¿Tienes dudas? ¡Escríbenos!
Antonio Ruiz
Antonio Ruiz

Especialista en la suite de soluciones de seguridad. Es ingeniero en computación titulado por la Universidad Nacional Autónoma de México con especialidad en redes y seguridad. Cuenta con diplomado de Ciberseguridad y Ciberdefensa impartido por la Universidad del Valle de México. De igual manera tiene training en la certificación Certified Ethical Hacker V10 de EC Council. Así mismo, es ingeniero certificado en las soluciones de ManageEngine.

La mayoría de las organizaciones tienen un archivo en Excel que contiene el inventario de la organización. ¿Es realmente este archivo suficiente para que podamos calcular el riesgo de cada uno de ellos? Este post te ayudará a responder dicha pregunta.

La identificación de activos es muy importante, puesto que con esta actividad sabremos identificar todos los recursos con los que cuenta nuestra organización. Esto nos servirá para empezar a identificar los posibles riesgos que conlleva cada uno de los elementos en nuestra organización.

Metodología MAGERIT para los tipos de activos

La metodología MAGERIT recomienda la siguiente clasificación para los tipos de activos:

  • Servicios
  • Datos / información
  • Aplicaciones
  • Equipos informáticos
  • Personal
  • Redes de comunicación
  • Soportes de información
  • Equipamiento auxiliar
  • Instalaciones


Una vez que establecimos a qué tipo de activo pertenece cada uno de los elementos, continuaremos con establecer datos particulares de cada uno de los activos. Los datos mínimos que debería tener cada activo son:

  • Descripción
  • Localización
  • Propietario


A continuación, haremos la relación de dependencias entre activos. Esto nos ayudará para identificar de forma oportuna qué otros activos se podrían ver afectados en caso de cualquier fallo en alguno de ellos.

Como resultado de esta actividad, obtendremos un árbol de dependencias que nos indicará los puntos críticos de intersección. Al identificarlos tendremos una mejor idea de cómo responder ante incidentes.

Lo anterior va de la mano con la valoración de los activos en función de la relevancia. Al ponderar un valor al activo, podremos priorizar correctamente el nivel de atención que debe tener cada incidente que pueda surgir en el activo.

Valores cualitativos y cuantitativos en una pérdida económica

Estos valores pueden ser cualitativos o cuantitativos. Un valor cuantitativo puede estar ponderado por la pérdida económica al materializarse un incidente. El valor cualitativo podemos establecerlo con una escala del 0 al 10 o bien, identificadores como “bajo”, “medio” o “alto”.

La valoración de los activos es un paso que no debería realizarse en solitario y al tanteo. Es conveniente involucrar a los administradores y usuarios de cada uno de los activos. Después de todo, ellos interactúan constantemente con el activo en cuestión. Podemos involucrarlos mediante entrevistas y/o encuestas. Entre más personas se encuentren involucradas, tendremos un mejor panorama para la ponderación del valor del activo.

La identificación de activos es una actividad que debe considerarse pilar fundamental para cualquier empresa que quiera empezar a crear un ecosistema de seguridad informática.

Como conclusión podemos decir que no importa el medio en el que almacenes la información de tu inventario. Lo realmente importante es el contenido de éste. Identificar y clasificar correctamente cada uno de los activos en nuestra organización nos aportará datos duros que nos ayuden a tomar mejores decisiones para mejorar la seguridad del negocio.

Recuerda que en Ingeniería DRIC podemos ayudarte a crear e implementar políticas de seguridad informática adecuadas para tu organización. Permítenos ayudarte a tener un mejor nivel de seguridad informática en tu organización.

Lee también: Identificando vulnerabilidades en la organización

Visitas: 324

ARTICULOS RELACIONADOS

Estrategias de ciberseguridad en tiempos de guerra

Agencias internacionales de tecnología en todo el mundo piden a empresas que refuercen sus defensas cibernéticas por una alerta de intrusiones tras el conflicto en Europa.

Autor: Antonio Ruiz
Paulina Ramírez
Seguir leyendo keyboard_arrow_right
Mar 2022 Visitas: 44

Cómo poner en marcha un Plan Director de Seguridad

Conjunto de proyectos que garantizan la seguridad de la información de la empresa.

Autor: Antonio Ruiz
Luis Cedillo
Seguir leyendo keyboard_arrow_right
Dec 2021 Visitas: 70

¿Necesitas ayuda para realizar la auditoría de ISO 27001?

Te ayudamos a mitigar vulnerabilidades de seguridad en tu empresa.

Autor: Antonio Ruiz
Fátima Rodríguez
Seguir leyendo keyboard_arrow_right
Dec 2021 Visitas: 70

Cómo identificar un ciberataque en tu empresa

Hacer frente a un ciberataque implica tomar acciones antes de sufrirlo.

Autor: Antonio Ruiz
Evelyn Karen T
Seguir leyendo keyboard_arrow_right
Dec 2021 Visitas: 42