Inventario y Control de Activos Empresariales
Gestionar activamente (inventariar, rastrear y corregir) todos los activos empresariales (dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos/Internet de las Cosas (IoT); y servidores) conectados a la infraestructura, de forma física, virtual, remota y aquellos dentro de entornos en la nube, para conocer con precisión la totalidad de activos que necesitan ser monitoreados y protegidos dentro de la empresa. Esto también apoyará la identificación de activos no autorizados y no gestionados para eliminarlos o remediarlos.
Plantillas de Políticas Relacionadas
Salvaguardas (5)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 1.1 | Establecer y Mantener un Inventario Detallado de Activos Empresariales | Identificar |
IG1
IG2
IG3
|
5 | 3 |
| 1.2 | Abordar Activos No Autorizados | Responder |
IG1
IG2
IG3
|
5 | 3 |
| 1.3 | Utilizar una Herramienta de Descubrimiento Activo | Detectar |
IG2
IG3
|
6 | 3 |
| 1.4 | Usar el Registro del Protocolo de Configuración Dinámica de Host (DHCP) para Actualizar el Inventario de Activos Empresariales | Identificar |
IG2
IG3
|
5 | 3 |
| 1.5 | Usar una Herramienta de Descubrimiento Pasivo de Activos | Detectar |
IG3
|
9 | 5 |
Detalles de Verificación de Auditoría
Establecer y mantener un inventario preciso, detallado y actualizado de todos los activos empresariales con potencial de almacenar o procesar datos, incluyendo: dispositivos de usuario final (incluyendo portátiles y móviles), dispositivos de red, dispositivos no informáticos/IoT y servidores. Asegurar que el inventario registre la dirección de red (si es estática), dirección de hardware, nombre de máquina, propietario del activo de datos, departamento de cada activo y si el activo ha sido aprobado para conectarse a la red. Para dispositivos móviles de usuario final, las herramientas tipo MDM pueden apoyar este proceso, cuando sea apropiado. Este inventario incluye activos conectados a la infraestructura de forma física, virtual, remota y aquellos en entornos de nube. Además, incluye activos que se conectan regularmente a la infraestructura de red de la empresa, aunque no estén bajo el control de la empresa. Revisar y actualizar el inventario de todos los activos empresariales semestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que exista un proceso para abordar activos no autorizados de forma semanal. La empresa puede optar por eliminar el activo de la red, denegar la conexión remota del activo a la red o poner en cuarentena el activo.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Utilizar una herramienta de descubrimiento activo para identificar activos conectados a la red de la empresa. Configurar la herramienta de descubrimiento activo para ejecutarse diariamente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar el registro DHCP en todos los servidores DHCP o herramientas de gestión de direcciones de Protocolo de Internet (IP) para actualizar el inventario de activos de la empresa. Revisar y usar los registros para actualizar el inventario de activos de la empresa semanalmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar una herramienta de descubrimiento pasivo para identificar activos conectados a la red de la empresa. Revisar y usar los escaneos para actualizar el inventario de activos de la empresa al menos semanalmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
Los escaneos de vulnerabilidades cubren todos los activos dentro del alcance y se ejecutan con la frecuencia definida.
Informes de escaneo con evidencia de alcance y calendario
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
Las vulnerabilidades se remedian dentro de los SLA definidos por severidad.
Seguimiento de remediación con métricas de cumplimiento de SLA
Las excepciones y aceptaciones de riesgo están documentadas y aprobadas.
Registros de excepción/exención con firma de la dirección
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |