Volver al control
Parcial
Aviso del auditor
El equipo entregó este recurso como respuesta a la solicitud de inventario de activos. Se trata de una hoja de Google Sheets mantenida individualmente por el Desarrollador Fullstack desde 2024, sin propietario asignado por activo, sin clasificación de información y sin frecuencia formal de revisión. La última edición documentada es de hace 13 meses.
OmniControl S.A.S — Documento corporativo
Inventario de Activos de Información
Hoja de cálculo entregada por el equipo técnico — única fuente de verdad existente
Código
INV-ACT-2024
Versión
Sin versionado formal
Aprobado por
C. Gutiérrez (mantenedor de facto)
Fecha aprobación
—
Clasificación:
Interna
inventario_activos.xlsx — Google Sheets
Carlos A. Gutiérrez Última edición: 4 mar 2025 Compartido con: solo el propietario
| # | Nombre | Tipo | Ubicación | Comentarios |
|---|---|---|---|---|
| 2 | ERP frontend | Aplicación | AWS S3 + CloudFront | |
| 3 | ERP backend | Aplicación | AWS ECS | |
| 4 | PostgreSQL prod | Base de datos | RDS us-east-1 | |
| 5 | PostgreSQL staging | Base de datos | RDS us-east-1 | |
| 6 | Bucket uploads | Storage | S3 omnicontrol-prod-uploads | |
| 7 | Repositorio GitHub | Código fuente | github.com/omnicontrol-co/omnicontrol-erp | |
| 8 | Bot WhatsApp soporte | Integración | Twilio | Pendiente migrar |
| 9 | Wialon GPS | Integración | API externa | Token vence 2024 |
| 10 | DIAN integración | Integración | vpfe.dian.gov.co | |
| 11 | RNDC integración | Integración | rndcwebservices.mintransporte.gov.co | |
| 12 | Sentry | Observabilidad | sentry.io | |
| 13 | CloudWatch | Observabilidad | AWS | |
| 14 | Dominio omnicontrol.co | Dominio | GoDaddy | Renueva julio 2025 |
| 15 | AWS Secrets Manager | Secretos | AWS | |
| 16 | Email corp Google Workspace | Servicio | ||
| 17 | Pagos Wompi | Integración | API externa | |
| 18 | Notificaciones SES | Servicio | AWS | |
| 19 | Backups automáticos | Backup | AWS Backup |
Total de filas: 18 · Última fila editada: 4 mar 2025 a las 11:42 · Sin propietario por activo · Sin clasificación · Sin criticidad · Sin valoración de impacto
Análisis del auditor
La hoja entregada cumple parcialmente con A.8.1 ISO 27002:2022. Se identifican las siguientes brechas:
- Cobertura incompleta: faltan al menos 7 activos críticos identificados durante la auditoría (ver sección de faltantes abajo).
- Sin metadatos esenciales: no se asigna propietario por activo, no se clasifica la información (Pública / Interna / Confidencial / Restringida) ni se estima criticidad (impacto vs probabilidad).
- Sin gobernanza: mantenida individualmente por el Desarrollador Fullstack, sin proceso formal de revisión, sin comité que valide cambios.
- Stale: última edición hace 13 meses — los activos agregados desde entonces no fueron registrados.
Activos críticos NO inventariados (detectados durante la auditoría)
- 01Módulo de nómina electrónica (en producción desde 2025-09)
- 02Certificado digital DIAN (custodiado en KMS pero no inventariado)
- 03Llave KMS dian-firma-electronica + omnicontrol-rds-prod + omnicontrol-secrets-default
- 04Dominio app.omnicontrol.co + api.omnicontrol.co (subdominios productivos)
- 05Repositorio omnicontrol-erp-mobile (PoC de app móvil iniciado en febrero)
- 06Repositorio omnicontrol-infra (Terraform — credenciales gestionadas aquí)
- 07Bot Slack #incidentes-prod (webhook hardcodeado en .env del repo)
Implicación: sin inventario completo y mantenido, los controles dependientes (Threat Modeling P-02, Patch Management, clasificación de información Ley 1581) no pueden operar correctamente. La inexistencia del activo "Llave KMS dian-firma-electronica" en el inventario es particularmente grave dada su clasificación Catastrófica en la Matriz de Partes Interesadas.