Gestionar de Forma Segura los Activos Empresariales y el Software
Descripción
Gestionar de forma segura los activos empresariales y el software. Los ejemplos de implementación incluyen la gestión de configuración mediante infraestructura como código con control de versiones y el acceso a interfaces administrativas a través de protocolos de red seguros, como Secure Shell (SSH) y Protocolo de Transferencia de Hipertexto Seguro (HTTPS). No usar protocolos de gestión inseguros, como Telnet (Red de Teletipos) y HTTP, a menos que sea operacionalmente esencial.
Lista de Verificación de Implementación
Herramientas Recomendadas
Herramienta automatizada de evaluación de CIS Benchmark para escaneo de cumplimiento de configuración en sistemas operativos, aplicaciones y nube
Center for Internet Security · Membresía CIS SecureSuite
Plataforma de evaluación de configuración y cumplimiento basada en la nube con soporte de CIS Benchmark y monitoreo continuo
Qualys · Suscripción por activo
Plataforma unificada de gestión de endpoints para inscripción de dispositivos, implementación de software, configuración y cumplimiento en Windows, macOS, iOS y Android
Microsoft · Suscripción por usuario/por dispositivo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Interceptación de Credenciales mediante Protocolos de Gestión Inseguros
ConfidencialidadLas credenciales administrativas transmitidas por Telnet, HTTP o SNMP sin cifrar son capturadas por atacantes que realizan rastreo de red, otorgando control administrativo completo.
Ataque de Hombre en el Medio sobre Tráfico de Gestión
IntegridadLos atacantes interceptan y modifican comandos de gestión enviados por protocolos inseguros, alterando configuraciones de dispositivos, inyectando cuentas con puertas traseras o interrumpiendo servicios.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Uso de Protocolos de Gestión Inseguros
Gestionar activos empresariales mediante Telnet, HTTP o SNMPv1/v2 expone credenciales administrativas y comandos en texto plano en la red.
Sin Configuración de Infraestructura con Control de Versiones
Sin infraestructura como código con control de versiones para gestionar configuraciones, los cambios no autorizados son difíciles de detectar e imposibles de revertir de manera confiable.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |