Control 2: Inventario y control de software

Por -

Control 2: Inventario y Control de Software

(CIS Control 2 – Inventory and Control of Software Assets)

Propósito del control

Objetivo: Asegurar que solo el software autorizado, legítimo y necesario esté instalado y en uso.
Resultado esperado: Un inventario actualizado, trazable y validado de todo el software instalado en los activos de la organización.

⚠️ Motivación:
El software no controlado es una de las principales puertas de entrada para malware, backdoors y vulnerabilidades.

Alcance del control

Activos cubiertos:

  • Sistemas operativos (Windows, Linux, macOS, Android, iOS)
  • Aplicaciones instaladas (ofimática, navegadores, clientes VPN, etc.)
  • Software en servidores, estaciones, móviles y contenedores
  • Scripts, binarios, herramientas administrativas
  • Software en imágenes base, golden images, plantillas de VM

Entornos incluidos:

  • Dispositivos físicos y virtuales
  • Infraestructura on-premise y cloud
  • Equipos de usuarios, servidores, dispositivos móviles
  • Entornos de desarrollo, pruebas y producción

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

Acciones técnicas clave:

  • Revisión manual del software instalado (Add/Remove Programs, dpkg, rpm, etc.)
  • Uso de herramientas básicas de inventario:
    • OCS Inventory NG
    • GLPI con plugin de software
    • Scripts de recolección (wmic, powershell, dpkg -l)
  • Creación de hoja de cálculo con:
    • Nombre del software
    • Versión
    • Fabricante
    • Fecha de instalación
    • Dispositivo asociado

Evidencias sugeridas:

  • Captura de listado de software (wmic product get name,version)
  • Inventario en Excel o Google Sheets
  • Captura de GLPI mostrando software por equipo

🟡 IG2 – Gestión activa

Acciones técnicas clave:

  • Implementación de CMDB con módulo de software
  • Integración con escáneres de red o agentes
  • Clasificación del software:
    • Autorizado
    • No autorizado
    • Requiere revisión
  • Políticas de instalación:
    • Solo desde repositorios aprobados
    • Revisión previa por seguridad
  • Alertas ante instalación no autorizada

Herramientas recomendadas:

  • GLPI + OCS Inventory
  • Lansweeper
  • ManageEngine AssetExplorer
  • Microsoft Intune
  • JAMF (macOS)

Evidencias sugeridas:

  • Dashboard de software autorizado/no autorizado
  • Ticket de revisión de nuevo software
  • Captura de alerta por instalación no permitida

🔴 IG3 – Madurez avanzada

Acciones técnicas clave:

  • Integración con SIEM para correlación de eventos por software
  • Control de versiones y parches automatizado
  • Integración con herramientas de gestión de configuración (Ansible, Puppet, SCCM)
  • Control de licencias y cumplimiento (SAM)
  • Auditorías periódicas automatizadas

Herramientas avanzadas:

  • Tanium, BigFix, SCCM, Ansible
  • ServiceNow Software Asset Management
  • Flexera, Snow Software
  • Sysmon + SIEM para detección de ejecución de binarios no autorizados

Evidencias sugeridas:

  • Correlación en SIEM de ejecución de software no autorizado
  • Reporte de cumplimiento de licencias
  • Captura de playbook de Ansible con instalación controlada

Riesgos que mitiga

  • Instalación de software malicioso o no autorizado
  • Shadow IT a nivel de aplicaciones
  • Uso de versiones obsoletas o sin soporte
  • Incumplimiento de licencias
  • Superficie de ataque innecesaria

📘 Referencias normativas

📚 Bibliografía y recursos ampliados

Ficha

Nombre del control: Inventario y Control de Software (CIS Control 2)
Resumen: No se puede proteger lo que no se controla. El software es vector de ataque y debe estar bajo vigilancia.

Riesgos que mitiga:

  • Software no autorizado
  • Shadow IT
  • Vulnerabilidades por versiones obsoletas
  • Incumplimiento de licencias

Niveles de madurez:

  • IG1: Listado básico
  • IG2: Gestión activa y alertas
  • IG3: Automatización, SIEM, cumplimiento

Herramientas típicas:

  • GLPI, OCS, Lansweeper, Intune, SCCM, Ansible

Evidencias recomendadas:

  • Dashboards de software
  • Tickets de revisión
  • Correlaciones en SIEM

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »