdóticos. Son la causa más frecuente de no conformidades en las auditorías de certificación y de recertificación. La buena noticia es que casi todos se resuelven con el mismo enfoque: automatizar la captura del dato para que el inventario se mantenga solo.
Cómo automatizar el inventario de activos con Inventowry
Aquí es donde una plataforma de gestión del parque tecnológico cambia las reglas. Inventowry, el producto de Laworatory, levanta de forma automática el inventario de hardware y software de cada dispositivo de tu organización, sea Windows, macOS o Linux. En lugar de perseguir a la gente para que rellene un Excel, un agente recoge la información directamente del equipo y la mantiene sincronizada.
Para un SGSI esto significa que el inventario deja de ser una foto fija y pasa a ser un sistema vivo. Cada alta, cada cambio de versión, cada baja queda reflejada. Y como la plataforma incluye un módulo de cumplimiento que evalúa automáticamente los controles contra ISO 27001, NIS2 y el ENS, el inventario no solo existe: alimenta directamente la evaluación de los controles del Anexo A relacionados con la gestión de activos.
Lo que más agradece quien gestiona la certificación es la parte de evidencias. Inventowry genera reportes auditables (inventario de activos, software, actualizaciones del sistema operativo, hallazgos y cumplimiento) y produce la documentación que el auditor espera, incluida la Declaración de Aplicabilidad y los registros de evidencias en PDF. El día de la auditoría no improvisas: presentas un inventario actualizado con su trazabilidad detrás.
Si después del inventario quieres dar el siguiente paso lógico del SGSI, te interesa nuestra guía sobre la Declaración de Aplicabilidad ISO 27001 (SoA), el documento que conecta tu análisis de riesgos con los controles que decides aplicar. Y si quieres ver el encaje del inventario dentro de un SGSI completo gestionado como servicio, puedes leer cómo abordamos la gestión y mantenimiento de un SGSI basado en ISO 27001.
Pasos para arrancar tu inventario hoy
- Define el alcance: qué dispositivos, sedes y servicios entran en el SGSI.
- Despliega la captura automática de hardware y software en cada equipo.
- Clasifica los activos por su valor para el negocio (confidencialidad, integridad, disponibilidad).
- Asigna un propietario a cada activo o grupo de activos.
- Conecta el inventario con tu análisis de riesgos y con los controles del Anexo A.
- Programa la revisión continua y guarda las evidencias para la auditoría.
Lleva tu inventario al día y llega a la auditoría sin sustos
El inventario de activos no es el paso aburrido previo al SGSI, es lo que hace que todo lo demás funcione. Si lo mantienes vivo y con evidencias, el análisis de riesgos es fiable, los controles tienen sentido y la auditoría deja de dar miedo. Si lo dejas en un Excel olvidado, el resto del sistema se construye sobre arena.
Puedes probar cómo Inventowry automatiza tu inventario y tus evidencias de cumplimiento con una prueba gratuita de 14 días, sin tarjeta. En menos de una tarde tendrás una visión real de tu parque tecnológico y un inventario que se mantiene solo.
Preguntas frecuentes
¿Qué activos exige inventariar la ISO 27001?
La norma pide inventariar la información y los activos asociados a ella: hardware, software, servicios, soportes y la propia información. El control 5.9 del Anexo A lo concreta y exige además identificar al propietario de cada activo.
¿Vale un Excel para el inventario de activos del SGSI?
Puede servir para empezar en organizaciones muy pequeñas, pero se desactualiza enseguida y un inventario desfasado genera no conformidades. Cuando el parque crece, lo recomendable es automatizar la captura para que el dato esté siempre al día.
¿Quién debe ser el propietario de un activo?
El propietario es la persona o rol que responde de la seguridad del activo, autoriza accesos y decide sobre su ciclo de vida. No tiene por qué ser quien lo usa a diario, sino quien rinde cuentas sobre él.
¿Cómo ayuda Inventowry con el inventario para ISO 27001?
Inventowry levanta de forma automática el inventario de hardware y software de cada dispositivo, lo mantiene actualizado y genera reportes auditables y la documentación de cumplimiento (incluida la Declaración de Aplicabilidad) para presentar al auditor.
