CIF-02 - Inventario de Activos

🎯 Objetivo del Control

Mantener un inventario completo y actualizado de todos los activos desplegados en entornos cloud para gestión, seguridad y optimización de costos.

📋 Descripción

Este control establece el registro de activos cloud:

• Inventario automatizado de recursos
• Clasificación y etiquetado
• Monitoreo de costos
• Detección de recursos huérfanos
• Auditoría de cambios

🛡️ Controles Requeridos

Tipos de Activos Cloud

Compute:

• VMs / Instancias (EC2, Azure VM, GCE)
• Contenedores (ECS, AKS, GKE)
• Serverless functions (Lambda, Azure Functions)
• Kubernetes clusters

Storage:

• Object storage (S3, Blob Storage, Cloud Storage)
• Block storage (EBS, Managed Disks)
• File shares (EFS, Azure Files)
• Databases (RDS, SQL Database, Cloud SQL)

Networking:

• VPCs / Virtual Networks
• Subnets
• Load balancers
• VPN gateways
• NAT gateways

Security:

• Security groups / NSGs
• Firewalls
• Key vaults / Secret managers
• Identity providers

Otros:

• CDNs
• DNS zones
• API gateways
• Message queues

Sistema de Etiquetado (Tagging)

Etiquetas obligatorias para todos los recursos:

• Environment: prod, staging, dev, qa
• Owner: email del responsable
• CostCenter: departamento/proyecto
• Application: nombre de aplicación
• ManagedBy: terraform, manual, automation
• DataClassification: public, internal, confidential, restricted
• Criticality: low, medium, high, critical
• BackupRequired: yes, no

Inventario Automatizado

• Herramientas de asset discovery en cloud
• Sincronización con CMDB
• Recolección diaria de inventario
• API de CSP para consultas en tiempo real
• Infrastructure as Code (IaC) como fuente de verdad

Recursos Huérfanos

Identificación y limpieza de:

• VMs detenidas >30 días
• Discos no asociados
• Snapshots antiguos (>90 días)
• IPs elásticas sin uso
• Load balancers sin backend
• Seguridad groups sin uso

Gestión de Costos

• Dashboard de costos por servicio
• Alertas de presupuesto
• Optimización de right-sizing
• Identificación de recursos sobre-provisionados
• Reserved instances / Savings plans

📊 Métricas e Indicadores

• Número total de activos por tipo
• Recursos sin etiquetas requeridas
• Costo por etiqueta (CostCenter, Application)
• Recursos huérfanos detectados
• Tasa de cumplimiento de tagging (objetivo: >95%)

🔗 Herramientas Recomendadas

• Multi-Cloud Inventory: CloudQuery, Steampipe, Terraform Cloud
• CMDB: ServiceNow, Device42, Jira Assets
• Cost Management: CloudHealth, Flexera, AWS Cost Explorer, Azure Cost Management
• Tagging Enforcement: AWS Config, Azure Policy, GCP Organization Policy
• IaC: Terraform, Pulumi, AWS CDK

📚 Referencias

• Matriz de Controles de Nube
• Inventario y Ciclo de Vida de Llaves
• ISO 27001:2022 - A.5.9, A.8.1
• CIS Controls v8 - Control 1 (Inventory of Assets)

✅ Checklist de Implementación

• Sistema de etiquetado definido y comunicado
• Herramienta de inventario automatizado implementada
• Políticas de tagging obligatorias (AWS Config/Azure Policy)
• Integración con CMDB configurada
• Dashboard de inventario y costos
• Alertas de recursos sin etiquetas
• Proceso de limpieza de recursos huérfanos
• Auditoría mensual de cumplimiento de tagging
• Optimización de costos (right-sizing)
• Documentación de estándares de tagging

Última modificación: 24 de noviembre de 2025