El registro de activos de ISO 27001: lo que realmente quieren los auditores
El control 5.9 del Anexo A de ISO 27001:2022 exige mantener un inventario de información y activos asociados. Esta es la interpretación práctica: qué campos necesitas, el esquema de clasificación que resiste el escrutinio y el paquete de evidencias que solicitará el organismo de certificación.
Si estás trabajando en la certificación o recertificación de ISO 27001, el registro de activos es uno de los artefactos fundamentales. Casi todos los demás controles — control de acceso (5.15), clasificación (5.12), copia de seguridad (8.13), eliminación segura (7.14), gestión de proveedores (5.20) — lo referencian. Hazlo bien y el resto es papeleo; hazlo mal y verás observaciones a lo largo de toda la auditoría.
Lo que dice realmente ISO 27001:2022
Control 5.9 (Inventario de información y otros activos asociados):
Se debe desarrollar y mantener un inventario de la información y otros activos asociados, incluidos los propietarios.
La guía de implementación de ISO 27002:2022 amplía esto. El registro debe:
- Cubrir activos de información, software, hardware, servicios y personal que posea o procese información.
- Revisarse y actualizarse con regularidad.
- Identificar un propietario nombrado por activo.
- Reflejar los cambios a lo largo del ciclo de vida del activo (adquisición, modificación, eliminación).
- Ser referenciado por otros controles — evaluación de riesgos, clasificación, gestión de accesos.
Los campos mínimos por activo
| Campo | Por qué importa |
|---|---|
| ID de activo | Identificador estable referenciado desde el tratamiento de riesgos y otros controles |
| Nombre / descripción del activo | Legible por humanos, sin ambigüedad |
| Tipo de activo | Información, software, hardware, servicio, personal |
| Propietario | Persona con nombre, no una bandeja compartida ni "TI" |
| Custodio | Quién lo opera en el día a día (puede diferir del propietario) |
| Clasificación | Público / Interno / Confidencial / Restringido (o tu esquema) |
| Ubicación | Física o lógica (región, centro de datos, proveedor) |
| Etapa del ciclo de vida | Adquisición / En uso / Descomisionando / Retirado |
| Riesgos vinculados | Referencia a entradas en el registro de riesgos |
| Última revisión | Fecha y revisor |
El esquema de clasificación
No tienes que usar el nuestro, pero elige algo explícito. Un esquema de cuatro niveles defendible:
| Clase | Definición | Ejemplos |
|---|---|---|
| Público | Disponible externamente sin daño | Materiales de marketing, contenido del sitio web público |
| Interno | Solo para empleados y contratistas | Documentos internos, planes de proyecto, organigrama |
| Confidencial | Sensible; restringido a quienes necesitan conocerlo | Datos de clientes, registros financieros, datos de empleados |
| Restringido | Mayor sensibilidad; pocas partes autorizadas | Código fuente con secretos, documentos de M&A, privilegio legal |
Cada nivel de clasificación debe mapearse a reglas de manejo: cómo puede transmitirse, almacenarse, compartirse, retenerse y destruirse. El documento del esquema de clasificación es en sí mismo evidencia de auditoría.
Categorías de activos que debes capturar
Activos de información
Bases de datos de clientes, registros de empleados, datos financieros, propiedad intelectual, código fuente, documentación. Vinculados a dónde viven (bucket S3, base de datos Postgres, instancia de Salesforce).
Activos de software
Suscripciones SaaS, software con licencia, aplicaciones desarrolladas internamente, bibliotecas, sistemas operativos. Cada uno con versión, licencia, propietario.
Activos de hardware
Portátiles, servidores, dispositivos móviles, equipos de red. Con referencia cruzada al registro de activos de TI que ya existe para fines financieros / de ciclo de vida — mismos datos, audiencia diferente.
Activos de servicio
Servicios en la nube, encargados de tratamiento de terceros, procesadores de pago, proveedores de correo electrónico. Muchos se solaparán con los activos de software, pero el enfoque es diferente (disponibilidad del servicio, riesgo del proveedor).
Activos de personal
Roles con acceso privilegiado, custodios de datos sensibles, depositarios de conocimiento clave. No lista a todos los empleados — solo a aquellos cuyo rol es en sí mismo un punto de control.
El paquete de evidencias que solicitan los auditores
- El registro de activos en sí, con los campos anteriores completados y fechas de última revisión dentro de la política.
- El documento de política de clasificación.
- Muestra de entradas del registro de riesgos que referencian IDs de activos del registro.
- Evidencia de revisión periódica — correos electrónicos, actas de reuniones, control de versiones que muestre que el registro ha sido actualizado.
- Evidencia de alta / cambio / baja que vincule los cambios de personal a las actualizaciones del registro de activos.
- Evidencia de eliminación — para cualquier activo retirado en el período, el certificado de eliminación y la actualización correspondiente del registro.
- Confirmación de propiedad del activo — correos electrónicos o registros del sistema que muestren que cada propietario aceptó la responsabilidad.
De dónde vienen las observaciones
Las observaciones de ISO 27001 más comunes contra el control 5.9 son: (a) el registro existe pero no se revisa; (b) la propiedad es genérica ("departamento de TI" en lugar de una persona con nombre); (c) el registro existe pero no es referenciado por el registro de riesgos u otros controles. Corrige estos tres y cerrarás la mayoría de las observaciones.
Consejos prácticos
- Un solo registro, múltiples vistas. No mantengas un "registro ISO" separado del "registro de TI". Usa el mismo modelo de datos con vistas filtradas por audiencia.
- Cadencia de revisión: mínimo trimestral. Algunas empresas lo hacen mensualmente; con menos frecuencia está bien si los cambios son poco frecuentes. Documenta la política y cúmplela.
- Automatiza los disparadores de alta / baja. Las actualizaciones manuales se deterioran. El registro que sobrevive es el que se actualiza como efecto secundario de las operaciones normales — cambios en el IdP, eventos de compras, envíos de hardware.
- Mantén actualizada la propiedad. Cada reorganización rompe la propiedad. Construye una verificación de 90 días que marque a cualquier propietario cuyo rol haya cambiado.
- No sobrediseñes el esquema de clasificación. Cuatro niveles son suficientes. Las empresas con esquemas de ocho niveles constatan que nadie los recuerda y los activos se clasifican de manera inconsistente.
Cómo ayuda InventorIA
El modelo de datos de InventorIA se mapea directamente a los requisitos del registro de activos de ISO 27001. Los propietarios están vinculados a registros de identidad (de modo que son personas reales, no buzones de correo). Los campos de clasificación son configurables. Las etapas del ciclo de vida se rastrean. Cada cambio se registra en un log de auditoría. La exportación para el organismo de certificación es una descarga con un clic que incluye todos los vínculos con el riesgo y la propiedad que pedirá el auditor.
Un registro de activos listo para ISO 27001, desde el primer día
El modelo de datos de InventorIA se mapea directamente al control 5.9. Gratuito para 10 usuarios.
Empezar gratis →