Curso completo ciberseguridad gratis Controles CIS. Control 2.1

Estimados amigos de Inseguros !!!

Seguimos con los controles CIS, y hoy arrancamos el capítulo 2 con el control 2.1: establecer y mantener un inventario de software. Para mí, de los más importantes. Lo mismo que decíamos con el 1.1 de activos: si no sé lo que tengo que proteger, no puedo protegerlo. Con el software pasa exactamente igual.

Y aquí siempre me pasa lo mismo cuando hago auditorías: “sí sí, tenemos inventario”. Vale. ¿Cómo? “Un Excel”. Y yo siempre digo lo mismo: inventario, 2 puntos… miéntenme. No porque el Excel esté “mal” para empezar, sino porque normalmente ese Excel no sirve para operar. Pero ojo: en el 2.1 todavía estamos en el nivel básico. Aún no te está pidiendo autodescubrimiento. De hecho, eso aparece más adelante (por ejemplo en el 2.4). Así que venga, te compro el Excel… de momento. Pero con calidad.

El problema del inventario de software es que no es solo “lo que veo en red”. Detectar cosas TCP/IP es relativamente fácil: lo pones en el gateway, miras tráfico, ves servicios. Pero el software instalado en endpoints y servidores, el cliente-servidor que corre local, el ejecutable que alguien se bajó, el script que alguien usa para automatizar… eso no siempre canta en red. Y si no lo inventarías bien, luego te comes la sorpresa.

¿Y qué tiene que tener un inventario decente? No solo “nombre del programa”. Mínimo: título, fabricante, fecha de instalación, dónde está instalado, qué mecanismo de actualización tiene, y algo que casi nadie pone y es clave: la justificación de negocio. Por qué existe esa aplicación. Quién la necesita. Para qué proceso. Porque cuando tú tienes esa justificación, luego puedes hacer cosas útiles: baselines por departamentos. Contabilidad tiene su pool de apps típicas. Marketing las suyas. IT las suyas. Y lo demás, fuera del baseline, ya empieza a oler.

Y aquí además hay un detalle que cada vez pesa más: no es solo “aplicaciones”. También scripts, y cada vez más, componentes y librerías. Porque luego pasa lo que pasa: aparece una vulnerabilidad gorda en un componente, y tú no sabes dónde lo consumes, quién lo usa, ni qué versión tienes repartida por la organización. Eso ya se trata en otras capas (desarrollo, parcheo, etc.), pero el punto de partida vuelve a ser el mismo: inventario.

La idea del 2.1 es muy simple: ten inventario con propósito. No para cumplir un papel. Para poder aplicar controles después: listas de autorizados, gestión de no autorizados, hardening de instalaciones, control de cambios, y todo lo que viene en cascada en el control 2.

Y si quieres aprender esto con mentalidad de empresa, sin humo y aplicado a entornos reales, pásate por www.seguridadsi.com y échale un ojo a los cursos de la academia.