Inventario y Control de Activos de Software
Gestionar activamente (inventariar, rastrear y corregir) todo el software (sistemas operativos y aplicaciones) en la red para que solo el software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación o ejecución.
Plantillas de Políticas Relacionadas
Salvaguardas (7)
| ID | Título | Función | IG | Elementos de Verificación | Evidencia |
|---|---|---|---|---|---|
| 2.1 | Establecer y Mantener un Inventario de Software | Identificar |
IG1
IG2
IG3
|
5 | 3 |
| 2.2 | Asegurar que el Software Autorizado Tenga Soporte Actual | Identificar |
IG1
IG2
IG3
|
5 | 3 |
| 2.3 | Abordar Software No Autorizado | Responder |
IG1
IG2
IG3
|
5 | 3 |
| 2.4 | Utilizar Herramientas Automatizadas de Inventario de Software | Detectar |
IG2
IG3
|
6 | 3 |
| 2.5 | Lista de Software Autorizado Permitido | Proteger |
IG2
IG3
|
5 | 3 |
| 2.6 | Lista de Bibliotecas Autorizadas Permitidas | Proteger |
IG2
IG3
|
5 | 3 |
| 2.7 | Lista de Scripts Autorizados Permitidos | Proteger |
IG3
|
5 | 3 |
Detalles de Verificación de Auditoría
Establecer y mantener un inventario detallado de todo el software licenciado instalado en activos empresariales. El inventario de software debe documentar el título, editor, fecha de instalación/uso inicial y propósito comercial de cada entrada; cuando sea apropiado, incluir el Localizador Uniforme de Recursos (URL), tienda(s) de aplicaciones, versión(es), mecanismo de implementación y fecha de decomisionamiento. Revisar y actualizar el inventario de software semestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que solo el software actualmente soportado sea designado como autorizado en el inventario de software para activos empresariales. Si el software no tiene soporte, pero es necesario para el cumplimiento de la misión de la empresa, documentar una excepción detallando los controles mitigantes y la aceptación del riesgo residual. Para cualquier software sin soporte sin documentación de excepción, designar como no autorizado. Revisar la lista de software para verificar el soporte del software al menos mensualmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Se mantiene un inventario o catálogo que es preciso y completo.
Exportación del inventario con marcas de tiempo que muestren actualizaciones recientes
El inventario se revisa y concilia según el calendario definido.
Minutas de reunión de revisión, registros de firma o registros de cambios
Los nuevos activos/elementos se agregan al inventario dentro del período de incorporación definido.
Muestra de activos recientemente incorporados con marcas de tiempo del inventario
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Asegurar que el software no autorizado sea eliminado del uso en activos empresariales o reciba una excepción documentada. Revisar mensualmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los procedimientos de respuesta y los manuales de operación están documentados y actualizados.
Manuales de respuesta con fechas de revisión
Los procedimientos de respuesta se han ejercitado mediante ejercicios de mesa o simulación en los últimos 12 meses.
Informes de ejercicios, firma de participantes, lecciones aprendidas
Las acciones de respuesta a incidentes se registran y rastrean hasta su finalización.
Tickets de incidentes, seguimiento de acciones, revisiones posteriores al incidente
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Documento | Documentación de procedimientos/manuales de respuesta | Revisado semestralmente |
| Registro | Registros de acciones de respuesta que muestren la ejecución del procedimiento | Por incidente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Utilizar herramientas de inventario de software, cuando sea posible, en toda la empresa para automatizar el descubrimiento y documentación del software instalado.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Las herramientas de detección están implementadas y recopilando datos activamente.
Capturas de pantalla del panel que muestran el estado del agente/sensor y el flujo de datos
Las alertas están configuradas con umbrales definidos y canales de notificación.
Exportaciones de configuración de reglas de alerta, configuración de canales de notificación
Las alertas se revisan y clasifican dentro del SLA definido.
Registros de respuesta a alertas, registros de clasificación con marcas de tiempo
La cobertura de detección ha sido probada con eventos simulados.
Resultados de pruebas de detección, informes de ejercicios de purple team
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Evidencia de implementación de herramientas de detección (capturas de pantalla del panel, estado del agente) | Capturado mensualmente |
| Técnico | Muestra de salida de alerta/detección que demuestre la capacidad | Capturado trimestralmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar controles técnicos, como listas de aplicaciones permitidas, para asegurar que solo el software autorizado pueda ejecutarse o ser accedido. Reevaluar semestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar controles técnicos para asegurar que solo las bibliotecas de software autorizadas, como archivos específicos .dll, .ocx, .so, etc., puedan cargarse en un proceso del sistema. Bloquear las bibliotecas no autorizadas de cargarse en un proceso del sistema. Reevaluar semestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |
Usar controles técnicos, como firmas digitales y control de versiones, para asegurar que solo los scripts autorizados, como archivos específicos .ps1, .py, etc., puedan ejecutarse. Bloquear la ejecución de scripts no autorizados. Reevaluar semestralmente o con mayor frecuencia.
Lista de Verificación de Auditoría
Existe una política o procedimiento vigente, aprobado por la dirección, y revisado en los últimos 12 meses.
Documento de política firmado/aprobado con fecha de revisión
Los roles y responsabilidades para esta salvaguarda están formalmente asignados y comunicados.
Matriz RACI, registros de asignación de roles o descripciones de puesto
Los controles de protección requeridos están implementados y configurados según la línea base aprobada.
Exportaciones de configuración, capturas de pantalla o resultados de escaneo de cumplimiento
La efectividad del control ha sido validada mediante pruebas.
Resultados de pruebas, informes de validación o salida de escaneo
Los cambios en los controles de protección siguen el proceso de gestión de cambios.
Tickets de cambio, registros de aprobación
| Tipo | Elemento de Evidencia | Frecuencia |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |