Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Guía para la gestión de un inventario de activos en sistemas de control industrial

Fecha de publicación 12/03/2020
Autor
INCIBE (INCIBE)
imagen decorativa

¿Podemos proteger aquello que desconocemos?

¿Cuál debería de ser el primer paso a la hora de proteger nuestros activos?

Habitualmente no se plantean estas cuestiones, a pesar de que las organizaciones cada vez están más concienciadas e implementan cada vez más medidas de seguridad para elevar el nivel de ciberseguridad de sus dispositivos y redes, lo que supone un problema recurrente: el desconocimiento del total de activos y su respectivo alcance.

Este desconocimiento dificulta un despliegue de medidas de seguridad que abarque todos y cada uno de los elementos de la organización, por lo que es conveniente definir qué queremos proteger, dónde se encuentra y qué alcance posee, así como cualquier otra información adicional de interés que pueda resultar de utilidad, ya que cuanta más información se tenga, más acertada será la toma de decisiones y más efectiva serán los planes de protección de los mismos en particular y de la organización en general.

Es conveniente elaborar un inventario de activos como primera medida en la ejecución de un plan para la gestión de la ciberseguridad. Para ello, existen numerosas herramientas, tanto de código abierto como comerciales, además de diferentes tipos de inventarios y de implementaciones.

Independientemente de las opciones elegidas, han de seguirse unos pasos a la hora de su elaboración que faciliten la tarea, estos van desde la definición del alcance hasta la revisión y mantenimiento del mismo.

pasos para el inventario de activos en SCI

En los sistemas de control industrial el inventario de activos también resulta de utilidad, al ofrecer una visión global de todos los elementos implicados en el proceso, lo cual contribuye a la hora de: gestionar sus vulnerabilidades, dar respuesta a incidentes de forma más eficiente y estructurada e identificar fallos a nivel operativo, así como la reducción de costes que todo ello implica.

A través de esta guía se pretende proporcionar los conocimientos básicos que sirvan de punto de partida para la elaboración de un inventario de activos. En ella encontrarás:

  • Introducción al inventario de activos como forma de resolver la problemática del desconocimiento de sus propios activos por parte de las organizaciones.
  • Ventajas que ofrece el inventario de activos, así como los tipos existentes y las diferentes implementaciones posibles, manuales, automáticas y mixtas.
  • Gestión de activos mediante la clasificación de los mismos en función de su naturaleza y qué información será útil recopilar para cada uno de ellos.
  • Repaso por las diferentes herramientas disponibles para llevar a cabo la realización de esta tarea, tanto de código abierto como propietarias.
  • Pasos necesarios para la creación de un inventario de activos desde cero, ya que la gran cantidad de dispositivos requiere de un orden y unas pautas que reduzcan las posibles dificultades.
  • Mantenimiento del inventario. Una vez realizado es importante fijar una continuidad para la actualización del mismo, ya que un inventario desactualizado no es fiel a la realidad y, por tanto, pierde su utilidad.
  • Conclusiones donde se pone en valor la utilidad del inventario de activos en los sistemas de control industrial.

La guía completa se puede descargar en el siguiente enlace: