Seguridad Integral

Identificación de activos, el primer paso para implementar seguridad informática

Antonio Ruiz
Ingeniero en computación por la UNAM con especialidad en redes y seguridad. Cuenta con diplomado de Ciberseguridad y Ciberdefensa impartido por la Universidad del Valle de México. De igual manera tiene training en la certificación Certified Ethical Hacker V10 de EC Council. Así mismo, es ingeniero certificado en las soluciones de ManageEngine. Posee más de 5 años de experiencia en proyectos de TI de alto impacto. Sus conocimientos en el área van desde la configuración, administración y despliegue en producción hasta el monitoreo tanto de servidores como aplicaciones.


Posted in Análisis de vulnerabilidades, IT Assessment on Aug 28, 2020

La mayoría de las organizaciones tienen un archivo en Excel que contiene el inventario de la organización. ¿Es realmente este archivo suficiente para que podamos calcular el riesgo de cada uno de ellos? Este post te ayudará a responder dicha pregunta.

La identificación de activos es muy importante, puesto que con esta actividad sabremos identificar todos los recursos con los que cuenta nuestra organización. Esto nos servirá para empezar a identificar los posibles riesgos que conlleva cada uno de los elementos en nuestra organización.

La metodología MAGERIT recomienda la siguiente clasificación para los tipos de activos:

  • Servicios
  • Datos / información
  • Aplicaciones
  • Equipos informáticos
  • Personal
  • Redes de comunicación
  • Soportes de información
  • Equipamiento auxiliar
  • Instalaciones


Una vez que establecimos a qué tipo de activo pertenece cada uno de los elementos, continuaremos con establecer datos particulares de cada uno de los activos. Los datos mínimos que debería tener cada activo son:

  • Descripción
  • Localización
  • Propietario


A continuación, haremos la relación de dependencias entre activos. Esto nos ayudará para identificar de forma oportuna qué otros activos se podrían ver afectados en caso de cualquier fallo en alguno de ellos.

Como resultado de esta actividad, obtendremos un árbol de dependencias que nos indicará los puntos críticos de intersección. Al identificarlos tendremos una mejor idea de cómo responder ante incidentes.

Lo anterior va de la mano con la valoración de los activos en función de la relevancia. Al ponderar un valor al activo, podremos priorizar correctamente el nivel de atención que debe tener cada incidente que pueda surgir en el activo.

Estos valores pueden ser cualitativos o cuantitativos. Un valor cuantitativo puede estar ponderado por la pérdida económica al materializarse un incidente. El valor cualitativo podemos establecerlo con una escala del 0 al 10 o bien, identificadores como “bajo”, “medio” o “alto”.

La valoración de los activos es un paso que no debería realizarse en solitario y al tanteo. Es conveniente involucrar a los administradores y usuarios de cada uno de los activos. Después de todo, ellos interactúan constantemente con el activo en cuestión. Podemos involucrarlos mediante entrevistas y/o encuestas. Entre más personas se encuentren involucradas, tendremos un mejor panorama para la ponderación del valor del activo.

La identificación de activos es una actividad que debe considerarse pilar fundamental para cualquier empresa que quiera empezar a crear un ecosistema de seguridad informática.

Como conclusión podemos decir que no importa el medio en el que almacenes la información de tu inventario. Lo realmente importante es el contenido de éste. Identificar y clasificar correctamente cada uno de los activos en nuestra organización nos aportará datos duros que nos ayuden a tomar mejores decisiones para mejorar la seguridad del negocio.

Recuerda que en Ingeniería DRIC podemos ayudarte a crear e implementar políticas de seguridad informática adecuadas para tu organización. Permítenos ayudarte a tener un mejor nivel de seguridad informática en tu organización.

Lee también: Identificando vulnerabilidades en la organización


Déjanos un comentario: