IG1 IG2 IG3

Establecer y Mantener un Inventario de Software

Grupo de Control: 2. Inventario y Control de Activos de Software

Tipo de Activo: Aplicaciones

Función de Seguridad: Identificar

Descripción

Establecer y mantener un inventario detallado de todo el software licenciado instalado en activos empresariales. El inventario de software debe documentar el título, editor, fecha de instalación/uso inicial y propósito comercial de cada entrada; cuando sea apropiado, incluir el Localizador Uniforme de Recursos (URL), tienda(s) de aplicaciones, versión(es), mecanismo de implementación y fecha de decomisionamiento. Revisar y actualizar el inventario de software semestralmente o con mayor frecuencia.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

Microsoft Intune Gartner MQ Leader, UEM 2024

Plataforma unificada de gestión de endpoints para inscripción de dispositivos, implementación de software, configuración y cumplimiento en Windows, macOS, iOS y Android

Microsoft · Suscripción por usuario/por dispositivo

VMware Workspace ONE Gartner MQ Leader, UEM 2024

Plataforma de espacio de trabajo digital que combina UEM con entrega de aplicaciones virtuales y acceso de confianza cero para gestión de endpoints

Broadcom (VMware) · Suscripción por dispositivo

Flexera One Gartner MQ Leader, SAM 2024

Plataforma de gestión de activos de IT y gestión de activos de software con optimización de licencias y gestión de SaaS

Flexera · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Compromiso de Cadena de Suministro mediante Software No Rastreado

Integridad

Software malicioso o con puertas traseras instalado sin seguimiento de inventario evade la revisión de seguridad, permitiendo ataques de cadena de suministro como los vistos en compromisos tipo SolarWinds.

Explotación del Cumplimiento de Licencias

Confidencialidad

Software sin licencia o pirateado instalado fuera de los controles de inventario introduce versiones troyanizadas o cracks que contienen malware integrado y robadores de credenciales.

Software Abandonado como Superficie de Ataque

Integridad

Las aplicaciones instaladas para proyectos anteriores pero nunca inventariadas permanecen en los sistemas con vulnerabilidades conocidas, proporcionando objetivos fáciles de explotación para los atacantes.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Sin Inventario Centralizado de Software

Sin un inventario de software mantenido, la organización no puede determinar qué aplicaciones están instaladas en los endpoints, dejando software desconocido sin parchear y sin monitorear.

Incapacidad para Verificar la Legitimidad del Software

Sin registros de editor, versión y propósito comercial, la organización no puede distinguir el software autorizado de las instalaciones no autorizadas o maliciosas.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Activos de Software

Control 2

Salvaguardas Relacionadas en el Control 2

2.2 Asegurar que el Software Autorizado Tenga Soporte Actual

2.3 Abordar Software No Autorizado

2.4 Utilizar Herramientas Automatizadas de Inventario de Software

2.5 Lista de Software Autorizado Permitido

2.6 Lista de Bibliotecas Autorizadas Permitidas

2.7 Lista de Scripts Autorizados Permitidos