Curso completo ciberseguridad gratis Controles CIS. Control 7.1

 Estimados amigos de Inseguros !!!

Arrancamos el tema 7 de los controles CIS, y aquí entramos en un clásico de cualquier programa serio de ciberseguridad en empresas: la gestión continua de vulnerabilidades. Y lo primero que quiero dejar claro es esto: la gestión de vulnerabilidades no es “pasar un escáner” y ya. Eso es una parte. Lo difícil, lo que de verdad marca la madurez, es el proceso.

El control 7.1 va precisamente de eso: establecer el proceso. Definir el programa. Quién es responsable, quién lo ejecuta, quién lo revisa, cada cuánto se revisa, y con qué alcance. Porque no es lo mismo escanear servidores que endpoints, red, cloud o aplicaciones. Y no es lo mismo buscar vulnerabilidades en un Apache de un Ubuntu que controlar vulnerabilidades dentro de tus aplicaciones, tus dependencias y tus componentes.

Aquí entra un concepto que cada vez es más importante: SBOM (Software Bill of Materials). Es decir, saber qué piezas estás usando dentro de tu software. Porque muchas veces el problema no es “tengo un servidor vulnerable”, sino “estoy usando una librería vulnerable en diez sitios y no lo sé”. Y eso cambia totalmente cómo detectas y cómo respondes.

También hay que definir las fuentes de detección. Sí, puedes tener herramientas tipo Qualys, Nessus/Nexpose, OpenVAS y similares para infraestructura. Pero luego puedes tirar de escáneres web con Burp o ZAP, puedes integrar con repositorios (GitHub, pipelines) y hasta apoyarte en capacidades del propio ecosistema para ver versiones y exposición. El 7.1 no te obliga a una herramienta concreta. Te obliga a que la película tenga sentido.

Y luego está lo que casi nadie quiere escribir, pero es lo que separa “hacer informes” de “hacer seguridad”: reporting y excepciones. Porque siempre te va a salir software legacy que no puedes cambiar, vulnerabilidades que no puedes resolver hoy, y cosas que, por operación, se quedan un tiempo. Entonces, ¿qué haces? ¿te alertas todos los días y te acostumbras al ruido? ¿o defines un proceso de excepciones, con revisión, con caducidad, con aceptación consciente del riesgo? Eso también es 7.1.

La parte bonita llega cuando lo integras con el resto: inventario automático, SIEM, tickets, parcheo. Detectas un activo nuevo, lo metes en inventario, lo escaneas, y lo incorporas al flujo de remediación. Y aquí ya empiezas a jugar en otra liga, porque dejas de depender de “a ver si me acuerdo”.

Si te interesa aprender a montar un programa real de gestión de vulnerabilidades (alcance, roles, SBOM, escaneo en infraestructura y aplicaciones, reporting, excepciones y remediación), en www.seguridadsi.com tienes cursos de ciberseguridad online para profesionales, orientados a entornos corporativos y a procesos que funcionan de verdad.

Gracias por leerme !!!