Curso completo ciberseguridad gratis Controles CIS. Control 2.3

 Estimados amigos de Inseguros !!!

Seguimos con el capítulo 2 de los CIS, y hoy toca el control 2.3: gestionar el software no autorizado. Este control es curioso porque mucha gente se lo imagina como “pon una herramienta y ya”, y no. Aquí todavía estamos más en la parte de decisión y respuesta que en la parte de herramienta.

La película es muy simple. Tú ya has hecho el 2.1 y el 2.2: inventario de software, soporte, legacy, excepciones, justificaciones. Ya tienes tu “lista de lo permitido”. Perfecto. Pues ahora viene la pregunta incómoda: ¿qué haces cuando aparece algo que no está permitido?

Porque esto pasa todos los días. Te sientas en el puesto de un usuario, revisas, y de repente ves un iconito que no debería estar ahí. Un chat, un “programita”, un instalador raro, un cliente de lo que sea. Da igual si es “por soporte” (no cumple el 2.2) o simplemente porque tu organización no lo permite. El punto es que es no autorizado.

Y aquí es donde la gente se equivoca: no todo es “cortar cabezas” ni todo es “no pasa nada”. El 2.3 te obliga a definir qué respuesta vas a tener. Qué haces tú, como organización, cuando detectas software no autorizado. Se borra, se pone en cuarentena, se bloquea para el futuro, se investiga si hay intención o ignorancia, se registra el caso, se eleva si es reincidente. Y en algunos casos, también se pregunta algo que casi nadie pregunta: ¿por qué lo necesita? ¿qué proceso de negocio está tapando esa aplicación?

Porque puede ocurrir que el usuario haya instalado algo porque no tiene alternativa oficial. Y ahí tienes dos caminos: o lo quitas y punto, o lo quitas y además corriges el origen del problema. Si no haces lo segundo, te va a volver a aparecer, pero con otro iconito diferente.

A nivel práctico, las respuestas típicas suelen ser bastante directas. Se elimina la aplicación. Se toma el binario y se mete en políticas de bloqueo (por hash, por editor, por regla, según tu stack). Se prepara una acción para que tu gestión de endpoints (Intune, Configuration Manager o lo que uses) lo detecte y lo desinstale si vuelve a aparecer. Y si alguien quiere que se quede, entonces que haya una justificación formal, con responsable, y con condiciones claras.

Esto no es todavía el control donde nos volvemos locos con herramientas. Eso viene después, cuando hablemos de cómo descubrirlo mejor y cómo bloquearlo de forma sistemática. El 2.3 es, sobre todo, de definición: qué está permitido, qué no, y qué haces cuando lo no permitido aparece en tu inventario real.

Y si quieres aprender a montar estos controles con mentalidad de empresa, sin humo, y con ejemplos aplicables en entornos reales, pásate por www.seguridadsi.com y échale un ojo a los cursos de la academia.

Gracias por leerme