CIS Control 2: Inventario y control de activos de software

Las organizaciones modernas dependen de una deslumbrante variedad de software: sistemas operativos, aplicaciones de procesamiento de texto, herramientas de RRHH y financieras, soluciones de respaldo y recuperación, sistemas de bases de datos y mucho, mucho más. Estos activos de software son a menudo vitales para las operaciones comerciales críticas, pero también representan importantes riesgos de seguridad. Por ejemplo, los atacantes a menudo apuntan a software vulnerable para obtener acceso a redes corporativas y pueden instalar software malicioso (malware) propio que puede robar o encriptar datos o interrumpir las operaciones comerciales.

El Control CIS 2 está diseñado para ayudarte a mitigar estos riesgos. Aconseja a cada organización crear un inventario completo de software y desarrollar un programa de gestión de software sólido que incluya la revisión regular de todo el software instalado, control sobre qué software puede ejecutarse y más.

Aquí hay un desglose de los siete subcontroles en CIS Control 2: Inventario y Control de Activos de Software.

2.1. Establecer y mantener un inventario de software

Cree y mantenga un registro detallado de todo el software en los ordenadores de su red. Para cada activo de software, incluya tanta información como sea posible: título, editor, fecha de instalación, sistemas soportados, propósito empresarial, URLs relacionadas, método de despliegue, versión, fecha de baja y así sucesivamente. Esta información puede ser registrada en un documento o una base de datos.

Mantenga su inventario de software actualizado revisándolo y actualizándolo al menos dos veces al año. Algunos de los subcontroles a continuación ofrecen orientación sobre qué software eliminar y por qué.

2.2. Asegúrese de que el software autorizado esté actualmente soportado

Una mejor práctica importante es asegurarse de que todos los sistemas operativos y aplicaciones de software en su inventario de software autorizado todavía cuenten con soporte del proveedor de software. El software sin soporte no recibe parches de seguridad ni actualizaciones, lo que incrementa la exposición al riesgo de su organización ya que los cibercriminales a menudo apuntan a vulnerabilidades conocidas.

Si encuentra software obsoleto o sin soporte en su entorno, intente adoptar soluciones alternativas rápidamente. Si no hay alternativas disponibles y el software sin soporte es necesario para sus operaciones, evalúe los riesgos que plantea e investigue controles de mitigación. Luego documente la excepción, los controles implementados y la aceptación del riesgo residual.

2.3. Abordar el software no autorizado

A veces los empleados instalan software en los sistemas empresariales sin la aprobación del departamento de TI. Eliminar este software no autorizado reduce el riesgo para su negocio. Si se necesita una pieza de software no autorizado, añádala a la lista de herramientas autorizadas o documente la excepción en su inventario de software.

Compruebe la existencia de software no autorizado tan a menudo como sea posible, al menos mensualmente.

2.4. Utilice herramientas automatizadas de inventario de software

Crear y mantener un inventario de software manualmente puede consumir mucho tiempo y ser propenso a errores de usuario. Por lo tanto, es una buena práctica automatizar el proceso de descubrimiento y documentación de los activos de software instalados siempre que sea posible.

Por ejemplo, Netwrix Change Tracker puede rastrear automáticamente todos los activos de software instalados en su organización, incluyendo nombres de aplicaciones, versiones, fechas y niveles de parches.

2.5. Permitir solo software autorizado

Incluso sus mejores esfuerzos pueden no garantizar que el software no autorizado no se instale en sus sistemas. Por lo tanto, también es importante implementar controles que aseguren que solo las aplicaciones autorizadas puedan ejecutarse.

Las listas de permitidos son más estrictas que las listas de bloqueados. Una lista de permitidos solo permite la ejecución de software especificado, mientras que una lista de bloqueados simplemente evita que se ejecuten programas específicos no deseados.

Puede utilizar una combinación de reglas y tecnologías comerciales para implementar su lista de permitidos. Por ejemplo, muchos programas anti-malware y sistemas operativos populares incluyen características para evitar que se ejecute software no autorizado. Herramientas gratuitas, como Applocker, también están disponibles. Algunas herramientas incluso recopilan información sobre el nivel de parche del programa instalado para ayudar a asegurar que solo utilice las versiones más recientes del software.

Una lista de permitidos detallada puede incluir atributos como el nombre del archivo, la ruta, el tamaño o la firma, lo que también ayudará durante el escaneo de software no autorizado no listado explícitamente.

2.6. Permitir solo bibliotecas autorizadas

Además de mantener un inventario de software y una lista de permisos de software autorizado, es crítico asegurarse de que los usuarios carguen archivos, incluyendo aplicaciones, solo desde bibliotecas autorizadas. También deberías capacitar a todos para evitar descargar archivos de fuentes desconocidas o no verificadas en tus sistemas y asegurarte de que entiendan los riesgos de seguridad de violar esta política, incluyendo cómo podría permitir a los atacantes acceder a tus sistemas y datos.

2.7. Permitir solo scripts autorizados

La instalación de software y otras tareas administrativas a menudo requieren intérpretes de scripts. Sin embargo, los ciberdelincuentes pueden atacar estos motores de scripts y causar daños a sus sistemas y procesos. Desarrollar una lista de permitidos de scripts autorizados limita el acceso de usuarios no autorizados y atacantes. Los administradores de sistemas pueden decidir quién puede ejecutar estos scripts.

Este control requiere que su equipo de TI firme digitalmente todos sus scripts; esto puede ser gravoso, pero es necesario para asegurar sus sistemas. Los métodos técnicos para implementar este control incluyen control de versiones y firmas digitales.

Resumen

La gestión integral de activos de software es vital para la seguridad de los sistemas y datos de su organización. CIS Control 2 guía a su organización a través de los procesos de identificación, monitoreo y automatización de sus soluciones de gestión de software. Este control se puede resumir en tres prácticas:

• Identifique y documente todos sus activos de software y elimine los no deseados, obsoletos o vulnerables
• Cree una lista de permitidos de software aprobada para ayudar a prevenir la instalación y uso de software no autorizado.
• Monitoree y gestione sus aplicaciones de software mediante escaneos y actualizaciones constantes.

Crear y mantener un inventario de software manualmente es demasiado lento y propenso a errores para ser un enfoque viable en cualquier red moderna. Netwrix Change Tracker automatiza el trabajo de rastrear todo el software instalado en sus sistemas y mantenerlo informado sobre cualquier desviación de su lista de software autorizado. Incluso puede ser utilizado para identificar parches faltantes y actualizaciones de versión, ayudándole a fortalecer aún más la seguridad de los sistemas de TI.