Estimados amigos de Inseguros !!!
Hoy vamos con el control CIS 1.1, el primero de todos… y, para mí, el primero de la ciberseguridad:
inventario actualizado y detallado de activos.
Porque seamos claros:
no podemos pretender proteger algo si ni siquiera sabemos qué tenemos que proteger.
Sin inventario no hay ciberseguridad
Cuando trabajo con clientes, siempre empiezo igual:
“¿Tenéis inventario real de lo que hay en vuestro entorno?”
Y muchas veces la respuesta es:
-
Un Excel con “los cuatro servidores importantes”,
-
alguna lista con las VLAN principales,
-
y poco más.
Eso no es un inventario, es una lista aproximada de cosas que os suenan.
Otras veces me encuentro “soluciones mágicas” tipo OCS Inventory, GLPI y similares, que dependen de un agente instalado en los equipos.
Eso podía valer hace 20 años, cuando teníamos cuatro PCs y un servidor en el CPD.
Hoy el parque a defender es bastante más divertido.
El parque real que tenemos que proteger
Nuestro entorno ya no son solo servidores y switches:
-
Móviles personales (BYOD) con el correo de empresa configurado.
-
Móviles de empresa, medio gestionados, medio “como se ha podido”.
-
Tablets del jefe, que “como son Apple” nadie ha enrolado,
pero donde abre el correo, el Power BI con los KPI de ventas,
o se trae el iPad a la oficina para escuchar el podcast de SeguridadSi.
Todo eso son activos de la organización, aunque nadie los haya metido en el Excel.
Da igual que no tengan “aplicaciones corporativas pesadas”.
Si ahí hay correo, acceso a Teams, documentos, KPIs, VPN, impresión…,
en algún momento van a tratar información sensible de la empresa.
Y no olvidemos:
-
El portátil del sobrino del jefe que viene “solo a imprimir”.
-
Equipos de invitados conectados a una WiFi aislada… o no tan aislada.
Todo eso existe en la red, genera tráfico y puede participar en un incidente.
Inventario no es “tener la IP apuntada”
El objetivo del control CIS 1.1 no es saber que tenemos:
-
el switch 1,
-
el firewall 1,
-
el servidor SQL,
y ya.
Se trata de tener controlados todos los activos sobre los que tenemos responsabilidad:
-
Qué hay conectado.
-
Dónde está (VLAN, segmento, ubicación lógica).
-
A quién pertenece.
-
Qué expone o a qué accede (correo, ERP, SQL, ficheros, etc.).
Y, muy importante:
que el inventario sea dinámico, no una foto fija de hace dos años.
Para eso entran en juego las herramientas de descubrimiento automático:
-
Escaneos de red (PING, ARP, Nmap…).
-
Descubrimiento por SNMP.
-
Revisión continua de qué IP/MAC aparece y desaparece en los segmentos.
La idea es que, si mañana veo que la 192.168.5.25 está sacando correo a lo loco hacia Internet porque tiene malware y está spameando,
yo pueda saber qué demonios es ese equipo, en qué red está y qué nivel de riesgo tiene.
¿Cómo de bien tenéis este control?
Me gusta simplificar la evaluación del control CIS 1.1 en tres niveles:
-
Poco implementado → listas parciales, Excel desactualizado, agentes en algunos equipos y muchísimos activos “fantasma”.
-
La mitad implementado → buen inventario de servidores y CPD, algo de control sobre equipos corporativos, pero BYOD, móviles, tablets y dispositivos “raros” quedan fuera.
-
Muy implementado → inventario dinámico, descubrimiento automático, BYOD bajo control (al menos identificado y segmentado), y capacidad de responder rápido a la pregunta:
“Este equipo/IP, ¿qué es, de quién es y qué toca?”
Haced un autodiagnóstico honesto de cómo tenéis este control antes de seguir con los demás.
Sin inventario, el resto de la ciberseguridad es ir a ciegas.
¿Quieres profundizar más?
En el vídeo que acompaña a este post explico todo esto con más ejemplos y casos reales de proyectos:
👉 Ver el vídeo completo sobre el control CIS 1.1
¿Y si quieres ir más allá?
Si este tema te toca de cerca y quieres trabajar los controles, el inventario, la monitorización y la respuesta a incidentes de forma profesional,
en la Academia SeguridadSi tienes cursos donde vemos todo esto aplicado al día a día de una empresa:
👉 https://academia.seguridadsi.com
Cursos prácticos, orientados a entorno real, para que pases de “sé que debería tener inventario” a “tengo el entorno controlado y sé qué estoy protegiendo”.
Gracias por leerme, amigos de Inseguros !!!
