IG1 IG2 IG3

Asegurar que el Software Autorizado Tenga Soporte Actual

Grupo de Control: 2. Inventario y Control de Activos de Software

Tipo de Activo: Aplicaciones

Función de Seguridad: Identificar

Descripción

Asegurar que solo el software actualmente soportado sea designado como autorizado en el inventario de software para activos empresariales. Si el software no tiene soporte, pero es necesario para el cumplimiento de la misión de la empresa, documentar una excepción detallando los controles mitigantes y la aceptación del riesgo residual. Para cualquier software sin soporte sin documentación de excepción, designar como no autorizado. Revisar la lista de software para verificar el soporte del software al menos mensualmente o con mayor frecuencia.

Lista de Verificación de Implementación

1

Documentar el estado actual y crear un inventario de referencia

2

Definir los campos de datos y atributos a rastrear

3

Asignar la propiedad y las responsabilidades

4

Establecer la cadencia de revisión y los procedimientos de actualización

Herramientas Recomendadas

Microsoft Intune Gartner MQ Leader, UEM 2024

Plataforma unificada de gestión de endpoints para inscripción de dispositivos, implementación de software, configuración y cumplimiento en Windows, macOS, iOS y Android

Microsoft · Suscripción por usuario/por dispositivo

VMware Workspace ONE Gartner MQ Leader, UEM 2024

Plataforma de espacio de trabajo digital que combina UEM con entrega de aplicaciones virtuales y acceso de confianza cero para gestión de endpoints

Broadcom (VMware) · Suscripción por dispositivo

Flexera One Gartner MQ Leader, SAM 2024

Plataforma de gestión de activos de IT y gestión de activos de software con optimización de licencias y gestión de SaaS

Flexera · Suscripción empresarial

Amenazas y Vulnerabilidades (CIS RAM)

Escenarios de Amenazas

Explotación de Vulnerabilidades de Software al Final de su Vida Útil

Integridad

El software sin soporte ya no recibe parches de seguridad, permitiendo a los atacantes explotar CVEs divulgados públicamente con código de explotación fácilmente disponible.

Persistencia de Día Cero en Aplicaciones Heredadas

Confidencialidad

Las aplicaciones sin soporte con vulnerabilidades de día cero nunca serán parcheadas por el proveedor, dando a los atacantes capacidades de explotación permanentes contra esos sistemas.

Vulnerabilidades (Cuando la Salvaguarda está Ausente)

Software Sin Soporte en Producción Sin Controles Mitigantes

Ejecutar software al final de su vida útil sin excepciones documentadas y controles compensatorios deja vulnerabilidades conocidas permanentemente sin abordar en el entorno.

Sin Seguimiento del Ciclo de Vida de Soporte del Software

Sin monitorear el estado de soporte del proveedor, la organización desconoce cuándo el software crítico pasa al final de su vida útil, continuando dependiendo de él sin aceptación de riesgo.

Requisitos de Evidencia

Tipo	Elemento de Evidencia	Frecuencia de Recolección
Documento	Documentación del inventario o catálogo actual	Mantenido continuamente, revisado trimestralmente
Documento	Documentación de procesos/procedimientos para actividades de identificación	Revisado anualmente
Documento	Documento de política vigente (actual, aprobado, comunicado)	Revisado anualmente

Plantillas de Políticas Relacionadas

Política de Gestión de Activos de Software

Control 2

Salvaguardas Relacionadas en el Control 2

2.1 Establecer y Mantener un Inventario de Software

2.3 Abordar Software No Autorizado

2.4 Utilizar Herramientas Automatizadas de Inventario de Software

2.5 Lista de Software Autorizado Permitido

2.6 Lista de Bibliotecas Autorizadas Permitidas

2.7 Lista de Scripts Autorizados Permitidos