L'inventari d'actius és el primer document que demana qualsevol auditor de l'ENS o de la ISO 27001, i és el que més empreses tenen mal fet. No per mala voluntat: es construeix a l'últim moment, l'últim mes abans de l'auditoria, i això es nota.
Aquesta guia explica com es fa bé des del principi. Què hi entra, què no, com es valora cada actiu, què espera veure l'auditor i on són els errors que més cops tomben una auditoria. Al final hi ha un exemple d'inventari real que pots obrir, filtrar i utilitzar com a plantilla.
Per què l'inventari és el primer entregable
L'inventari no és un Excel administratiu. És el document que sosté tota la resta del Sistema de Gestió de Seguretat. Si no saps què tens, no pots saber què protegeixes, ni quins riscos t'apliquen, ni quins controls necessites, ni quin nivell d'inversió està justificat.
Per això apareix tan amunt a les dues normes:
- ENS (RD 311/2022): l'inventari és entrada obligatòria per a la categorització del sistema. Sense inventari complet no es pot declarar si el sistema és de categoria BÀSICA, MITJANA o ALTA, i per tant no es poden determinar quines mesures de l'Annex II apliquen.
- ISO 27001:2022: el control A.5.9: Inventari d'informació i altres actius associats és dels primers de l'Annex A. És un control obligatori que sempre s'avalua, encara que altres parts de l'Annex A es puguin justificar com a no aplicables.
Quan l'auditor comença, la primera pregunta sol ser literalment: "ensenya'm l'inventari d'actius i digues-me quan va ser l'última revisió". El que ve després depèn de com responguis.
Què es considera un actiu
Actiu és qualsevol element que tingui valor per a l'organització i que, si es perd o es compromet, afecti el servei o la informació. La taxonomia estàndard a Espanya (la fa servir MAGERIT, la metodologia oficial del CCN) divideix els actius en nou tipus:
| Tipus | Categoria | Exemples típics |
|---|---|---|
| [D] | Informació / Dades | Bases de dades de clients, expedients, històries clíniques, còpies de seguretat, documentació interna. |
| [S] | Serveis | Seu electrònica, ERP, CRM, portal de l'empleat, serveis web públics. |
| [SW] | Programari / Aplicacions | SAP, Salesforce, aplicacions a mida, sistemes operatius, antivirus. |
| [HW] | Maquinari | Servidors, portàtils corporatius, mòbils, instàncies EC2, NAS. |
| [COM] | Xarxes i comunicacions | Línies dedicades, VPN, WiFi corporativa, tallafocs, balancejadors. |
| [Media] | Suports d'informació | Discos USB, cintes de còpia, documentació en paper, arxius físics. |
| [AUX] | Equipament auxiliar | SAI, climatització del CPD, grups electrògens, cablejat. |
| [L] | Instal·lacions | Oficines, sala de servidors, datacenters, oficines remotes. |
| [P] | Personal | Administradors de sistemes, responsable de seguretat, DPO, suport 24x7. |
La pregunta pràctica que ajuda a saber si una cosa és actiu: si això desapareix o es compromet, hi ha algú a l'organització a qui li importi de debò? Si la resposta és sí, va a l'inventari.
ENS i ISO 27001: en què es diferencia l'inventari
Les dues normes demanen inventari, però amb matisos diferents:
ENS (RD 311/2022)
- Taxonomia obligatòria: MAGERIT (els 9 tipus anteriors).
- Cada actiu es valora en cinc dimensions: Confidencialitat, Integritat, Traçabilitat, Autenticitat, Disponibilitat.
- Tres nivells possibles: Baix, Mitjà, Alt, més "no aplica".
- El nivell més alt entre tots els actius determina la categoria del sistema.
- Rols formalment definits: Responsable de la Informació, del Servei, de la Seguretat i del Sistema.
ISO 27001:2022 (control A.5.9)
- No imposa taxonomia. Demana inventari coherent que cobreixi informació, programari, maquinari, serveis i persones.
- Valoració típica en tres dimensions: Confidencialitat, Integritat, Disponibilitat (CIA).
- L'escala (alta/mitjana/baixa, o 1-5) la decideix l'organització sempre que estigui justificada.
- Cada actiu ha de tenir un propietari (asset owner) identificat i responsable.
Si la teva empresa va a per les dues certificacions (cosa habitual quan treballes amb sector públic i privat alhora), no facis dos inventaris. Construeix-ne un de sol amb la taxonomia MAGERIT i les cinc dimensions de l'ENS, i per a la ISO 27001 et quedes amb C, I i D del mateix registre. Estalvia manteniment i elimina inconsistències entre documents.
Camps mínims que ha de tenir cada actiu
El que un auditor espera trobar a cada fila de l'inventari:
| Camp | Per a què serveix |
|---|---|
| Codi únic | Identificador estable (ex. INF-001, SW-014). Permet traçabilitat quan el nom canviï. |
| Nom descriptiu | Com s'anomena internament. S'ha d'entendre sense mirar documentació addicional. |
| Descripció | Una o dues frases sobre què fa i per què importa. |
| Tipus MAGERIT | D / S / SW / HW / COM / Media / AUX / L / P. |
| Propietari | Persona responsable de l'actiu. Ha de ser una persona real, no un departament. |
| Custodi | Qui l'opera o manté en el dia a dia (pot coincidir amb el propietari o no). |
| Ubicació | Física (seu, datacenter) o lògica (proveïdor cloud, regió, sistema). Important per al RGPD si hi ha dades personals. |
| Valoració | Nivells en les dimensions de seguretat (CITAD per a ENS, CIA per a ISO). |
| Dades personals (sí/no) | Marca explícita. Si conté PII, ha d'enllaçar amb el RAT (Registre d'Activitats de Tractament) del RGPD. |
| Dependències | Altres actius dels quals depèn. Ex. una aplicació depèn d'un servidor, una base de dades i una xarxa. |
| Estat | Actiu / En revisió / Baixa. Les baixes no es borren, es marquen, per mantenir la traçabilitat històrica. |
| Última revisió / Pròxima revisió | Dates. Si l'última és de fa dos anys, ja tens una no conformitat a l'auditoria. |
Els dos camps que més s'obliden i més penalitzen en auditoria són dependències i data de pròxima revisió. Sense dependències, l'anàlisi de riscos no se sosté. Sense dates de revisió, l'inventari és un document mort.
Valoració: dimensions i nivells
Valorar un actiu no és posar-li estrelles. És contestar a una pregunta concreta per a cada dimensió:
- Confidencialitat: què passa si aquesta informació arriba a qui no hauria.
- Integritat: què passa si aquesta informació o aquest sistema s'altera sense autorització.
- Disponibilitat: què passa si deixem de tenir-hi accés, i durant quant de temps ho suportem.
- Traçabilitat (ENS): necessitem saber qui ha fet què i quan.
- Autenticitat (ENS): necessitem garantir que qui actua és qui diu ser.
Els nivells de l'ENS estan definits pel dany que causaria un incident:
BAIX: perjudici limitat a persones o organització. S'assumeix sense grans conseqüències.
MITJÀ: perjudici greu; afecta funcions essencials del servei o un nombre significatiu de persones.
ALT: perjudici molt greu; danys irreparables, paralització de serveis crítics, sancions greus.
Una regla pràctica que funciona: si dubtes entre dos nivells, puja un i documenta per què. És molt millor sobrevalorar un actiu i aplicar més controls que infravalorar-lo i que l'auditor te'l reobri.
Rols, propietaris i responsabilitats
Cada actiu ha de tenir un propietari. Aquest és el punt on més empreses fallen: posen "Departament de TI" o "Comitè de Direcció" a la columna de propietari. No val.
El propietari ha de ser una persona física, amb nom i cognoms, que assumeixi:
- Decidir el nivell de protecció que necessita l'actiu.
- Aprovar qui hi accedeix i amb quins privilegis.
- Validar les revisions periòdiques.
- Comunicar canvis significatius a l'equip de seguretat.
A l'ENS, a més, hi ha quatre rols formals que han d'estar nomenats per escrit i aprovats per la direcció:
- Responsable de la Informació: defineix els requisits de seguretat de les dades.
- Responsable del Servei: defineix els requisits del servei prestat.
- Responsable de la Seguretat: coordina la implantació i supervisió de mesures.
- Responsable del Sistema: gestiona l'operació tècnica del sistema.
A la ISO 27001 els noms són menys rígids, però la idea és la mateixa: per a cada actiu, algú amb nom propi respon si passa res.
Exemple real d'inventari (interactiu)
Hem publicat un exemple complet d'inventari d'actius de l'ENS, llest per obrir i explorar. És un sistema fictici (AyuntaCloud Solutions S.L., un SaaS per a ajuntaments categoria MITJANA), però els actius, les dimensions i les dades estan construïts amb la mateixa estructura que fem servir en projectes reals.
Inventari d'actius ENS d'exemple (interactiu)
Sistema fictici de categoria MITJANA amb 26 actius, els 9 tipus MAGERIT, dimensions CITAD, dependències entre actius i traçabilitat. Filtrable per tipus, propietari i criticitat. Exportable a CSV. Obre'l, explora'l i fes-lo servir com a plantilla.
Obrir inventari d'exempleCoses que val la pena mirar mentre l'explores:
- Com es codifiquen els actius (INF-, SVC-, SW-, HW-, COM-).
- Com es veuen les dependències entre actius quan obres un servei.
- Les dimensions CITAD valorades amb A/M/B a cada actiu.
- El camp de retenció i la seva vinculació amb dades personals.
- El bloc de rols del comitè de seguretat al final.
Si la teva organització té una estructura semblant, pots fer servir aquest format com a plantilla. Si necessites alguna cosa a mida, en el pla d'implantació la construïm amb tu.
Com preparar-lo per a l'auditoria
El que un auditor farà quan s'assegui davant del teu inventari:
- Comprovar que està aprovat per la direcció i amb data recent. Sense signatura o sense data de revisió vàlida, ja hi ha no conformitat.
- Demanar traçabilitat de tres o quatre actius a l'atzar. Sol triar-ne un de crític (categoria ALTA o amb dades personals) i demanar-te que ensenyis el RAT, els logs d'accés, els backups i els procediments associats. Si no encaixen amb el que diu l'inventari, hi ha no conformitat.
- Revisar les dependències. Si una aplicació diu que depèn d'un servidor que ja no apareix a l'inventari, o que està donat de baixa, és una fallada de manteniment.
- Encreuar l'inventari amb l'anàlisi de riscos. Cada risc de l'anàlisi s'ha d'associar a un o més actius de l'inventari. Si hi ha riscos sense actius o actius crítics sense riscos associats, el SGSI està descosit.
- Validar els propietaris. A vegades pregunten directament: "qui és el propietari d'aquest actiu?" i després parlen amb aquesta persona. Si la persona no sap que ho és, mal assumpte.
Arribar bé a aquesta part és qüestió de manteniment, no d'improvisar la setmana abans. Una revisió trimestral de 30 minuts, en què els propietaris miren els seus actius i confirmen que segueixen vigents, evita el 90% de les no conformitats en auditoria.
Errors que tomben l'auditoria
Les cinc fallades que veiem més vegades:
- Inventari sense propietaris reals. Columnes amb "TI" o "Sistemes" en lloc de persones amb nom.
- Actius al núvol sense regió especificada. Si tens dades personals a AWS i no documentes la regió, RGPD i ENS es queixaran alhora.
- No incloure actius de tipus Personal [P]. Oblidar que els administradors amb privilegis elevats són actius que s'inventarien.
- No reflectir les dependències. Les aplicacions floten en l'aire sense servidors ni xarxes associades. Impossible fer anàlisi d'impacte seriós.
- Inventari sense procés de baixa. Quan un sistema es desmunta, simplement desapareix de l'Excel. No queda rastre i no es valida si les dades associades es van esborrar correctament.
Regla ràpida: si el teu inventari no s'ha actualitzat els últims 3 mesos, no està viu. I si no està viu, en auditoria es nota als 10 minuts.
Preguntes freqüents
És obligatori tenir inventari d'actius per a l'ENS i la ISO 27001?
Sí. A l'ENS l'exigeix el RD 311/2022 com a entrada de la categorització del sistema. A la ISO 27001:2022 és el control A.5.9, obligatori. Sense inventari actualitzat i aprovat no es passa cap de les dues auditories.
Cada quan s'ha de revisar l'inventari?
Revisió completa almenys anual, i incremental cada 6 mesos per a actius crítics. Qualsevol alta, baixa o canvi important (migració, nou proveïdor, canvi de propietari) es reflecteix quan passa.
Serveix un Excel?
Sí, tècnicament val. El problema no és l'auditoria, és el manteniment: ningú l'actualitza, no hi ha control de versions, les dependències no es veuen. Per a 30-50 actius és viable. A partir de 80-100 convé una eina dedicada o un GRC.
Quina diferència hi ha entre l'inventari ENS i el de ISO 27001?
L'ENS fa servir MAGERIT (9 tipus) i cinc dimensions (CITAD). La ISO 27001 no imposa taxonomia i sol valorar en tres dimensions (CIA). Un inventari MAGERIT ben fet cobreix els dos marcs sense duplicar feina.
L'inventari ha d'incloure persones com a actius?
A MAGERIT (i per tant ENS) sí: el tipus [P] Personal és un dels nou tipus. No és inventariar empleats com a nòmines, és identificar rols crítics la pèrdua o substitució dels quals impactaria el sistema.
El teu equip necessita formacio en IA segura
L'EU AI Act exigeix alfabetitzacio IA per a tota la plantilla des d'agost 2026. Els nostres cursos cobreixen compliance, agents IA i governanca. FUNDAE pot subvencionar el 100% del cost.