Desde el Grupo de Expertos en ITAM de itSMF España llevamos comentándolo muchos meses, pero de nuevo, el CIS (Center for Internet Security) así lo ha corroborado: en su nueva versión de los “CIS Controls” (18 controles para mejorar la ciberseguridad de nuestras organizaciones), los dos primeros controles vuelven a ser:
- Inventory and Control of Enterprise Assets
- Inventory and Control of Software Assets
O lo que viene siendo en castellano: realizar una adecuada Gestión de Activos TI, tanto Hardware como Software.
Además, la primera frase del primer control es absolutamente contundente:
“Entrerprise cannot defend what they do not know they have”
Fuente: CIS Controls V8. Control V01: Inventory and control of Entreprise Assets.
La verdad, se puede decir más alto, pero no más claro.
Las organizaciones tratan de construir una especie de fortaleza en torno a sus redes TI, pero muchas veces, sin pararse a mirar antes cuáles son los límites y estado de su castillo. Los límites cada vez están más difusos, debido en gran medida a las migraciones de sistemas a la nube, teletrabajo y/o sistemas híbridos,… Y si los límites no están claros, el estado del castillo muchas veces tampoco, debido, en gran medida, a que cada vez es más grande y desconocido.
Para solventar las dificultades anteriores y conseguir mantener a salvo nuestra fortaleza, el CIS propone empezar con algo tan “sencillo” como simplemente conocerla. Conocer cuál es, hasta dónde llega, y cuál es su estado de conservación. A partir de ahí, y solo a partir de ahí, tendrá sentido comenzar a reparar aquellas partes que estén más deterioradas, o que presenten mayor riego de ser atacadas.
Ataque que puede venir del exterior, pero también del interior (hay que mirar hacia afuera, pero sin olvidarse también de mirar hacia adentro). Y en esa mirada interior, es en donde estos dos controles del CIS hacen mucho énfasis, dejando clara la necesidad de conocer qué tenemos, dónde lo tenemos y cómo lo tenemos, como paso previo antes de lanzarnos como pollo sin cabeza a tratar de mejorar la ciberseguridad de nuestros sistemas. Por supuesto, solo con la Gestión de Activos no será suficiente, faltaría más, pero es algo absolutamente necesario.
Y sin intención de profundizar en exceso en el resto de los controles del CIS, se pueden identificar unos cuantos más que vuelven a estar tremendamente cercanos a la Gestión de Activos TI; son controles relacionados con la identificación y gestión de vulnerabilidades en la infraestructura, gestión de dispositivos de red, identificación y revisión de los sistemas antimalware, análisis de logs de acceso, gestión de usuarios,… todos estos conceptos cubiertos en mayor o menor medida por la práctica de Gestión de Activos TI.
Por todo lo anterior, no cabe duda de que la Gestión de Activos de TI (ITAM, IT Asset Management) sigue siendo el paso 0 en nuestro camino hacia la mejora de la ciberseguridad de nuestras organizaciones.
Team Leader Grupo Expertos itsm4ITAM
Comité de Estándares de itSMF España