Control 1: Inventario y control de activos empresariales

Control 1: Inventario y Control de Activos Empresariales

(CIS Control 1 – Inventory and Control of Enterprise Assets)

📘 Definición oficial (resumida)

“Gestionar activamente (inventariar, rastrear y corregir) todos los activos de la empresa (dispositivos de usuario, de red, IoT y servidores) conectados a la infraestructura, físicos, virtuales, remotos o en la nube, para saber exactamente qué hay que proteger e identificar activos no autorizados o no gestionados para eliminarlos o corregirlos.”

---

1. Propósito del control

Objetivo principal

Saber qué existe, dónde está, quién lo usa y en qué estado se encuentra cada activo conectado a la infraestructura.

⚠️ Motivación

Nadie puede defender lo que no conoce. Un inventario incompleto abre la puerta a:

• Activos huérfanos sin parches ni hardening.
• Dispositivos ocultos usados como pivote por un atacante.
• Shadow IT: equipos o servicios fuera de control corporativo.

Resultado esperado

Un inventario centralizado, fiable y demostrable que sirva de base para:

• Monitorización y logging.
• Gestión de vulnerabilidades.
• Respuesta a incidentes.
• Continuidad de negocio y backups.

---

2. Alcance del control

Tipos de activos cubiertos

• Dispositivos de usuario: portátiles, sobremesas, móviles, tablets.
• Dispositivos de red: switches, routers, firewalls, AP WiFi.
• Servidores: físicos, virtuales, on‑prem y cloud.
• IoT / OT: cámaras, sensores, impresoras, dispositivos especiales.
• Activos lógicos asociados: IP, FQDN, etiquetas, dueño, ubicación.

Entornos incluidos

• Físico: oficinas, CPD, laboratorios.
• Virtual: hipervisores, VMs, contenedores.
• Remoto: teletrabajo con VPN o acceso directo.
• Cloud: IaaS, PaaS, SaaS (cuando aplique).

---

3. Desarrollo por niveles de madurez (IG1, IG2, IG3)

---

🟢 IG1 – Fundacional (Visibilidad básica)

3.1. Acciones técnicas clave

🔍 Descubrimiento técnico de red básico

Objetivo: detectar dispositivos vivos en la red.

Herramientas sugeridas:

• Nmap (escaneo de rangos IP, detección de SO).
• Angry IP Scanner (rápido y visual para labs).
• Escáneres del firewall/router (si los tiene).

Acciones:

• Definir rangos:
  • LAN oficinas (ej. 192.168.0.0/24)
  • VLAN servidores
  • Red WiFi corporativa
• Ejecutar escaneos periódicos (semanales o mensuales).
• Guardar resultados exportados (CSV, XML, HTML).

---

Inventario dual: red + físico

Objetivo: unir lo que “ve la red” con lo que “ves con los ojos”.

Herramientas:

• Hoja de cálculo (Excel, LibreOffice, Google Sheets).
• Etiquetas físicas (códigos internos, pegatinas, QR).

Campos mínimos recomendados:

• ID de activo, tipo, modelo, nº de serie.
• IP, MAC, hostname.
• Ubicación física (sala, mesa, rack).
• Propietario / usuario responsable.
• Estado (en producción, en stock, retirado).

---

Políticas básicas de alta/baja

Alta de activo:

• Asignar ID.
• Registrar en inventario.
• Asociar a usuario/área.
• Configurar en AD (si aplica).

Baja de activo:

• Borrado seguro de datos (wipe).
• Actualizar estado a “retirado”.
• Documentar fecha y responsable.

---

3.2. Herramientas simples recomendadas

Para inventario técnico inicial:

• Nmap
• Angry IP Scanner
• Advanced IP Scanner

Para inventario lógico:

• Hojas de cálculo bien estructuradas
• GLPI u OCS Inventory NG (modo sencillo)

---

3.3. Evidencias sugeridas para el Pergamino

Capturas:

• Escaneo de Nmap mostrando hosts.
• Excel/Sheet con inventario dual.
• Foto de etiqueta física en un equipo.

Checklists:

• Lista de verificación de alta/baja de activos.
• Plantilla de campos mínimos de inventario.

---

🟡 IG2 – Gestión activa

Aquí empieza la gestión consciente: el inventario deja de ser una tabla estática y se convierte en un sistema vivo.

3.4. Acciones técnicas clave

CMDB conectada y actualizada

Objetivo: disponer de una CMDB como fuente única de verdad.

Herramientas:

• GLPI con plugin de inventario
• OCS Inventory NG + GLPI
• iTop, Lansweeper, Snipe-IT
• ServiceNow, ManageEngine, SolarWinds (entornos grandes)

Acciones:

• Integrar datos de:
  • Escáneres de red
  • Directorio activo (AD)
  • DHCP (reservas y leases)
  • Virtualización (vCenter, Hyper‑V)
• Definir procesos de:
  • Alta automática
  • Revisión periódica (mensual/trimestral)

---

Escaneos periódicos y reconciliación

Objetivo: detectar cambios y activos no gestionados.

Herramientas:

• Lansweeper
• OCS
• Nmap programado
• Nessus (vista de hosts)

Acciones:

• Programar escaneos automáticos.
• Comparar resultados con CMDB.
• Marcar activos “no gestionados”.

---

Integración con ticketing

Objetivo: que cada cambio relevante genere evidencia.

Herramientas:

• GLPI Helpdesk
• Jira Service Management
• ServiceNow
• OTRS, Zammad

Ejemplos:

• Alta de portátil → ticket + registro en CMDB
• Equipo desconocido → ticket de investigación

---

3.5. Evidencias y métricas

Dashboards clave:

• Número total de activos por tipo
• Activos sin propietario
• Activos no vistos en X días
• Equipos fuera de soporte (EoL)

Capturas sugeridas:

• Panel GLPI/Lansweeper
• Ficha completa de un activo
• Ticket de alta/baja vinculado

---

🔴 IG3 – Madurez avanzada

Aquí la infraestructura se vuelve trazable y resistente.

3.6. Acciones técnicas clave

Integración con SIEM

Objetivo: correlacionar eventos con activos concretos.

Herramientas:

• Splunk
• Elastic
• QRadar
• Sentinel
• Graylog

Acciones:

• Enviar al SIEM:
  • Listado de activos
  • Criticidad, dueño, tipo
• Usar esta info para:
  • Priorizar alertas
  • Detectar actividad desde activos no gestionados

---

Network Access Control (NAC)

Objetivo: que ningún activo entre en la red sin control.

Herramientas:

• Cisco ISE
• Aruba ClearPass
• FortiNAC
• pfSense con portal

Acciones:

• Autenticación 802.1X
• VLAN dinámica
• Cuarentena de dispositivos desconocidos

---

Integración con Cloud y teletrabajo

Herramientas:

• Microsoft Intune
• Azure AD
• Defender for Endpoint
• AWS Systems Manager
• AWS Config
• GCP Asset Inventory

Acciones:

• Inventario de VMs y endpoints remotos
• Etiquetado por criticidad y entorno

---

Planos físico‑lógicos unificados

Objetivo: ver en una sola vista:

• Ubicación física
• Conexiones de red
• Rol del activo

Herramientas:

• draw.io
• Visio
• Lucidchart
• netbox
• RackTables

---

3.7. Evidencias de alta madurez

Ejemplos:

• Diagrama con segmentación (usuarios, servidores, DMZ, OT)
• Dispositivos etiquetados con ID
• Alerta SIEM:
  • Equipo desconocido conectándose
  • Correlación con ausencia en CMDB

---

4. Relación con otros marcos y normas

📘 NIST CSF

Relacionado con funciones Identificar (ID) y Detectar (DE):

• ID.AM‑1
• ID.AM‑2
• ID.AM‑3

📘 NIST SP 800‑53

• CM‑8 (Inventario de componentes)
• PM‑5 (Inventario del sistema)

📘 CIS v8

El Control 1 abre el camino a:

• Control 2 (Inventario y control de software)
• Control 7 (Gestión de vulnerabilidades)
• Control 8 (Logging y monitoreo)

---

📚 Referencias del Control 1

• CIS Controls v8 – Control 1: Inventory and Control of Enterprise Assets
  https://www.cisecurity.org/controls/inventory-and-control-of-enterprise-assets

• CIS Documentation Hub – Control 1 (v8)
  https://cas.docs.cisecurity.org/en/latest/source/Controls1/

• CSF Tools – CSC 1: Inventory and Control of Enterprise Assets
  https://csf.tools/reference/critical-security-controls/v8-1/csc-1/

• NIST SP 800-53 Rev.5 – CM-8: Information System Component Inventory
  https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

• NIST Cybersecurity Framework – ID.AM (Asset Management)
  https://www.nist.gov/cyberframework