Es revelador que el primero de los 18 Controles CIS no sea una tecnología deslumbrante, sino la tarea más humilde de todas: saber qué equipos tienes conectados a tu red. Servidores, computadoras, laptops, celulares, impresoras, cámaras, dispositivos de red. El Control 1 pide un inventario de activos de hardware actualizado, y ocupa el primer lugar por una razón de hierro: no puedes proteger lo que no sabes que existe.
Por qué es el número uno
Piénsalo desde el lado del atacante. Su forma más fácil de entrar no es venciendo tu mejor defensa: es encontrando el equipo que tú no sabías que estaba ahí. La laptop vieja que alguien reconectó, el servidor de pruebas que quedó olvidado, el dispositivo que un proveedor instaló y nadie registró, esa cámara IP con la contraseña de fábrica. Cada activo que no está en tu inventario es un punto ciego, y los puntos ciegos no reciben parches, ni configuración segura, ni monitoreo, porque nadie sabe que hay que dárselos. El atacante busca exactamente eso.
Por eso todos los demás controles dependen de este. ¿Cómo vas a parchar lo que no sabes que tienes? ¿Cómo vas a configurarlo con seguridad? El inventario es el cimiento sobre el que se para todo lo demás.
Qué pide en la práctica
- Un inventario completo y actualizado de todos los dispositivos conectados, con datos útiles: qué es, quién lo usa, dónde está, su dirección de red.
- Descubrimiento activo. No basta con una lista escrita a mano que envejece; se usan herramientas que descubren lo que hay en la red, para atrapar lo que se conecta sin avisar.
- Atender lo no autorizado. Cuando aparece un equipo desconocido, hay un proceso: identificarlo y, o bien incorporarlo formalmente, o bien retirarlo. Un dispositivo no autorizado en la red es una alerta, no un detalle.
El aterrizaje honesto
La mayoría de las empresas creen que saben qué tienen, y casi ninguna acierta cuando lo verifica. Aparecen equipos fantasma, dispositivos que nadie recuerda, cosas conectadas "temporalmente" hace tres años. Ese descubrimiento incómodo es el valor del control: cada sorpresa que encuentras es un riesgo que estabas corriendo a ciegas. No necesitas empezar con una plataforma cara; puedes empezar con una hoja de cálculo honesta y disciplina, y madurar hacia el descubrimiento automático. Lo desarrollamos en inventario de activos de TI: no es glamoroso, pero es el primer paso que hace posibles todos los demás.