En el artículo anterior repasamos los 9 básicos de ciberseguridad de la ANCI, esa lista corta de medidas que detienen la mayoría de los ataques. El primero de la lista es “Actualizar periódicamente”. Pero hay una pregunta que viene antes de poder actualizar nada:
¿Actualizar qué, exactamente?
No puedes parchear, respaldar, proteger ni vigilar algo que no sabes que tienes. Por eso, antes del básico 1 hay un básico silencioso que la ANCI no numeró pero que sostiene a todos los demás: tener un inventario de tus activos. Lo llamamos el básico 0.
No es burocracia. Es la diferencia entre defender lo que conoces y rezar para que nadie encuentre eso que olvidaste que tenías: la cuenta vieja en la nube, el equipo del rincón que nadie actualiza, la cámara conectada con la contraseña de fábrica.
Por qué el inventario es el punto de partida
La seguridad empieza por saber qué proteges. Es tan básico que es fácil saltárselo, y por eso es el error más común: se compran herramientas y se aplican controles sobre una foto incompleta de lo que existe.
Los marcos internacionales lo dicen sin rodeos. En CIS Controls, inventariar es el primer control. En NIST y en ISO 27001 ocupa el mismo lugar de partida. Tres marcos distintos, un solo mensaje: primero sabes qué tienes, después lo proteges.
La buena noticia es que el inventario no requiere presupuesto. Requiere constancia y una hoja de cálculo.
Qué inventariar: las 4 clases de activo
Para no dejar nada fuera, ordena todo en cuatro clases. Si un activo no entra en ninguna, probablemente lo estás describiendo mal, no es que falte una clase.
- Hardware y dispositivos. Computadores y portátiles (incluidos los móviles), servidores (en tu oficina o en la nube), dispositivos de red (router, switch, punto de acceso) y todo lo “inteligente” conectado: impresoras, cámaras, sensores, domótica.
- Software. Sistemas operativos, aplicaciones y servicios que tienes montados (propios y de terceros), máquinas virtuales y contenedores, y el firmware de tus equipos de red.
- Servicios en la nube (SaaS). Todos los servicios externos de los que dependes, gratuitos y de pago: correo, almacenamiento, hosting, banca, herramientas de gestión. Esta es la clase que más se olvida, porque no la ves como “un equipo”.
- Datos. Tus bases de datos, los archivos importantes y, muy en especial, los respaldos: dónde están y cuáles son críticos.
Qué anotar de cada activo
No necesitas cien columnas. Con estos datos por activo ya puedes gestionar tu seguridad:
- Propietario: quién responde por él. Sin un responsable, un activo no se mantiene solo.
- Criticidad: alta, media o baja. Te dice dónde poner el esfuerzo primero.
- Ubicación: físico, virtual, en la nube o SaaS.
- Cómo se actualiza: automático o manual, y cada cuánto. Aquí se conecta directo con el básico 1: cuando cada activo declara cómo se actualiza, los puntos ciegos desaparecen.
- Estado: activo, en baja o retirado.
Cómo armarlo, paso a paso
- Lista todo. Sin filtrar todavía. Equipos, software, cuentas en la nube y datos. Apóyate en lo que ya sabes y en los paneles de tus proveedores.
- Clasifica cada activo en una de las cuatro clases.
- Completa los datos: propietario, criticidad y el resto. Asignar propietario y criticidad es lo que convierte una lista en una herramienta para priorizar.
- Revisa el panorama. Cuenta cuántos activos críticos no se actualizan solos: ese es tu primer foco de trabajo.
- Mantenlo vivo. Actualiza el inventario cada vez que sumes o des de baja un activo. Un inventario de hace un año engaña más de lo que ayuda.
Lo que casi siempre se queda afuera
Cuando hagas el ejercicio, presta atención a estos puntos ciegos clásicos:
- Los endpoints, la red y el IoT, no solo los servidores. La cámara y el router también son activos.
- Los servicios en la nube y las cuentas gratuitas que usas a diario.
- Lo personal que toca el negocio: si un equipo o una cuenta personal procesa datos del negocio, es un activo, aunque sea tuyo.
- Los respaldos: dónde viven de verdad y si alguna vez probaste restaurarlos.
Empieza hoy: plantilla gratis
Para que no partas de una hoja en blanco, preparamos una plantilla lista para usar, con las cuatro clases, los menús desplegables y un panel que cuenta solo tus activos por clase, criticidad y forma de actualización. Trae una hoja de ejemplo para que veas cómo se llena.
Descarga la plantilla de inventario de activos (formato Excel, se abre también en Google Sheets).
Sigue las cuatro clases de los marcos de referencia reconocidos (CIS Controls, NIST CSF e ISO 27001) y es la base sobre la que se apoyan los 9 básicos de la ANCI. No necesitas un sistema caro: necesitas empezar.
El primer paso, y los que siguen
El inventario no es un fin en sí mismo. Es la base que hace posible todo lo demás: con él sabes qué actualizar, a quién dar acceso, qué datos respaldar y qué deberías estar monitoreando. Sin él, cada uno de esos básicos se hace a ciegas.
Empieza simple: una planilla, tus activos, sus datos clave. Eso ya te pone por delante de la mayoría.
¿Quieres ver cómo está hoy la postura de seguridad de tu sitio web? FreeScan te entrega un diagnóstico en minutos, sin registro y sin costo. Es un buen complemento de tu inventario: te muestra qué tan expuesto está uno de tus activos más visibles.