CIS CONTROLS #02 Control de Inventario y Control de Activos de Software

El Control 02 de CIS Control v8 se refiere al \”Control de inventario y control de activos de software\”. Este control se centra en establecer un inventario preciso y completo de todos los activos de hardware y software en la organización, para comprender y gestionar adecuadamente los riesgos asociados a estos activos. Estos subcontroles buscan asegurar que la organización tenga una visibilidad completa de sus activos de hardware y software, para poder administrarlos de manera eficiente y mitigar los riesgos asociados a ellos, como la falta de parches de seguridad, el uso de software no autorizado o la pérdida de activos físicos

Existen subcontroles asociados al Control 02, que son los siguientes:

2.1: Mantener un inventario de activos autorizados.

2.2: Mantener un inventario de software autorizado.

2.3: Mantener un inventario actualizado de  software.

2.4: Realizar un seguimiento de los activos en tiempo real.

2.5: Establecer y aplicar políticas y procedimientos para administrar activos durante su ciclo de vida.

2.6: Establecer un proceso para la adquisición y aprobación de activos.

2.7: Mantener registros de transferencia de activos.

2.8: Realizar inventarios periódicos de activos y comparar los resultados con los registros.

 

A continuación, te explicamos por qué el Control 02 es importante que deba ser implementado en tu organización:

 

Implementar el Control 02 de CIS Controls v8, que se centra en el inventario y control de activos de software, es importante por varias razones:

1. Gestión de riesgos: Un inventario preciso y completo de los activos de hardware y software permite a tu organización comprender y gestionar adecuadamente los riesgos asociados a estos activos. Identificar y categorizar los activos críticos ayudara a priorizar las medidas de seguridad y asignar recursos de manera efectiva para protegerlos.

1. Seguridad de la información: El control de inventario de activos contribuye a la seguridad de la información al garantizar que se apliquen controles adecuados a todos los activos relevantes. Si no se tiene un inventario actualizado, podría haber activos desprotegidos o no gestionados correctamente, lo que aumenta el riesgo de brechas de seguridad y acceso no autorizado.

1. Licencias de software: Mantener un inventario de software autorizado ayuda a garantizar que se cumplan las licencias y los términos de uso de los productos de software. Esto evita el uso de software no autorizado, que podría ser una violación legal y también podría contener vulnerabilidades de seguridad no parchadas.

1. Gestión de cambios: El control de inventario de activos proporciona una base sólida para la gestión de cambios. Con un inventario actualizado, es más fácil realizar un seguimiento de los cambios realizados en los activos, como actualizaciones de software, cambios de configuración o adiciones de hardware. Esto facilita la detección de desviaciones no autorizadas o no planeadas en el entorno de TI.

1. Cumplimiento normativo: Muchas regulaciones y marcos de cumplimiento exigen un inventario de activos. Al implementar el Control 02, la organización está cumpliendo con los requisitos de cumplimiento normativo, lo que puede evitar sanciones legales y mejorar la imagen de la empresa ante los clientes y socios comerciales.

 

Como implementar el control 02 de CIS CONTROLS

 

Aquí presentamos algunos pasos para implementar este control:

 

1. Realiza un inventario de todos los sistemas: Comienza por realizar un inventario completo de todos los sistemas de software utilizados en tu organización. Esto incluye servidores, estaciones de trabajo, dispositivos de red, sistemas operativos, aplicaciones y cualquier otro componente relevante.
2. Establece estándares de configuración segura: Define estándares de configuración segura para cada tipo de sistema. Estos estándares deben basarse en las mejores prácticas de seguridad y deben incluir configuraciones específicas para proteger los sistemas contra amenazas conocidas.
3. Implementa una política de configuración segura: Desarrolla y adopta una política de configuración segura que establezca los requisitos y las directrices para la configuración de todos los sistemas. Esta política debe abordar aspectos como contraseñas seguras, actualizaciones de software, permisos de acceso, configuración de cortafuegos y políticas de seguridad de red.
4. Automatiza la implementación de configuraciones seguras: Utiliza herramientas y soluciones de automatización para implementar las configuraciones seguras en todos los sistemas. Esto puede incluir el uso de herramientas de administración de configuración, scripts o políticas de grupo para aplicar configuraciones de forma centralizada y consistente.
5. Realiza evaluaciones periódicas de cumplimiento: Establece un programa de evaluaciones periódicas para verificar que todas las configuraciones sigan siendo seguras y estén en cumplimiento con los estándares establecidos. Esto puede incluir el uso de herramientas de evaluación de cumplimiento, auditorías internas o pruebas de penetración.
6. Documenta y gestiona los cambios de configuración: Mantén un registro de los cambios de configuración realizados en los sistemas y asegúrate de documentar adecuadamente los cambios significativos. Implementa un proceso de gestión de cambios para controlar y aprobar cualquier cambio en la configuración de los sistemas.
7. Capacita al personal en configuraciones seguras: Proporciona capacitación y concientización sobre la importancia de las configuraciones seguras a todo el personal de la organización. Esto incluye educar a los empleados sobre las mejores prácticas de seguridad y la importancia de mantener las configuraciones seguras en todos los sistemas.

 

Recuerda que estos son solo pasos generales para implementar el Control 02 de CIS. Cada organización puede tener necesidades y consideraciones específicas. En caso de requerir ayuda, no dudes en tomar contactos con nosotros, en Virtual Secure tenemos asesores especialistas, herramientas y softwares para hacer que esta tarea sea más ligera para ti y tu organización.