Curso completo ciberseguridad gratis Controles CIS. Control 5.1

 Estimados amigos de Inseguros !!!

Hoy arrancamos el control 5 de los CIS, que va de account management. Gestión de cuentas. Y ojo, porque aquí conviene separar dos mundos: una cosa es la cuenta (quién existe) y otra cosa es el acceso (qué puede hacer). El acceso lo veremos en el 6. Aquí, primero, orden.

El 5.1 es establecer y mantener un inventario de cuentas. Parece obvio, pero en la práctica falla muchísimo. Porque todos creemos que “sabemos” qué usuarios hay… hasta que aparece el primer incidente, o el primer auditor, y te das cuenta de que tienes cuentas desperdigadas por todas partes.

El inventario puede empezar en un Excel, sí. No es sostenible a largo plazo, pero para aterrizar el control, vale. Lo que no vale es no tener nada o tener “algo” que no refleja la realidad.

En un entorno Active Directory esto es relativamente sencillo: tienes el dominio, tienes usuarios, tienes datos básicos, altas/bajas, departamento, correo, etc. Pero el problema real empieza cuando tu mundo ya no es solo AD.

Hoy casi todas las empresas están en híbrido. Tienes Entra ID, tienes Microsoft 365, y de repente aparecen usuarios que no son “del dominio”, pero existen. Colaboradores, comerciales, cuentas que solo necesitan correo, o gente que entra a un SaaS concreto. Y ahí ya no te vale decir “yo miro el AD”.

Y ahora viene el clásico que siempre pongo: SaaS sin SSO. HubSpot, Canva, herramientas de marketing, plataformas externas… y usuarios creados ahí dentro con su email corporativo, pero sin federación, sin control central, y muchas veces sin que IT lo tenga inventariado de verdad. Parece un control flojo, pero es justo lo contrario: aquí es donde se te cuelan cuentas que nadie gobierna.

Por eso el 5.1 no va de “tener un directorio centralizado” todavía. Eso lo veremos más adelante en el 5.6. Aquí lo que te pide es identificar fuentes y consolidar inventario: usuarios del dominio, usuarios de M365/Entra, y usuarios de SaaS críticos. Aunque sea con una lista. Aunque sea feo. Pero que exista.

Y además, acuérdate de las cuentas de servicio. En muchas empresas se sabe quién es “Juan” y “María”, pero nadie sabe qué demonios es la cuenta MSOL_XXXX, o la cuenta que se creó para levantar un servicio, o la cuenta que usa el firewall para sincronizar con el directorio, o esa cuenta a la que le dieron permisos que hoy nadie recuerda. Esto lo veremos más en el 5.5, pero te lo dejo sembrado porque es de lo que más mordiscos da.

Y te dejo una frase que te va a ahorrar discusiones: el 5.1 no es para “cumplir un papel”. Es para poder responder rápido cuando algo pasa. Si mañana aparece una cuenta rara, o un acceso raro, o un login desde un país que no toca, lo primero que necesitas es saber si esa cuenta existe, de dónde viene, quién es el dueño, y si debería existir.

Esto, en el fondo, es identidad. Y la identidad hoy es el perímetro. Si te interesa aprenderlo bien, con enfoque real de empresa, en www.seguridadsi.com tienes cursos de ciberseguridad para profesionales donde trabajamos temas como inventario de identidades, hardening en Active Directory y Entra ID, y control práctico de cuentas y accesos en entornos Microsoft.

Gracias por leerme !!!