Curso completo gratis Controles CIS. Episodio 2. Control 1.2

Estimados amigos de Inseguros !!!

Seguimos con la serie de controles CIS y hoy toca el Control 1.2.
Si en el 1.1 hablábamos de tener un inventario actualizado de activos, ahora damos un paso más:

👉 ¿Qué hacemos con los activos que NO están bajo control?

Porque una cosa es tener una lista bonita de lo que conoces…
y otra muy distinta es gestionar todo lo que aparece “de sorpresa” en tu entorno.

---

Del inventario a la gestión real de activos

El Control CIS 1.2 va de esto:
siempre van a aparecer equipos, usuarios, teléfonos, VMs, servicios SaaS…
que no tenías inventariados o que no encajan en tu “foto oficial” de la organización.

El control dice que, al menos una vez por semana,
tienes que revisar y gestionar esos activos no controlados:

• ¿Los autorizo o no?

• ¿En qué red deben estar?

• ¿Qué comportamiento les permito?

• ¿Les doy acceso normal, limitado, de invitados…?

Es decir, pasamos de “sé que existe” (Control 1.1) a
“decido qué hago con él” (Control 1.2).

---

Pensar en “asset”, no solo en “equipo”

Cuando hablamos de activos, no es solo:

• una IP,

• un PC,

• o un servidor.

El parque real hoy incluye:

• Máquinas virtuales en Azure que alguien levanta “para probar algo”.

• Servicios SaaS que se conectan a nuestros datos sin que Infra pase por ahí.

• Teléfonos móviles, corporativos y BYOD.

• Usuarios que aparecen en Entra ID sin que nadie sepa muy bien quién los ha creado.

• Equipos que salen en los logs, pero no están en tu inventario “oficial”.

Un escáner de red con Nmap te ayuda a encontrar dispositivos,
pero no te va a detectar:

• un programa nuevo instalado en un endpoint,

• una aplicación SaaS conectada vía OAuth,

• o una cuenta rara en tu directorio.

Por eso este control insiste en la gestión del activo,
no solo en “ver que responde al ping”.

---

Estrategias típicas para detectar lo que no controlas

Aquí entra la parte más divertida:
¿cómo detectamos lo que no está bajo control?

Algunos enfoques que se ven mucho:

• Estrategias con DHCP

  • Reservas para los equipos “buenos” y un pool distinto para “lo desconocido”.

  • IPs fijas para ciertos dispositivos críticos y todo lo que no encaja salta como sospechoso.

• Herramientas en la nube y endpoint

  • En Entra ID → ver qué equipos están enrolados y cuáles no.

  • Con Defender for Endpoint → usar Device Discovery, Network Protection, aislamiento, etc.

  • Con Azure Arc → tener los servidores “on-prem” y cloud bajo un mismo paraguas de gestión.

• Acceso condicional y NAC (Network Access Control)

  • Dar un tratamiento distinto a los equipos que no cumplen requisitos o no están enrolados.

  • Mandarlos a otra VLAN, limitarles el acceso o ponerlos en modo “cuarentena”.

La clave es siempre la misma:
lo que no conoces, no debe comportarse como si fuera totalmente de confianza.

---

NAC y la importancia de la “foto inicial”

Cuando metemos un NAC en la ecuación, hay una tentación peligrosa:

“Lo pongo en modo ultra-restrictivo y así ya está todo seguro”.

Error.

Antes de ponerse agresivo, el NAC debe:

1. Escuchar y observar qué equipos hay y cómo se llaman.

2. Permitir que tú definas patrones del tipo:

   • “Todos los que empiezan por PC-CORP- van a la VLAN buena”.

   • “Los que siguen otro patrón, a la VLAN de invitados o aislada”.

3. Que te proponga una política basada en esa realidad inicial.

Si entras a lo loco, puedes dejar media empresa sin trabajar porque el NAC ha decidido que algo no le cuadra.
Por eso este control insiste en la gestión periódica y consciente de los activos no controlados, no en automatizar a ciegas desde el minuto uno.

---

1.1 y 1.2: el combo imprescindible

Podemos verlo así:

• Control 1.1 → “Tengo inventario”.

• Control 1.2 → “Gestiono lo que se sale del inventario y lo reviso al menos cada semana”.

Sin el 1.1, vas a ciegas.
Sin el 1.2, tu inventario se queda obsoleto en cuanto alguien enchufa algo nuevo o levanta un recurso en la nube.

Dedicarle tiempo a este control merece la pena.
Ninguna empresa es perfecta, todos tenemos “cosas raras” en la red y en el cloud,
pero la diferencia entre una organización madura y otra que va al límite es
cómo gestionan precisamente estos casos grises.

---

¿Quieres ver ejemplos y casos reales?

En el vídeo que acompaña a este post te explico el Control CIS 1.2 con más calma,
poniendo ejemplos de NAC, Entra ID, Defender, Azure Arc y escenarios reales de proyectos:

👉 Ver el vídeo completo sobre el control CIS 1.2

https://youtu.be/XPDakqiTot0

¿Te interesa profundizar en este tipo de controles?

Si quieres ver cómo encajan estos controles dentro de una estrategia completa de ciberseguridad
(inventario, hardening, monitorización, respuesta a incidentes, cloud, Microsoft, etc.),

en la Academia SeguridadSi tienes cursos donde trabajamos todo esto en detalle y con ejemplos prácticos:

👉 https://academia.seguridadsi.com

Formación para que no solo “te suenen” los controles CIS,
sino que seas capaz de aterrizarlos en tu entorno y gestionarlos semana a semana.

Gracias por seguir al otro lado, amigos de Inseguros !!!

Curso completo gratis Controles CIS. Episodio 1. Control 1.1

Estimados amigos de Inseguros !!!

Hoy vamos con el control CIS 1.1, el primero de todos… y, para mí, el primero de la ciberseguridad:
inventario actualizado y detallado de activos.

Porque seamos claros:
no podemos pretender proteger algo si ni siquiera sabemos qué tenemos que proteger.

---

Sin inventario no hay ciberseguridad

Cuando trabajo con clientes, siempre empiezo igual:
“¿Tenéis inventario real de lo que hay en vuestro entorno?”

Y muchas veces la respuesta es:

• Un Excel con “los cuatro servidores importantes”,

• alguna lista con las VLAN principales,

• y poco más.

Eso no es un inventario, es una lista aproximada de cosas que os suenan.

Otras veces me encuentro “soluciones mágicas” tipo OCS Inventory, GLPI y similares, que dependen de un agente instalado en los equipos.
Eso podía valer hace 20 años, cuando teníamos cuatro PCs y un servidor en el CPD.

Hoy el parque a defender es bastante más divertido.

---

El parque real que tenemos que proteger

Nuestro entorno ya no son solo servidores y switches:

• Móviles personales (BYOD) con el correo de empresa configurado.

• Móviles de empresa, medio gestionados, medio “como se ha podido”.

• Tablets del jefe, que “como son Apple” nadie ha enrolado,
  pero donde abre el correo, el Power BI con los KPI de ventas,
  o se trae el iPad a la oficina para escuchar el podcast de SeguridadSi.

Todo eso son activos de la organización, aunque nadie los haya metido en el Excel.

Da igual que no tengan “aplicaciones corporativas pesadas”.
Si ahí hay correo, acceso a Teams, documentos, KPIs, VPN, impresión…,
en algún momento van a tratar información sensible de la empresa.

Y no olvidemos:

• El portátil del sobrino del jefe que viene “solo a imprimir”.

• Equipos de invitados conectados a una WiFi aislada… o no tan aislada.

Todo eso existe en la red, genera tráfico y puede participar en un incidente.

---

Inventario no es “tener la IP apuntada”

El objetivo del control CIS 1.1 no es saber que tenemos:

• el switch 1,

• el firewall 1,

• el servidor SQL,

y ya.

Se trata de tener controlados todos los activos sobre los que tenemos responsabilidad:

• Qué hay conectado.

• Dónde está (VLAN, segmento, ubicación lógica).

• A quién pertenece.

• Qué expone o a qué accede (correo, ERP, SQL, ficheros, etc.).

Y, muy importante:
que el inventario sea dinámico, no una foto fija de hace dos años.

Para eso entran en juego las herramientas de descubrimiento automático:

• Escaneos de red (PING, ARP, Nmap…).

• Descubrimiento por SNMP.

• Revisión continua de qué IP/MAC aparece y desaparece en los segmentos.

La idea es que, si mañana veo que la 192.168.5.25 está sacando correo a lo loco hacia Internet porque tiene malware y está spameando,
yo pueda saber qué demonios es ese equipo, en qué red está y qué nivel de riesgo tiene.

---

¿Cómo de bien tenéis este control?

Me gusta simplificar la evaluación del control CIS 1.1 en tres niveles:

• Poco implementado → listas parciales, Excel desactualizado, agentes en algunos equipos y muchísimos activos “fantasma”.

• La mitad implementado → buen inventario de servidores y CPD, algo de control sobre equipos corporativos, pero BYOD, móviles, tablets y dispositivos “raros” quedan fuera.

• Muy implementado → inventario dinámico, descubrimiento automático, BYOD bajo control (al menos identificado y segmentado), y capacidad de responder rápido a la pregunta:
  “Este equipo/IP, ¿qué es, de quién es y qué toca?”

Haced un autodiagnóstico honesto de cómo tenéis este control antes de seguir con los demás.
Sin inventario, el resto de la ciberseguridad es ir a ciegas.

---

¿Quieres profundizar más?

En el vídeo que acompaña a este post explico todo esto con más ejemplos y casos reales de proyectos:

👉 Ver el vídeo completo sobre el control CIS 1.1  

https://youtu.be/0R9iQkicxMg

---

¿Y si quieres ir más allá?

Si este tema te toca de cerca y quieres trabajar los controles, el inventario, la monitorización y la respuesta a incidentes de forma profesional,
en la Academia SeguridadSi tienes cursos donde vemos todo esto aplicado al día a día de una empresa:

👉 https://academia.seguridadsi.com

Cursos prácticos, orientados a entorno real, para que pases de “sé que debería tener inventario” a “tengo el entorno controlado y sé qué estoy protegiendo”.

Gracias por leerme, amigos de Inseguros !!!