Establecer y Mantener un Inventario Detallado de Activos Empresariales
Descripción
Establecer y mantener un inventario preciso, detallado y actualizado de todos los activos empresariales con potencial de almacenar o procesar datos, incluyendo: dispositivos de usuario final (incluyendo portátiles y móviles), dispositivos de red, dispositivos no informáticos/IoT y servidores. Asegurar que el inventario registre la dirección de red (si es estática), dirección de hardware, nombre de máquina, propietario del activo de datos, departamento de cada activo y si el activo ha sido aprobado para conectarse a la red. Para dispositivos móviles de usuario final, las herramientas tipo MDM pueden apoyar este proceso, cuando sea apropiado. Este inventario incluye activos conectados a la infraestructura de forma física, virtual, remota y aquellos en entornos de nube. Además, incluye activos que se conectan regularmente a la infraestructura de red de la empresa, aunque no estén bajo el control de la empresa. Revisar y actualizar el inventario de todos los activos empresariales semestralmente o con mayor frecuencia.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de gestión de superficie de ataque de activos cibernéticos que proporciona un inventario integral de activos en entornos de IT, nube, SaaS y OT
Axonius · Suscripción empresarial
Plataforma empresarial de gestión de activos de IT y CMDB con descubrimiento automatizado y gestión del ciclo de vida
ServiceNow · Suscripción empresarial
Plataforma de descubrimiento e inventario de activos de IT que escanea redes en busca de activos de hardware, software y nube
Lansweeper · Suscripción por activo
Plataforma CAASM nativa en la nube que proporciona visibilidad, contexto y gobernanza de activos cibernéticos en todas las operaciones digitales
JupiterOne · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación de Activos de TI en la Sombra
ConfidencialidadLos atacantes comprometen dispositivos no rastreados conectados a la red que son invisibles para las herramientas de seguridad, utilizándolos como puntos de apoyo persistentes para el movimiento lateral.
Cobertura de Parches Incompleta Debido a Activos Desconocidos
DisponibilidadLas vulnerabilidades críticas permanecen sin parchear en dispositivos no incluidos en el inventario de activos, permitiendo que el ransomware o los gusanos se propaguen a través de endpoints no gestionados.
Incumplimiento Regulatorio por Almacenes de Datos No Rastreados
ConfidencialidadLos datos sensibles residen en activos no capturados en el inventario, lo que lleva a la exposición de PII/PHI sin protección durante una brecha y sanciones regulatorias.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Visibilidad Centralizada de Activos
Sin un inventario detallado de activos, la organización no puede determinar el alcance completo de los dispositivos que almacenan o procesan datos, dejando puntos ciegos en la cobertura de seguridad.
Registros de Activos Obsoletos o Inexactos
La ausencia de un inventario mantenido significa que los activos dados de baja, reubicados o reutilizados no son rastreados, creando inconsistencias entre el estado de red supuesto y el real.
Incapacidad para Delimitar la Respuesta a Incidentes
Cuando ocurre una brecha, los respondedores no pueden identificar rápidamente todos los activos potencialmente afectados, extendiendo el tiempo de permanencia y aumentando el radio de impacto de los incidentes.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |