ISO 27001

Inventario de activos de información: cómo crearlo y mantenerlo

Por Equipo GRC360 24 de March, 2026 11 min de lectura
Inventario de activos de información para ISO 27001

No puedes proteger lo que no conoces. El inventario de activos de información es la base sobre la cual se construye la evaluación de riesgos y la implementación de controles en ISO 27001. El control A.5.9 del Anexo A exige un inventario de activos de información y otros activos asociados, incluyendo sus propietarios.

Tipos de activos de información

CategoríaEjemplos
Información / DatosBases de datos, archivos, contratos, propiedad intelectual, datos de clientes
SoftwareAplicaciones de negocio, sistemas operativos, herramientas de desarrollo, SaaS
HardwareServidores, laptops, dispositivos móviles, equipos de red, dispositivos IoT
ServiciosServicios en la nube, comunicaciones, electricidad, hosting
PersonasConocimiento especializado, competencias críticas
IntangiblesReputación, marca, imagen corporativa

Información mínima por activo

Para cada activo documenta un identificador único, nombre y descripción, tipo/categoría, propietario (persona o rol responsable), custodio (quien lo gestiona operativamente), ubicación (física o lógica), clasificación de seguridad, criticidad para el negocio, y controles de seguridad aplicados.

Asignación de propietarios

ISO 27001 exige que cada activo tenga un propietario. El propietario no es necesariamente quien usa el activo sino quien es responsable de su protección. El propietario decide la clasificación, autoriza el acceso, revisa periódicamente los permisos, asegura que los controles apropiados están implementados, y acepta los riesgos residuales asociados.

Mantenimiento del inventario

Un inventario desactualizado es peor que no tener inventario, porque genera una falsa sensación de control. Revísalo cuando se adquieran o retiren activos, cuando cambien propietarios o responsables, durante las auditorías internas, y al menos una vez al año de forma completa.

Error común: Crear un inventario de miles de activos individuales que es imposible de mantener. Agrupa activos similares cuando tengan el mismo propietario, la misma clasificación y los mismos controles. Por ejemplo, en lugar de listar 50 laptops individuales, registra "Laptops corporativas" como un tipo de activo.

Gestiona tu inventario de activos con GRC360

GRC360 te permite registrar activos de información, asignar propietarios, clasificarlos y vincularlos directamente con los riesgos y controles de tu SGSI.

Crear Cuenta Gratis

Complementa con clasificación de información, evaluación de riesgos y control de acceso.

SGSI Gestión de Riesgos Activos de Información
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis