Curso completo ciberseguridad gratis Controles CIS. Control 2.5-2.7

 Estimados amigos de Inseguros !!!

Seguimos con el capítulo 2 de los controles CIS y hoy juntamos tres controles que, cuando los haces bien, notas el cambio de madurez de una organización: 2.5, 2.6 y 2.7. En castellano rápido: lista blanca de software, lista blanca de librerías y lista blanca de scripts. O dicho de otra forma: no vale con “inventariar” y “detectar”. Hay que decidir qué se puede ejecutar y qué no.

Aquí siempre pongo el mismo ejemplo tonto, pero funciona. Si yo te digo que quiero hacer dieta y todas las noches me voy al Burger, pues amigo… la dieta no va a ir bien. Con el software pasa igual. Puedes tener inventario, SIEM, tickets y mil controles, pero si cualquiera puede instalar lo que le da la gana, vas a ir siempre detrás del problema.

El 2.5 va de esto: define el software autorizado y bloquea el resto. Y no me refiero a “prohibir por prohibir”, me refiero a operar. Si una aplicación es necesaria para negocio, se autoriza, se gestiona, se actualiza y se monitoriza. Si no está autorizada, fuera. Si alguien la necesita, se justifica y se mete en el circuito. Si no, lo que tienes es Shadow IT disfrazado de “necesidad”.

En Windows esto se aterriza muy bien con control de aplicaciones. Históricamente se usó AppLocker (que ayudó mucho), pero hoy lo serio es tirar a modelos más robustos tipo Windows Defender Application Control (WDAC), que te permite subir el control a niveles más difíciles de saltarse. Y aquí el matiz importante es cómo haces la allowlist: por publisher/firmas/condiciones, no solo por hash o por ruta, porque si lo haces mal acabas en un infierno de mantenimiento o, peor, en una falsa sensación de seguridad.

El 2.6 baja un nivel y a mucha gente se le olvida: librerías. No solo es “instalé una app”, es “qué dependencias trae esa app”, “qué versiones estoy usando”, “qué paquetes están metiendo por detrás”. Y aquí es donde luego te comes el susto cuando sale una vulnerabilidad gorda en una librería común y nadie sabe dónde se está usando. Si quieres controlar software de verdad, tienes que empezar a pensar en componentes, paquetes, dependencias y repositorios autorizados, sobre todo en entornos donde hay mucho desarrollo, automatización o herramientas que se actualizan solas.

Y el 2.7 remata el triángulo con scripts. Porque hoy una intrusión no siempre empieza con “un EXE malicioso”. Muchas veces empieza con un PowerShell, un VBScript, un Python, un bash, un “me he bajado esto de GitHub y lo ejecuto”, o un script que alguien dejó por ahí “para hacer una cosa rápida”. Esto es gasolina. Y si no lo controlas, te va a dar dolores de cabeza. Aquí la idea práctica es: quién puede ejecutar scripts, en qué equipos, desde dónde, con qué firmas, con qué controles, y con qué visibilidad. Y si no puedes firmar todo todavía, al menos acota: reduce intérpretes donde no hacen falta, limita permisos, y apóyate en tus herramientas de endpoint para detectar y bloquear lo raro.

Todo esto suena duro, pero en realidad es lo que separa “tenemos ciberseguridad” de “tenemos operativa de ciberseguridad”. Inventario sin control es un catálogo. Control sin inventario es caos. Y cuando juntas inventario (2.1–2.4) con allowlisting de apps, librerías y scripts (2.5–2.7), ya puedes construir un entorno donde las sorpresas bajan mucho.

Y si te interesa aprender esto aplicado a empresas, con ejemplos reales (control de aplicaciones, WDAC, inventario automático, Shadow IT y cómo aterrizar controles CIS en entornos Microsoft y mixtos), pásate por www.seguridadsi.com y échale un ojo a los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme?