Contáctanos Prueba Gratis
Optimize ITSM and ESM processes.
Service Management
Optimiza tus procesos de ITSM y ESM.
Vista general
Gain total network visibility & IT Asset control.
Asset Management
Visibilidad total de las redes y control de los activos de IT.
Vista general
Tour de producto Ver Integraciones
Tour de producto Ver Integraciones
Casos de uso
Gestión de Servicios Inventario de Activos Gestión del Ciclo de Vida IT Optimización del Gasto en IT Gobernanza de IT Auditorías y Compliance ESM
Industrias
Retail Sector publico Servicios profesionales Servicios financieros Oil & Energy Manufactura
Arcos Dorados logo Conoce cómo Arcos Dorados consolidó todas sus mesas de ayuda en una única plataforma Mirgor logo Conoce cómo Mirgor ahorró 2.500 horas en trabajo manual con InvGate Asset Management Ver todos los Casos de éxito
Customer Experience Partners Comunidad de Usuarios
Nuevo
Carreras
Trust Center
Sobre nosotros Quiénes somos
About Us
AI HubIA al servicio de los equipos IT
AI Hub
ENVISION'25 Nuestra segunda user conference
AI Hub
Casos de éxito ITSM ITDB Curso ESM Curso ITALM
Nuevo
Ver todos los Recursos
Blog InvGate Últimas tendencias en IT
InvGate’s Blog
Ticket VolumePodcast ITSM
Ticket Volume
Canal de YoutubeVideos de productos
Youtube Channel
Contáctanos Prueba Gratis
ITAM Inventario IT

Cómo construir un inventario de activos para la norma ISO 27001 con InvGate Asset Management

hero image
Únete al IT Pulse

Recibe las últimas noticias del mundo de IT una vez por semana.
Prueba InvGate como tu solución ITSM e ITAM Pruébalo 30 días sin costo - No precisa tarjeta de crédito
Comienza ahora

Tabla de contenidos

    Un inventario de activos creado para cumplir la norma ISO 27001 es el punto de partida obligatorio de cualquier Sistema de Gestión de Seguridad de la Información (SGSI). Sin una lista completa y confiable de los activos que tiene la organización, no es posible evaluar riesgos, aplicar controles ni superar una auditoría. Esta guía explica qué exige la norma, qué debe incluir el inventario y cómo construirlo y mantenerlo actualizado en la práctica.

    El desafío más común no es técnico. Es que muchas organizaciones intentan avanzar en la certificación sin saber con exactitud qué activos tienen, quién es responsable de cada uno y en qué estado se encuentran. Esa brecha es el primer obstáculo que hay que resolver, y el inventario es la herramienta para hacerlo.

    ¿Por qué el inventario de activos es pilar de la norma ISO 27001? 

    La Gestión de Riesgos de Seguridad de la Información no puede funcionar sin una base sólida. Esa base es el inventario de activos. Si una organización no sabe qué tiene, no puede determinar qué riesgos enfrenta ni qué controles aplicar.

    Los problemas de un inventario incompleto son predecibles: activos sin propietario asignado, software obsoleto que nadie detectó, dispositivos fuera de la red corporativa que nunca se registraron. En una auditoría, cualquiera de esos puntos puede comprometer la certificación.

    InvGate Asset Management permite construir un inventario completo gracias a sus múltiples métodos para descubrir e incoporar activos. Incluye entradas manuales (individuales y masivas), la instalación del Agente de InvGate Asset Management, descubrimiento por red de activos e integraciones nativas y a través de API. 

    Qué dice la norma ISO 27001 sobre el inventario de activos

    La norma ISO 27001 exige que las organizaciones identifiquen sus activos de información, los clasifiquen y les asignen un propietario responsable. Este requisito no es opcional: es un control central del estándar y un punto de verificación obligatorio en cualquier auditoría de certificación.

    Nota: La norma oficial se denomina ISO/IEC 27001 y fue publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). A lo largo de este artículo la llamamos simplemente ISO 27001, que es el nombre con el que se la conoce en la práctica.

    La norma ha tenido dos versiones principales: la versión ISO/IEC 27001:2013 y la ISO/IEC 27001:2022. Los controles relacionados con el inventario cambiaron entre una y otra.

