Política de Gestión de Activos Empresariales

[ORGANIZACION] deberá mantener un inventario detallado de todos los activos empresariales con potencial para almacenar o procesar datos, actualizado con una frecuencia no menor a [PERSONALIZAR: semestral/trimestral/mensual].

El inventario de activos deberá registrar, como mínimo: etiqueta de activo o identificador único, dirección de hardware (MAC), dirección de red (si es estática), nombre de host, propietario del activo, departamento asignado, tipo de activo, sistema operativo y versión, ubicación física o virtual, y estado de autorización de red.

Todos los activos deberán clasificarse como Autorizados, No Autorizados o En Revisión dentro de [PERSONALIZAR: 48 horas/1 semana] de su descubrimiento.

El Gestor de Activos designado ([PERSONALIZAR: rol/equipo]) será responsable de mantener la precisión e integridad del inventario de activos.

[ORGANIZACION] deberá utilizar herramientas automatizadas de descubrimiento activo para escanear la red en busca de activos conectados con una frecuencia no menor a [PERSONALIZAR: diaria/semanal].

Los registros del servidor DHCP deberán recopilarse y utilizarse para identificar y actualizar el inventario de activos empresariales con una frecuencia no menor a semanal.

Para entornos IG3: Se deberán implementar herramientas de descubrimiento pasivo de activos para identificar continuamente los activos conectados a la red, con resultados revisados al menos semanalmente.

Las herramientas de descubrimiento de activos deberán cubrir todos los segmentos de red, incluyendo DMZ, internos, de invitados y redes conectadas a la nube.

Deberá existir un proceso documentado para abordar los activos no autorizados descubiertos en la red, con revisión realizada con una frecuencia no menor a semanal.

Los activos no autorizados deberán ser gestionados mediante una de las siguientes acciones dentro de [PERSONALIZAR: 24/48/72] horas de su identificación: eliminación de la red, cuarentena en un segmento de red aislado, bloqueo de conectividad remota, o autorización con aprobación documentada.

Todos los incidentes de activos no autorizados deberán registrarse y reportarse a [PERSONALIZAR: Seguridad de TI/CISO] para seguimiento y análisis de tendencias.

Todos los nuevos activos deberán registrarse en el inventario antes de o dentro de [PERSONALIZAR: 24/48] horas de su implementación en la red.

Los activos que se den de baja deberán seguir los procedimientos de sanitización de datos y eliminación de [ORGANIZACION] antes de ser removidos del inventario.

Las revisiones del inventario de activos deberán realizarse [PERSONALIZAR: trimestral/semestralmente] para verificar la precisión y eliminar registros obsoletos.