Control 4: - Configuración segura de activos empresariales y software

Por -

Control 4: Configuración segura de activos empresariales y software

(CIS Control 4 – Secure Configuration of Enterprise Assets and Software)

Propósito del control

Objetivo: Establecer y mantener configuraciones seguras para hardware y software, reduciendo la superficie de ataque.
Resultado esperado: Todos los activos tienen configuraciones endurecidas, auditables y alineadas con estándares.

⚠️ Motivación:
Las configuraciones por defecto suelen ser inseguras. Muchos ataques aprovechan servicios innecesarios, puertos abiertos o permisos laxos.

Alcance del control

Activos cubiertos:

  • Sistemas operativos
  • Aplicaciones
  • Equipos de usuario
  • Servidores
  • Dispositivos de red
  • Máquinas virtuales y contenedores

Ámbitos de configuración:

  • Servicios habilitados/deshabilitados
  • Políticas de contraseñas
  • Configuración de puertos y firewall
  • Permisos de archivos y usuarios
  • Registro de eventos y auditoría

Desarrollo por niveles de madurez

🟢 IG1 – Fundacional

  • Aplicación de plantillas de configuración segura (CIS Benchmarks, STIGs)
  • Desactivación de servicios innecesarios
  • Configuración básica de firewall local
  • Registro de cambios manual en hojas de cálculo
  • Revisión inicial de configuraciones

Evidencias sugeridas:

  • Captura de configuración de servicios
  • Checklist de endurecimiento aplicado
  • Registro de cambios en Excel

🟡 IG2 – Gestión activa

  • Herramientas de gestión de configuración (GPO, Ansible, Puppet)
  • Auditorías periódicas de cumplimiento
  • Versionado y control de cambios
  • Configuración centralizada por rol o grupo
  • Alertas ante desviaciones

Herramientas recomendadas:

  • Microsoft GPO, Ansible, Puppet, Chef
  • SCCM, Intune, SaltStack
  • Lynis, OpenSCAP, Nessus Compliance

Evidencias sugeridas:

  • Reporte de cumplimiento de configuración
  • Captura de playbook o política aplicada
  • Registro de cambios con fecha y responsable

🔴 IG3 – Madurez avanzada

  • Configuración como código (IaC)
  • Integración con CI/CD para validación previa
  • Reversión automática ante cambios no autorizados
  • Integración con SIEM para correlación de cambios
  • Segmentación dinámica según configuración

Herramientas avanzadas:

  • Terraform, Ansible, Chef InSpec
  • GitOps (ArgoCD, Flux)
  • Sentinel, Splunk, Elastic
  • AWS Config, Azure Policy

Evidencias sugeridas:

  • Repositorio Git con historial de configuración
  • Alertas SIEM por cambios no autorizados
  • Reporte de rollback automático

Riesgos que mitiga

  • Configuraciones débiles o por defecto
  • Cambios no autorizados
  • Exposición innecesaria de servicios
  • Falta de trazabilidad en cambios
  • Incumplimiento de estándares

📘 Referencias normativas

📚 Bibliografía y recursos ampliados

Ficha

Nombre del control: Gestión Segura de la Configuración (CIS Control 4)
Resumen: La configuración es la frontera invisible entre lo seguro y lo vulnerable.

Riesgos que mitiga:

  • Configuraciones débiles o por defecto
  • Cambios no autorizados
  • Exposición innecesaria de servicios
  • Falta de trazabilidad

Niveles de madurez:

  • IG1: Plantillas básicas y checklist manual
  • IG2: Gestión centralizada y auditoría
  • IG3: IaC, CI/CD, reversión automática

Herramientas típicas: GPO, Ansible, Terraform, GitOps, SIEM

Evidencias recomendadas: Reportes de cumplimiento, historial Git, alertas SIEM

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »

Índice de controles CIS

Por -
📚 Serie doctrinal: CIS Control 1 – Índice completo Objetivo: Esta entrada reúne los 18 controles del CIS Control 1 con enlaces internos y visuales para facilitar su estudio, documentación y validación cruzada en el simulador doctrinal. 📑 Índice de controles CIS 🛡️ Control 1 – Inventario y control de activos 🧰 Control 2 – Inventario de software autorizado 🔐 Control 3 – Protección de datos sensibles ⚙️ Control 4 – Configuración segura de activos 🧱 Control 5 – Gestión de cuentas y privilegios 📦 Control 6 – Mantenimiento y gestión de vulnerabilidades 🧼 Control 7 – Protección contra malware 📶 Control 8 – Gestión de puertos y protocolos 🧯 Control 9 – Limitación y control de puertos de red 🔄 Control 10 – Copias de seguridad y recuperación 🧪 Control 11 – Pruebas de seguridad y evaluación continua 🧭 Control 12 – Defensa contra ingeniería social 📋 Control 13 – Gestión de seguridad en operaciones 🔍 Control 14 – Monitoreo y análisis de logs 🚨 Control 15 – Gestió...
Read more »