El inventario de activos es lo primero que pide cualquier auditor del ENS o de la ISO 27001. Es una parte importante que merece atención y cuidado, ya que el resto de la certificación utilizará esta información como base. Con frecuencia se elabora en las últimas semanas antes de la auditoría, cuando habría sido más eficaz construirlo desde el inicio del proyecto.
Esta guía explica cómo se hace bien desde el principio. Qué entra, qué no, cómo se valora cada activo, qué espera ver el auditor, y qué aspectos conviene revisar para llegar preparado. Al final hay un ejemplo de inventario real que puedes abrir, filtrar y usar como plantilla.
Por qué el inventario es el primer entregable
El inventario es el documento central del Sistema de Gestión de Seguridad. Para saber cómo nos protegemos, necesitamos saber qué riesgos nos aplican, qué controles necesitamos y qué nivel de inversión está justificado. Todo eso parte de conocer qué activos tenemos.
Por eso aparece tan arriba en las dos normas:
- ENS (RD 311/2022): el inventario es entrada obligatoria para la categorización del sistema. Sin inventario completo no se puede declarar si el sistema es de categoría BÁSICA, MEDIA o ALTA, y por tanto no se puede determinar qué medidas del Anexo II aplican.
- ISO 27001:2022: el control A.5.9: Inventario de información y otros activos asociados es de los primeros del Anexo A. Es un control obligatorio que se evalúa siempre, aunque otras partes del Anexo A se puedan justificar como no aplicables.
Cuando un auditor empieza la auditoría, la primera pregunta suele ser literalmente: "enséñame el inventario de activos y dime cuándo fue la última revisión". Un inventario bien cuidado desde el inicio facilita que el resto de la auditoría transcurra con confianza.
Qué se considera un activo
Activo es cualquier elemento que tenga valor para la organización y que, si se pierde o se ve comprometido, afecte al servicio o a la información. La taxonomía estándar en España (la usa MAGERIT, la metodología oficial del CCN) divide los activos en nueve tipos:
| Tipo | Categoría | Ejemplos típicos |
|---|---|---|
| [D] | Información / Datos | Bases de datos de clientes, expedientes, historiales clínicos, backups, documentación interna. |
| [S] | Servicios | Sede electrónica, ERP, CRM, portal de empleado, servicios web públicos. |
| [SW] | Software / Aplicaciones | SAP, Salesforce, aplicaciones a medida, sistemas operativos, antivirus. |
| [HW] | Equipamiento informático | Servidores, portátiles corporativos, móviles, instancias EC2, NAS. |
| [COM] | Redes y comunicaciones | Líneas dedicadas, VPN, WiFi corporativa, firewalls, balanceadores. |
| [Media] | Soportes de información | Discos USB, cintas de backup, documentación en papel, archivos físicos. |
| [AUX] | Equipamiento auxiliar | SAI, climatización del CPD, grupos electrógenos, cableado. |
| [L] | Instalaciones | Oficinas, sala de servidores, datacenters, oficinas remotas. |
| [P] | Personal | Administradores de sistemas, responsable de seguridad, DPO, soporte 24x7. |
La pregunta práctica que ayuda a saber si algo es activo: si esto desaparece o se compromete, hay alguien en la organización al que le importa de verdad? Si la respuesta es sí, va al inventario.
ENS e ISO 27001: en qué se diferencia el inventario
Las dos normas piden inventario, pero con matices distintos:
ENS (RD 311/2022)
- Taxonomía obligatoria: MAGERIT (los 9 tipos anteriores).
- Cada activo se valora en cinco dimensiones: Confidencialidad, Integridad, Trazabilidad, Autenticidad, Disponibilidad.
- Tres niveles posibles: Bajo, Medio, Alto, más "no aplica".
- El nivel más alto entre todos los activos determina la categoría del sistema.
- Roles formalmente definidos: Responsable de la Información, del Servicio, de la Seguridad y del Sistema.
ISO 27001:2022 (control A.5.9)
- No impone taxonomía. Pide inventario coherente que cubra información, software, hardware, servicios y personas.
- Valoración típica en tres dimensiones: Confidencialidad, Integridad, Disponibilidad (CIA).
- La escala (alta/media/baja, o 1-5) la decide la organización siempre que esté justificada.
- Cada activo debe tener un propietario (asset owner) identificado y responsable.
Si tu empresa va a por las dos certificaciones (cosa habitual cuando trabajas con sector público y privado a la vez), te recomendamos construir un solo inventario con la taxonomía MAGERIT y las cinco dimensiones del ENS. Para ISO 27001 te quedas con C, I y D del mismo registro. Así reduces el mantenimiento y mantienes la coherencia entre documentos.
Campos mínimos que debe tener cada activo
Lo que un auditor espera encontrar para cada fila del inventario:
| Campo | Para qué sirve |
|---|---|
| Código único | Identificador estable (ej. INF-001, SW-014). Permite trazabilidad cuando el nombre cambie. |
| Nombre descriptivo | Cómo se le llama internamente. Tiene que entenderse sin mirar documentación adicional. |
| Descripción | Una o dos frases sobre qué hace y por qué importa. |
| Tipo MAGERIT | D / S / SW / HW / COM / Media / AUX / L / P. |
| Propietario | Persona responsable del activo. Tiene que ser una persona real, no un departamento. |
| Custodio | Quién lo opera o mantiene en el día a día (puede coincidir con el propietario o no). |
| Ubicación | Física (sede, datacenter) o lógica (proveedor cloud, región, sistema). Importante para LOPDGDD si hay datos personales. |
| Valoración | Niveles en las dimensiones de seguridad (CITAD para ENS, CIA para ISO). |
| Datos personales (sí/no) | Marca explícita. Si contiene PII, debe enlazar con el RAT (Registro de Actividades de Tratamiento) del RGPD. |
| Dependencias | Otros activos de los que depende. Ej. una aplicación depende de un servidor, una base de datos y una red. |
| Estado | Activo / En revisión / Baja. Las bajas no se borran, se marcan, para mantener la trazabilidad histórica. |
| Última revisión / Próxima revisión | Fechas. Si la última es de hace dos años, ya tienes un hallazgo en la auditoría. |
Dos campos que merecen especial atención son dependencias y fecha de próxima revisión. Las dependencias permiten que el análisis de riesgos tenga una base sólida. Las fechas de revisión garantizan que el inventario se mantenga actualizado y vigente.
Valoración: dimensiones y niveles
Para valorar un activo de forma adecuada podemos contestar a una pregunta concreta para cada dimensión:
- Confidencialidad: qué pasa si esta información llega a quien no debería.
- Integridad: qué pasa si esta información o este sistema se altera sin autorización.
- Disponibilidad: qué pasa si dejamos de tener acceso, y durante cuánto tiempo lo soportamos.
- Trazabilidad (ENS): necesitamos saber quién hizo qué y cuándo.
- Autenticidad (ENS): necesitamos garantizar que quien actúa es quien dice ser.
Los niveles del ENS están definidos por el daño que causaría un incidente:
BAJO: perjuicio limitado a personas u organización. Se asume sin grandes consecuencias.
MEDIO: perjuicio grave; afecta a funciones esenciales del servicio o a un número significativo de personas.
ALTO: perjuicio muy grave; daños irreparables, paralización de servicios críticos, sanciones graves.
Una regla práctica que funciona: si dudas entre dos niveles, sube uno y documenta por qué. Es preferible sobrevalorar un activo y aplicar más controles, ya que así nos aseguramos de que la protección es adecuada para cada caso.
Roles, propietarios y responsabilidades
Cada activo tiene que tener un propietario. Un aspecto que merece atención es cómo se asignan los propietarios: a veces se indica "Departamento de IT" o "Comité de Dirección" en la columna de propietario. La norma requiere que sea una persona individual.
El propietario tiene que ser una persona física, con nombre y apellidos, que asuma:
- Decidir el nivel de protección que necesita el activo.
- Aprobar quién accede y con qué privilegios.
- Validar las revisiones periódicas.
- Comunicar cambios significativos al equipo de seguridad.
En el ENS, además, hay cuatro roles formales que deben estar nombrados por escrito y aprobados por la dirección:
- Responsable de la Información: define los requisitos de seguridad de los datos.
- Responsable del Servicio: define los requisitos del servicio prestado.
- Responsable de la Seguridad: coordina la implantación y supervisión de medidas.
- Responsable del Sistema: gestiona la operación técnica del sistema.
En ISO 27001 los nombres son menos rígidos, pero la idea es la misma: para cada activo, alguien con nombre propio responde si pasa algo.
Ejemplo real de inventario (interactivo)
Hemos publicado un ejemplo completo de inventario de activos del ENS, listo para abrir y explorar. Es un sistema ficticio (AyuntaCloud Solutions S.L., un SaaS para ayuntamientos categoría MEDIA), pero los activos, las dimensiones y los datos están construidos con la misma estructura que usamos en proyectos reales.
Inventario de activos ENS de ejemplo (interactivo)
Sistema ficticio de categoría MEDIA con 26 activos, los 9 tipos MAGERIT, dimensiones CITAD, dependencias entre activos y trazabilidad. Filtrable por tipo, propietario y criticidad. Exportable a CSV. Ábrelo, explóralo y úsalo como plantilla.
Abrir inventario de ejemploCosas que merece la pena mirar mientras lo exploras:
- Cómo se codifican los activos (INF-, SVC-, SW-, HW-, COM-).
- Cómo se ven las dependencias entre activos cuando abres un servicio.
- Las dimensiones CITAD valoradas con A/M/B en cada activo.
- El campo de retención y su vinculación con datos personales.
- El bloque de roles del comité de seguridad al final.
Si tu organización tiene una estructura parecida, puedes usar este formato como plantilla. Si necesitas algo a medida, en el plan de implantación lo construimos contigo.
Cómo prepararlo para la auditoría
Lo que un auditor va a hacer cuando se siente delante de tu inventario:
- Comprobar que está aprobado por la dirección y con fecha reciente. La firma y la fecha de revisión válida son requisitos necesarios para cumplir con la norma.
- Pedir trazabilidad de tres o cuatro activos al azar. Suele elegir uno crítico (categoría ALTA o con datos personales) y pedirte que enseñes el RAT, los logs de acceso, los backups y los procedimientos asociados. Es importante que todo encaje con lo que dice el inventario para que la auditoría progrese con normalidad.
- Revisar las dependencias. Si una aplicación dice que depende de un servidor que ya no aparece en el inventario, o que está dado de baja, conviene actualizarlo antes de la auditoría.
- Cruzar el inventario con el análisis de riesgos. Cada riesgo del análisis tiene que asociarse a uno o más activos del inventario. Si hay riesgos sin activos o activos críticos sin riesgos asociados, el SGSI pierde coherencia.
- Validar los propietarios. A veces preguntan directamente: "quién es el propietario de este activo?" y luego hablan con esa persona. Es útil que cada propietario conozca su rol y lo que implica.
Llegar bien preparado a esta parte es cuestión de mantenimiento continuo. Una revisión trimestral de 30 minutos, en la que los propietarios revisan sus activos y confirman que siguen vigentes, ayuda a que la auditoría transcurra sin incidencias.
Aspectos que conviene revisar antes de la auditoría
Cinco puntos que encontramos con frecuencia y que merece la pena revisar:
- Propietarios definidos a nivel de departamento. Columnas con "IT" o "Sistemas" en lugar de personas con nombre.
- Activos en la nube sin región especificada. Si tienes datos personales en AWS y no documentas la región, tanto GDPR como ENS requieren esta información.
- Activos de tipo Personal [P] sin incluir. Conviene recordar que los administradores con privilegios elevados también se inventarían como activos.
- Dependencias sin documentar. Cuando las aplicaciones no tienen servidores ni redes asociados, el análisis de impacto pierde solidez.
- Inventario sin proceso de baja. Cuando un sistema se desmonta, conviene dejar registro y validar que los datos asociados se han tratado correctamente.
Regla rápida: un inventario que se ha actualizado en los últimos 3 meses es un inventario vivo. Y un inventario vivo transmite confianza desde los primeros minutos de la auditoría.
Preguntas frecuentes
Es obligatorio tener inventario de activos para el ENS y la ISO 27001?
Sí. En el ENS lo exige el RD 311/2022 como entrada de la categorización del sistema. En ISO 27001:2022 es el control A.5.9, obligatorio. Un inventario actualizado y aprobado es requisito para superar ambas auditorías.
Cada cuánto hay que revisar el inventario?
Revisión completa al menos anual, e incremental cada 6 meses para activos críticos. Cualquier alta, baja o cambio importante (migración, nuevo proveedor, cambio de propietario) se refleja en cuanto ocurre.
Sirve un Excel?
Sí, técnicamente vale. El aspecto a considerar es el mantenimiento: con el tiempo cuesta mantenerlo actualizado, no hay control de versiones y las dependencias no se visualizan fácilmente. Para 30-50 activos es viable. A partir de 80-100 conviene una herramienta dedicada o un GRC.
Qué diferencia hay entre el inventario ENS y el de ISO 27001?
ENS usa MAGERIT (9 tipos) y cinco dimensiones (CITAD). ISO 27001 no impone taxonomía y suele valorar en tres dimensiones (CIA). Un inventario MAGERIT bien hecho cubre los dos marcos sin duplicar trabajo.
El inventario tiene que incluir personas como activos?
En MAGERIT (y por tanto ENS) sí: el tipo [P] Personal es uno de los nueve tipos. No es inventariar empleados como nóminas, es identificar roles críticos cuya pérdida o sustitución impactaría al sistema.
Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.