    El Anexo A.8.1 en la versión ISO/IEC 27001:2013 

    En la versión ISO/IEC 27001:2013, el inventario de activos estaba regulado por el Anexo A.8.1, dividido en tres subcontroles: identificación de activos (A.8.1.1), propiedad de activos (A.8.1.2) y uso aceptable de activos (A.8.1.3). Muchas organizaciones aún tienen documentación basada en esta versión, lo que puede generar confusión al momento de actualizar el SGSI.

    El Control A.5.9 en ISO/IEC 27001:2022 

    La versión vigente del estándar, ISO/IEC 27001:2022, reorganizó los controles del Anexo A. Los subcontroles A.8.1.1 y A.8.1.2 de la versión anterior se fusionaron en el Control A.5.9, que ahora cubre el inventario de activos y la propiedad de activos en un único control. El uso aceptable pasó al Control A.5.10, y la devolución de activos al Control A.5.11.

    La guía de implementación fue ampliada en ISO/IEC 27002:2022, con mayor detalle sobre cómo documentar, mantener y revisar el inventario. El texto completo de la norma ISO/IEC 27001:2022 está disponible en el sitio oficial de ISO para quienes necesiten consultarlo.

    Qué es un activo de información bajo la norma ISO 27001 

    Bajo ISO 27001, un activo de información es cualquier elemento con valor para la organización en el que se almacena, procesa o transmite información. La definición es más amplia de lo que muchos equipos anticipan.

    Las categorías principales son las siguientes:

    • Hardware: computadoras, servidores, dispositivos móviles y equipos de red. InvGate Asset Management los registra con campos de tipo, categoría, propietario y ubicación.
    • Software y licencias: aplicaciones instaladas, sistemas operativos y licencias con fecha de vencimiento. InvGate Asset Management vincula el software detectado a cada activo y alerta ante licencias próximas a vencer.
    • Datos e información: bases de datos, archivos y registros. Se documentan como activos lógicos con clasificación de criticidad.
    • Infraestructura en la nube: servicios de nube pública, privada o híbrida. InvGate Asset Management permite registrarlos como activos con propietario asignado.
    • Personas y roles: usuarios con acceso a sistemas críticos. Se vinculan a los activos que tienen asignados en la plataforma.
    • Servicios y contratos: acuerdos con proveedores y contratos de servicio. Se registran con fechas de vigencia y alertas de renovación.

    La diferencia entre activos de información (dentro del alcance de ISO 27001) y activos de TI en general es relevante: el segundo concepto es más amplio e incluye activos sin contenido informacional directo. InvGate Asset Management cubre ambos.

    Cómo crear un inventario de activos ISO 27001 con InvGate Asset Management 

    Cómo crear un inventario de activos unificado
    Video thumbnail

    InvGate Asset Management permite construir, administrar y visualizar el inventario completo de activos de una organización de acuerdo al estándar fijado por ISO 27001. El proceso puede dividirse en pasos simples y concretos para una buena ejecución.

    Paso 1: Construye el inventario de activos 

    El primer paso es incorporar todos los activos a la plataforma. InvGate Asset Management ofrece múltiples formas de hacerlo:

    • Entradas manuales: puedes registrar activos de forma individual o de manera masiva a través de la importación de un archivo CSV.
    • Agente de InvGate Asset Management: se instala en computadoras, servidores y dispositivos móviles, y recopila automáticamente información de hardware, software y otros datos del dispositivo.
    • Descubrimiento por red: detecta los dispositivos conectados a la red e incorporarlos al inventario sin intervención manual.
    • Integraciones: nativas o a través de API, permiten completar el inventario con activos que no están en la red local, especialmente los vinculados a servicios en la nube.

    Gran parte del trabajo es automático gracias al Agente y al descubrimiento por red. El resultado es un inventario base generado sin depender de relevamientos manuales.

    Integraciones de InvGate

    Conecta nuestras soluciones con las aplicaciones que utiliza a diario

    Explore las integraciones de InvGate
    Jamf logo

    Paso 2: Clasifica activos y asigna propietarios 

    Cada activo en InvGate Asset Management tiene un perfil configurable con campos que varían según el tipo de activo. En todos los casos, es posible asignar un propietario, lo cual cumple directamente con el requisito de asignación de responsabilidad que establece el Control A.5.9.

    Además, la plataforma ofrece dos herramientas adicionales para la clasificación:

    • Etiquetas inteligentes: categorizan activos de forma automática según condiciones configurables, como nivel de criticidad o estado de cumplimiento.
    • Campos personalizados: permiten agregar datos de clasificación de acuerdo al esquema del Sistema de Gestión de Seguridad de la Información (SGSI) de cada organización.

    InvGate Asset Management también incluye un proceso de normalización de datos para hardware y software. Esto permite limpiar y unificar la información del inventario para trabajar con registros más consistentes y confiables.

    Paso 3: Crea contratos, vincula software y asigna licencias

    En InvGate Asset Management, los contratos funcionan como un Ítem de Configuración en sí mismos. Pueden cargarse en la plataforma y vincularse con el software que se detectó de forma automática. Esto habilita la Gestión de Licencias completa, con asignación automática o manual según corresponda.

    El resultado es una visión centralizada del estado de cada contrato, del software incluido en él y de las licencias activas. Gracias al Agente y al módulo de Cumplimiento de Software, también es posible observar el uso real del software instalado y tomar decisiones informadas. Esto permite detectar si se trabaja con software sin licencia o si existen contratos vencidos, dos de los puntos de incumplimiento más frecuentes en auditorías ISO 27001. 

    Paso 4: Mapea relaciones en la Base de Datos de la Configuración 

    cmdb-invgate-asset-management

    Para entornos complejos, la Base de Datos de la Configuración (CMDB) de InvGate Asset Management permite registrar relaciones entre activos: qué servidor soporta qué aplicación, qué laptop tiene qué usuario asignado. Este mapeo es clave para la evaluación de impacto en la Gestión de Riesgos, ya que permite entender qué otros activos se ven afectados ante un incidente o cambio.

    La plataforma también incorpora CMDB Auto-mapping, una funcionalidad que detecta y sugiere relaciones entre activos de forma automática, reduciendo el trabajo manual necesario para mantener el mapa de dependencias actualizado.

    Paso 5: Configura automatizaciones para alertas y notificaciones

    Un inventario útil no es solo un registro actualizado: también debe alertar cuando algo requiere atención. InvGate Asset Management permite configurar distintos tipos de automatizaciones para mantener el cumplimiento sin depender de revisiones manuales:

    • Reglas de Salud: monitorean el estado del hardware según condiciones definidas previamente, como garantías vencidas o sistemas operativos desactualizados.
    • Etiquetas inteligentes: categorizan automáticamente activos que cumplen con determinadas condiciones de incumplimiento o riesgo.
    • Automatizaciones: nativas o personalizadas, envían alertas ante situaciones como garantías por vencer, activos duplicados, salud crítica o actualizaciones de seguridad y sistema operativo faltantes.

    También es posible crear Tableros con gráficos personalizables para visualizar el estado de cumplimiento de ISO 27001 y llevar una supervisión más clara del inventario en el tiempo.

    Paso 6: Aprovecha las Smart Recommendations

    smart-recommendations-1

    InvGate Asset Management incorpora Smart Recommendations, una funcionalidad que analiza el estado del inventario y sugiere acciones concretas para mantenerlo actualizado y alineado con los requisitos de ISO 27001.

    Las recomendaciones pueden incluir activos sin propietario asignado, dispositivos con información incompleta o software no autorizado instalado. Esto reduce la carga de revisión manual y ayuda a cerrar las brechas de cumplimiento antes de que se conviertan en observaciones en una auditoría.

    Qué datos debe incluir cada activo en el inventario

    InvGate Asset Management cuenta con campos para cada tipo de activo. Muchos se completan automáticamente. Otros pueden ser creados para satisfacer las necesidades específicas de cada organización.

    Cada entrada del inventario debe contener, como mínimo, los siguientes campos:

    Campo Descripción Ejemplo en InvGate Asset Management
    Nombre  Identificador único Laptop-001
    Tipo  Hardware, software, cloud service Computadora
    Propietario Responsable de seguridad del activo John Doe
    Ubicación Física o lógica Oficina Buenos Aires / Nube AWS
    Estado Activo, en mantenimiento, dado de baja Activo
    Clasificación Nivel de criticidad para el SGSI Crítico / Sensible / No sensible
    Fecha de revisión Frecuencia de actualización Trimestral

     

    InvGate Asset Management registra cada uno de estos campos de forma nativa o mediante campos personalizados, sin necesidad de exportar datos a documentos externos.

    Cómo mantener el inventario actualizado (y no fallar en la auditoría)

    Un inventario que se construye una vez y no se actualiza no es una protección: es un riesgo. Los auditores verifican no solo que el inventario exista, sino que refleje la realidad actual de la organización.

    La revisión mínima recomendada es trimestral. Ante cualquier cambio de infraestructura, como incorporación de nuevos equipos, altas o bajas de personal, o migraciones a la nube, la actualización debe ser inmediata.

    El InvGate Agent automatiza este proceso reportando cambios en los activos de forma periódica y sin intervención manual. Antes de una auditoría externa, las auditorías internas permiten verificar que el inventario esté completo y sin inconsistencias. InvGate Asset Management genera reportes de cumplimiento automáticos y listos para presentar en auditorías ISO 27001. Conocer con anticipación cómo preparar un plan de auditoría ISO 27001 es una ventaja concreta para el equipo de seguridad.

    Inventario de activos ISO 27001 con Excel o con InvGate Asset Management: ¿qué diferencia hay? 

    Una hoja de cálculo puede ser un punto de partida válido para organizaciones pequeñas o en etapas iniciales de su SGSI. El problema aparece cuando la organización crece o se acerca a la auditoría de certificación.

    Un archivo de Excel no tiene alertas automáticas, no detecta nuevos activos, no asigna propietarios de forma dinámica y no genera reportes de cumplimiento. Cada actualización depende de que alguien recuerde hacerla manualmente.

    InvGate Asset Management centraliza el inventario, lo actualiza en tiempo real mediante discovery automático, permite asignar propietarios y configurar Health Rules para detectar activos fuera de cumplimiento. Los reportes están disponibles cuando el equipo los necesita, sin depender de que alguien complete una planilla. La diferencia no es de herramienta: es de modelo de trabajo.

    inventario-en-excel
    Lectura recomendada
    Inventario en Excel: plantilla gratuita para comenzar a gestionar los activos
    Leer artículo

     

    Preguntas frecuentes 

    ¿Qué es un inventario de activos según ISO 27001?

    Es un registro estructurado de todos los activos de información de una organización: hardware, software, datos, servicios en la nube y personas con acceso a sistemas críticos. Cada activo debe tener un propietario asignado y un nivel de clasificación definido según su criticidad para el SGSI.

    ¿Cuál es la diferencia entre el Anexo A.8.1 y el Control A.5.9 de ISO 27001?

    El Control A.5.9 de la versión 2022 fusionó los subcontroles A.8.1.1 (inventario de activos) y A.8.1.2 (propiedad de activos) de la versión 2013 en un único control, con guía de implementación ampliada en ISO/IEC 27002:2022.

    ¿Qué tipos de activos deben incluirse en el inventario ISO 27001?

    Deben incluirse todos los activos con valor para la organización donde se almacene, procese o transmita información: hardware, software y licencias, datos, servicios en la nube, personas con roles críticos y contratos con proveedores.

    ¿Con qué frecuencia debe actualizarse el inventario de activos ISO 27001?

    La frecuencia mínima recomendada es trimestral. Además, el inventario debe actualizarse de inmediato ante cualquier cambio de infraestructura, incorporación de activos o modificaciones en la asignación de propietarios.

    ¿Puede usarse Excel para cumplir con el inventario de activos ISO 27001?

    La norma no exige una herramienta específica, por lo que Excel es formalmente válido. Sin embargo, un archivo estático no garantiza que el inventario esté actualizado, ni facilita la trazabilidad ni la generación de reportes de cumplimiento. En auditorías de mayor escala, suele ser insuficiente.

    Conclusión 

    Un inventario de activos ISO 27001 bien construido y actualizado es la diferencia entre una gestión de seguridad real y una documentación que no resiste una auditoría. El proceso no empieza con políticas ni controles: empieza por saber qué tiene la organización, quién es responsable de cada activo y en qué estado se encuentra.

    InvGate Asset Management convierte ese punto de partida en un sistema automatizado. Puedes probar la plataforma de manera gratuita por 30 días o pactar un encuentro con nuestro equipo de Ventas para conocer con exactitud de qué manera puede ayudarte a cumplir con la norma ISO 27001.

    Prueba InvGate como tu solución ITSM e ITAM

    Pruébalo 30 días sin costo - Sin tarjeta de crédito

    COMIENZA AHORA

    Precios claros

    Sin sorpresas ni cargos ocultos: solo precios claros que se adaptan a tus necesidades.

    Ver Precios

    Migración sencilla

    Nuestro equipo garantiza que tu transición a InvGate sea rápida, fluida y sin complicaciones.

    Ver Customer Experience