Está en la página 1de 3

28/8/2019 Inventario de activos y gestión de la seguridad en SCI | INCIBE-CERT

Inicio (/) / Blog (/blog) / Inventario de activos y gestión de la seguridad en SCI

Inventario de activos y gestión de la seguridad en SCI (/blog/inventario-activos-y-


gestion-seguridad-sci)
Publicado el 29/12/2016, por INCIBE

El inventario de activos conforma el primer elemento de la cadena en un sistema de gestión de la seguridad de un sistema. Un inventario de activos se de ne
como una lista de todos aquellos recursos (físicos, software, documentos, servicios, personas, instalaciones, etc.) que tengan valor para la organización y
necesiten por tanto ser protegidos de potenciales riesgos.

Para proteger adecuadamente los sistemas de control industrial, las organizaciones ya no pueden con ar estrictamente en enfoques tradicionales basados
en TI o el sistema físico para la gestión de activos de ciberseguridad. Las amenazas evolucionan continuamente y los ataques a infraestructuras críticas y
sistemas de control industrial son cada vez más so sticados y frecuentes.

- Funciones esenciales para la mejora de la seguridad -

Es habitual encontrar un inventario de activos incompleto o inexistente en entornos de sistemas de control, lo que constituye uno de los grandes
inconvenientes a la hora de abordar otras mejoras de la seguridad de estos sistemas. No se puede proteger lo que no se conoce, por eso es muy importante
disponer de un inventario de activos convenientemente actualizado y revisado.

Clasi cación de activos en el inventario


La información que se recoge en un inventario de activos varía dependiendo del alcance del mismo. Es recomendable que exista un equipo de seguridad
encargado de su gestión y actualización, así como de su revisión anual y tras cada incorporación o eliminación de activos. Este equipo será responsable de
tareas como de nir, inventariar y categorizar los diferentes activos dentro de los sistemas de control, así como de las redes internas y externas, según el
alcance del inventario.

El inventario debe tener un enfoque global que abarque todos los sistemas dentro de su alcance y debe incluir tanto PLC, DCS, SCADA, así como los
elementos de supervisión como HMI y otros dispositivos y sistemas auxiliares.

Para facilitar el manejo y mantenimiento del inventario, es conveniente clasi car los activos por categorías, según su naturaleza:

https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci 1/3
28/8/2019 Inventario de activos y gestión de la seguridad en SCI | INCIBE-CERT
Datos: Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen. Bases de datos, documentación
(manuales de usuario, contratos, normativas, etc.).
Aplicaciones: El software que se utiliza para la gestión del proceso. Sistemas SCADA, herramientas de desarrollo de HMI, aplicativos desarrollados,
sistemas operativos, rmware de dispositivos, etc.
Hardware industrial: Equipos físicos necesarios para desarrollar la labor industrial (terminales remotas, PLC, IED, PC, servidores, dispositivos móviles o de
mano, etc.)
Red: Dispositivos de conectividad de redes (routers, switches, concentradores, pasarelas, etc.)
Tecnología: Otros equipos necesarios para gestionar las personas y el negocio de la empresa (servidores, equipos de usuario, teléfonos, impresoras,
routers, cableado, etc.).
Personal: En esta categoría se encuentra tanto la plantilla propia de la organización como el personal subcontratado, personal de mantenimiento y, en
general, todos aquellos que tengan acceso de una manera u otra a la industria.
Instalaciones: Lugares en los que se alojan los sistemas relevantes del sistema (o cinas, edi cios, instalaciones eléctricas, vehículos, etc.).
Equipamiento auxiliar: En este tipo entrarían a formar parte todos aquellos activos que dan soporte a los sistemas de información y que no se hallan en
ninguno de los tipos anteriormente de nidos (equipos de destrucción de datos, equipos de climatización, SAI, etc.).

- Ejemplo de clasi cación de activos -

Información de cada activo


Para que pueda aportar valor en la evaluación de la seguridad y en la gestión de riesgos, un inventario de activos tiene que proveer información su ciente
para futuros proyectos o incidentes, así como proporcionar una visión precisa de los valores de los mismos de forma que sea posible establecer los criterios
la realización de un análisis de riesgos.

Para ello debe recoger la información relevante de cada sistema como podría ser:

Nombre: Puede incluir modelo, marca, nombre descriptivo, etc.


Descripción: No es necesario que sea demasiado extensa, pero sí debe contener información sobre el uso del activo.
Identi cador: Código único para el activo. Debe seguir un patrón elegido por la empresa
Tipo: Recoge el grupo al que pertenece el activo.
Propietario: Todo activo debe tener un propietario. Este será el encargado de tomar decisiones como el reemplazo del mismo.
Responsable: El responsable es la persona encargada de que el activo se encuentre operativo, así como de gestionar los accesos al mismo. En muchas
ocasiones podrá coincidir con el propietario.
Ubicación: Lugar donde se encuentra físicamente el activo. Si se trata de un activo físico la ubicación será un lugar, si se trata de un activo lógico la
ubicación será un activo físico.
Valoración del activo: Valor a asignar al activo que permita evaluar su impacto en el sistema. Para ello pueden tenerse en cuenta diversos parámetros
como por ejemplo:
Disponibilidad: Valor cualitativo o cuantitativo que determine la importancia que tiene la ausencia del activo.
Integridad: Valor cualitativo o cuantitativo que determine las repercusiones para el negocio que tendría la modi cación del activo sin autorización.
Con dencialidad: Valor cualitativo o cuantitativo que determine el grado de con dencialidad que requiere el activo.
Criticidad: Valor que determina la dependencia del proceso con el activo. A mayor valor de criticidad mayores consecuencias para el negocio supone la
pérdida del activo.
Coste: Valor económico del activo.

Gestión e ciente del inventario de activos

Mantener actualizado el inventario de activos puede ser una tarea muy costosa si se realiza de forma manual por diferentes causas:

Tiempo invertido en su elaboración


Desconocimiento de componentes o instalaciones
Falta de permisos adecuados para acceder a los activos incluidos en el inventario.

Además, es una tarea propensa a errores humanos. Los datos recogidos, a menudo están incompletos y esto va empeorando la calidad del inventario con el
tiempo.

Existen en el mercado herramientas del mundo TI dedicadas al inventariado de activos (http://www.pas.com/Products-Services/Integrity-Software-


Suite/Cyber-Integrity.aspx) que facilitan la tarea de identi car y documentar todo el hardware y software residente en una red. Sin embargo, para la utilización
de este tipo de herramientas es necesario conocer correctamente su funcionamiento y el impacto que podrían tener en los equipo de control conectados a la
red. Es recomendable realizar una evaluación previa de la herramienta en entornos fuera de producción para garantizar que su funcionamiento no altera el
sistema a inventariar. El impacto en el sistema al utilizar estas herramientas, podría ser debido a la naturaleza de la información o al volumen de trá co de
red que, si bien puede ser aceptable en los sistemas de TI, no tiene por qué serlo en los sistemas de TO.

La gestión automatizada permite disponer de forma más precisa y e ciente del inventario de activos y es, sin lugar a dudas, una herramienta a tener en
cuenta tanto por razones de seguridad como por su capacidad de retorno de la inversión al permitir un sustancial ahorro en los costes relacionados con la
gestión de incidentes.

https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci 2/3
28/8/2019 Inventario de activos y gestión de la seguridad en SCI | INCIBE-CERT
Etiquetas:  Buenas prácticas (/blog/ ltro/buenas-practicas) Protección de datos (/blog/ ltro/proteccion-datos)
Sistemas de Control Industrial (/blog/ ltro/sistemas-control-industrial)

(http://www.facebook.com/sharer.php?u=https%3A//www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-
sci&t=Inventario%20de%20activos%20y%20gesti%C3%B3n%20de%20la%20seguridad%20en%20SCI)
(http://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-
sci&title=Inventario%20de%20activos%20y%20gesti%C3%B3n%20de%20la%20seguridad%20en%20SCI&summary=&source=INCIBE-CERT)
(http://twitter.com/share?url=https%3A//www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci&via=incibe-
cert_&related=&hashtags=&text=Inventario%20de%20activos%20y%20gesti%C3%B3n%20de%20la%20seguridad%20en%20SCI)
(https://web.whatsapp.com/send?
text=Inventario%20de%20activos%20y%20gesti%C3%B3n%20de%20la%20seguridad%20en%20SCI%20https%3A//www.incibe-cert.es/blog/inventario-activos-
y-gestion-seguridad-sci)

 Ir atrás

Últimas entradas
La importancia de la estrategia de ciberseguridad para la industria (/blog/importancia-estrategia-ciberseguridad-industria)
Publicado el 22/08/2019, por INCIBE
La unión de los mundos TI y TO es algo imparable, eso conlleva que la estrategia de ciberseguridad, tradicionalmente centrada en el ámbito TI, ahora debe
incluir aspectos relacionados con el mundo...

Arquitectura de red segura, las cosas en orden (/blog/arquitectura-red-segura-las-cosas-orden)


Publicado el 08/08/2019, por INCIBE
Las redes de los sistemas de control han crecido de manera desmesurada en los últimos años, algo similar a lo que sucedió con la explosión de las redes TI en
la década de los 80. Este crecimiento se...

Midiendo la severidad de las vulnerabilidades: cambios en CVSS 3.1 (/blog/midiendo-severidad-las-vulnerabilidades-cambios-cvss-


31)
Publicado el 01/08/2019, por Hugo Rodríguez Santos (INCIBE)
El framework (marco de referencia) abierto y de uso más extendido para la comunicación y puntuación de vulnerabilidades, el CVSS (Common Vulnerability
Scoring System), ha sido actualizado,...

Sistemas operativos de tiempo real, bastionado y funcionamiento (/blog/sistemas-operativos-tiempo-real-bastionado-y-


funcionamiento)
Publicado el 25/07/2019, por INCIBE
Los entornos de SCI están conformados por equipos muy heterogéneos, habiendo grandes diferencias dependiendo del sistema que estemos tratando.
Algunos de estos sistemas poseen requisitos muy...

CVSS industrial: cálculos alternativos para necesidades diferentes (/blog/cvss-industrial-calculos-alternativos-necesidades-


diferentes)
Publicado el 18/07/2019, por INCIBE
A lo largo del tiempo, diferentes comunidades de expertos relacionadas con el mundo de la ciberseguridad industrial se han dado cuenta del reto que supone
calcular el CVSS (Common Vulnerability Score...

(https://www.cert.org/) (https://www.incibe.es/sites/default/ les/certi cado_ens_incibe_20181108.pdf)

(https://www.incibe.es/sites/default/ les/certi cado_sgsi_27001_15112018.pdf)

(https://www.incibe.es/sites/default/ les/certi cado_sgc_12112018.pdf )

(http://www.mineco.gob.es/)

  (https://www.incibe.es/)

Contacto (https://www.incibe.es/contacto)

Suscripciones (/suscripciones)

Política de cookies (https://www.incibe.es/politica-cookies)

Aviso legal (https://www.incibe.es/aviso-legal)

Política de Protección de Datos Personales (https://www.incibe.es/proteccion-datos-personales)

Síguenos en:

(http
 (http://twitter.com/incibe_cert)  (http://www.youtube.com/user/intecocert) cert

https://www.incibe-cert.es/blog/inventario-activos-y-gestion-seguridad-sci 3/3

También podría gustarte