Gestión de Activos
¿Qué es Gestión de Activos?
Gestión de ActivosDescubrimiento, inventario, clasificación y seguimiento de ciclo de vida continuos de todos los activos de hardware, software, cloud y de datos que el programa de seguridad debe proteger.
La gestión de activos es la base del resto de controles de seguridad: no se puede proteger, parchear, monitorizar ni responder ante lo que no se sabe que existe. Un inventario de activos moderno cubre endpoints, servidores, dispositivos de red, móviles, cargas de trabajo cloud, tenants SaaS, identidades, repositorios de código y almacenes de datos, con atributos de propiedad, criticidad y exposición. El descubrimiento es cada vez más continuo y guiado por herramientas, mediante integraciones con el CMDB, datos de EDR, APIs cloud y sondeos EASM. Una buena gestión de activos alimenta la gestión de vulnerabilidades, la gestión de configuración, la respuesta a incidentes y la aplicación de zero trust, y es un prerrequisito de marcos como los CIS Controls.
Su primacía no es algo teórico: las CIS Critical Security Controls (v8) convierten el "Inventario y control de los activos empresariales" y el "de los activos de software" en los Controles 1 y 2 —lo primero que una organización debería hacer— porque los hosts no gestionados son donde se esconden las intrusiones. Log4Shell (CVE-2021-44228) dejó la lección clara: los equipos que no podían responder a "¿dónde ejecutamos Log4j?" pasaron días buscando, mientras que quienes contaban con un inventario de software preciso y un SBOM acotaron su exposición en cuestión de horas. La brecha de Equifax en 2017 (CVE-2017-5638) también persistió, en parte, porque un activo vulnerable de Apache Struts no estaba asociado a un responsable que lo parchease. La carencia más difícil de cubrir es el patrimonio "en la sombra" —instancias cloud olvidadas, subdominios caducados pero todavía activos y altas en SaaS al margen de TI—, que las herramientas de gestión de la superficie de ataque externa (EASM) sacan a la luz al escanear desde la perspectiva del atacante.
flowchart LR
A[Fuentes de descubrimiento] --> B[Normalizar y deduplicar]
subgraph A[Fuentes de descubrimiento]
A1[EDR / agentes]
A2[APIs cloud y SaaS]
A3[Escaneos de red / EASM]
A4[CMDB / DHCP / IdP]
end
B --> C[Fuente única de verdad]
C --> D[Enriquecer: propietario, criticidad, exposición]
D --> E[Gestión de vulnerabilidades]
D --> F[Gestión de parches y configuración]
D --> G[Respuesta a incidentes]
E --> H{Conciliar discrepancias}
H --> AEl objetivo es una fuente única de verdad conciliada de forma continua: cada ciclo compara lo que ve cada fuente, marca los activos que aparecen en un sistema pero no en otro (una señal clásica de un host no gestionado o intruso) y asigna un responsable antes de que el activo pueda volver a perderse en la oscuridad.
● Ejemplos
- 01
Una conciliación semanal que compara los registros del CMDB con los endpoints enrolados en el EDR para detectar hosts no gestionados.
- 02
Etiquetar las bases de datos más críticas (crown jewels) para que reciban parches prioritarios y controles de acceso más estrictos.
● Preguntas frecuentes
¿Qué es Gestión de Activos?
Descubrimiento, inventario, clasificación y seguimiento de ciclo de vida continuos de todos los activos de hardware, software, cloud y de datos que el programa de seguridad debe proteger. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Gestión de Activos?
Descubrimiento, inventario, clasificación y seguimiento de ciclo de vida continuos de todos los activos de hardware, software, cloud y de datos que el programa de seguridad debe proteger.
¿Cómo defenderse de Gestión de Activos?
Las defensas contra Gestión de Activos combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Gestión de Activos?
Nombres alternativos comunes: Gestión de activos de TI, Gestión de activos cibernéticos.