ISO 27001 y el control A.5.9: inventario de activos en la práctica

El control A.5.9 del Anexo A de ISO/IEC 27001 exige elaborar y mantener un inventario de la información y otros activos asociados, con propietarios definidos. Es uno de los controles que más hallazgos genera en auditorías de certificación y de vigilancia — porque la mayoría de las empresas lo intenta resolver con una hoja de cálculo estática o con una herramienta de discovery que solo ve la mitad del parque.

Esta guía está dirigida a CISOs, responsables de seguridad de la información, gerentes de TI y equipos de cumplimiento de empresas mexicanas que buscan certificarse en ISO 27001 o mantener su certificación. Explicamos qué exige exactamente el control A.5.9, qué evidencia espera encontrar el auditor, los controles vecinos que dependen del inventario y cómo construir — en la práctica — un inventario de activos que pase la auditoría sin observaciones.

1. Por qué ISO 27001 dejó de ser opcional para muchas empresas mexicanas

ISO/IEC 27001 es la norma internacional de sistemas de gestión de seguridad de la información (SGSI). En México, la presión por certificarse ya no viene principalmente del regulador: viene de los clientes. Corporativos de Estados Unidos y Europa que contratan proveedores mexicanos — manufactura de exportación, centros de servicios compartidos, desarrollo de software, logística — incluyen cada vez más la certificación ISO 27001 (o un reporte SOC 2) como requisito contractual o como criterio de selección en licitaciones. El fenómeno del nearshoring aceleró esta exigencia: quien quiere capturar contratos de cadenas de suministro norteamericanas necesita demostrar gestión formal de seguridad de la información.

La certificación la emite un organismo de certificación acreditado, tras una auditoría de etapa 1 (documental) y etapa 2 (implementación), con auditorías de vigilancia anuales y recertificación cada tres años. En cada uno de esos ciclos, el inventario de activos vuelve a estar sobre la mesa.

2. Qué exige exactamente el control A.5.9

En la versión 2022 del Anexo A — reorganizado en 93 controles — el control A.5.9 (inventario de información y otros activos asociados) consolidó los antiguos controles A.8.1.1 y A.8.1.2 de la versión 2013. Su texto es breve, pero sus implicaciones son operativas:

• Se debe elaborar y mantener un inventario de la información y otros activos asociados — esto incluye hardware (laptops, servidores, equipo de red, móviles), software, servicios, y la propia información.
• Cada activo debe tener un propietario (owner): una persona o área responsable de su ciclo de vida, su clasificación y su protección.
• El inventario debe mantenerse exacto y actualizado — no basta con haberlo levantado una vez: la norma espera un proceso vivo, con actualizaciones ante altas, bajas, transferencias y cambios de responsable.

La palabra clave es asociados: el alcance no se limita a la información digital. La laptop donde se procesa, el servidor donde se almacena, el switch por donde transita y el disco externo donde se respalda son activos asociados a la información — y todos deben estar en el inventario, con dueño y ubicación conocidos.

3. La evidencia que el auditor va a pedir (y cómo la verifica)

En auditoría de certificación o de vigilancia, el auditor del organismo certificador no se conforma con que exista un documento llamado inventario. Las verificaciones típicas son:

• Completitud y vigencia: ¿cuándo fue la última actualización? ¿Existe un procedimiento documentado de alta, baja y transferencia de activos? ¿Quién lo ejecuta?
• Propietarios definidos: muestreo de registros para confirmar que cada activo tiene un responsable nombrado — y que ese responsable sabe que lo es (resguardos firmados son la evidencia natural).
• Prueba de doble vía: el auditor toma activos del inventario y pide verlos físicamente; y a la inversa, recorre las instalaciones, elige una laptop, un servidor o un access point al azar y pide localizarlo en el inventario. Un parque etiquetado con identificador único responde esa prueba en segundos; una hoja de cálculo sin etiquetado físico, casi nunca.
• Consistencia entre fuentes: si el CMDB dice 1,200 equipos, el directorio activo reporta 950 y contabilidad tiene 1,600 partidas de equipo de cómputo, el auditor va a preguntar por qué — y la divergencia sin explicación se convierte en no conformidad u observación.

El estándar de evidencia es el mismo que aplican los auditores financieros al activo fijo: existencia, integridad y exactitud, demostradas en campo. Por eso un inventario de activos de TI ejecutado físicamente, con etiquetado y conciliación, es la forma más directa de sostener el control A.5.9.

4. Los controles vecinos que dependen del inventario

El A.5.9 es la base de una cadena de controles del Anexo A que no pueden operar sin él:

• A.5.10 — Uso aceptable: definir reglas de uso de los activos exige saber cuáles son y quién los tiene.
• A.5.11 — Devolución de activos: cuando un empleado sale de la empresa, ¿qué debe devolver? Sin inventario con resguardos por usuario, la baja de personal se vuelve fuga de equipos.
• A.7.9 — Activos fuera de las instalaciones: el home office puso laptops y monitores en cientos de domicilios. El control exige saber qué está fuera, con quién y bajo qué protección.
• A.7.14 — Disposición segura de equipos: ningún equipo puede salir a merma, venta o donación sin borrado seguro de la información. El punto de partida es saber qué equipos están llegando al final de su vida útil — tema que desarrollamos en la guía de ciclo de vida de activos de TI en México.
• A.8.1 — Dispositivos de usuario final: las políticas de endpoint (cifrado, MDM, antivirus) se despliegan sobre el universo de dispositivos inventariados; lo que no está en el inventario queda fuera de la protección.

5. Por qué los inventarios fallan en auditoría

Los patrones de falla que más vemos en empresas que llegan a la auditoría con observaciones:

• La hoja de cálculo estática: se levantó una vez — a veces hace años — y nunca se volvió a conciliar. Sin fechas de actualización ni responsable del proceso, el auditor la descarta como evidencia.
• El discovery como única fuente: las herramientas de escaneo de red solo ven lo que está encendido, conectado y con agente. La laptop en el cajón, el servidor apagado, el equipo BYOD y el monitor sin IP no existen para el discovery — y sí existen para el auditor que recorre el piso.
• Activos sin propietario: el inventario lista equipos, pero nadie responde por ellos. El control pide dueños, no solo filas.
• Bajas que nunca se registran: equipos sustituidos, dañados o donados que siguen apareciendo como activos — los llamados activos fantasma, que en nuestros primeros inventarios estructurados representan entre 5% y 15% de los registros.

6. Cómo construir un inventario que pase la auditoría

La práctica que sostiene el A.5.9 a lo largo de los años combina cinco elementos:

• Levantamiento físico inicial: verificación presencial de cada activo — incluyendo lo apagado, lo almacenado y lo que está en home office — con captura de serie, ubicación, estado y fotografía.
• Etiquetado único: código de barras, QR o RFID por activo. Las etiquetas para inventario de activos destructibles en laptops y on-metal en servidores hacen que la prueba de doble vía del auditor sea trivial.
• Conciliación de fuentes: físico × discovery × CMDB × contabilidad, con divergencias clasificadas y tratadas. La mecánica completa está en nuestra guía de ITAM y CMDB.
• Propietarios y resguardos: cada activo con responsable nombrado y resguardo firmado — la evidencia documental que une el control A.5.9 con el A.5.11.
• Inventario rotativo: un calendario de verificación cíclica (por sitio o por categoría) que mantiene el inventario vivo entre auditorías de vigilancia.

Una precisión importante: quien certifica a su empresa es el organismo de certificación acreditado — CPCON no emite certificaciones ISO. Nuestro papel es otro: con 30 años y más de 4,500 proyectos de inventario y auditoría de activos, generamos la evidencia de campo — parque etiquetado, conciliado y documentado — que los auditores de nuestros clientes piden en cada ciclo de certificación y vigilancia.