Estimados amigos de Inseguros !!!
Seguimos con el Tema 6 de los Controles CIS y hoy toca el 6.6. El control, dicho en castellano, pide algo muy concreto: tener un sistema, y un inventario, de los sistemas de autenticación y autorización que existen en la organización.
Esto parece obvio… hasta que se mira un entorno real.
En la empresa “tradicional”, autenticación era casi sinónimo de Controlador de Dominio. Entrabas por la mañana, usuario y contraseña, y con eso ibas tirando: carpetas, aplicaciones .NET que tiraban de Windows, y si estabas fino, incluso Single Sign-On para algunas cosas.
Pero ese mundo ya no existe así.
Hoy tienes aplicaciones y plataformas de todos los ecosistemas. Y cada ecosistema suele traer su propia manera de autenticar y autorizar. Un ejemplo sencillo: VMware. Puedes tener usuarios locales dentro de VMware o puedes delegar en Active Directory. En el segundo caso, ya tienes dos piezas que gestionar: por un lado Active Directory y por otro VMware como “consumidor” de identidad.
Y en cuanto aparece Microsoft 365, la mayoría de organizaciones entran de lleno en el mundo híbrido. Ya no es solo AD. Empieza Entra ID, empiezan los tenants, empiezan los métodos de autenticación modernos, empieza el “quién manda aquí” para cada aplicación y cada acceso. Y a partir de ahí lo normal es que se sumen más piezas: SaaS con usuarios locales, SaaS federados, aplicaciones antiguas, aplicaciones nuevas, proveedores con acceso, y un largo etcétera.
Por eso el 6.6 insiste tanto en el inventario. No es un inventario “para cumplir”. Es para que no te ocurra lo típico: se revoca el acceso en un sitio, pero se olvida en otro. O se aplica MFA en un portal, pero no en el siguiente. O se controla el acceso a las carpetas, pero alguien tiene un usuario local en una consola de administración que nadie ha apuntado en ningún lado.
Inventario, aquí, significa listar los “puntos de identidad” y los “puntos de decisión”. Qué autentica (quién verifica identidad) y quién autoriza (quién decide permisos). Active Directory, Entra ID, plataformas como VMware si tienen usuarios locales, aplicaciones con base de datos propia de usuarios, VPNs con autenticación interna, consolas de administración, portales cloud, y cualquier servicio donde exista un login y una asignación de permisos.
Y esto no es solo para IT. En empresas grandes el problema suele aparecer con “lo que no parece IT”: herramientas de marketing, plataformas externas, portales de proveedores, soluciones que se compraron con tarjeta, herramientas de soporte, etc. Cada una de esas piezas puede estar gestionando identidad y permisos por su cuenta, y si no se inventaría, se convierte en una zona ciega.
El 6.6 es la base para lo que viene después. Antes de hablar de políticas finas, de control condicional, de revisiones, de mínimos privilegios o de automatización, hay que saber qué sistemas existen y cómo se conectan. Si no, se trabaja a ciegas, y la identidad acaba siendo un puzzle imposible de gobernar.
Para profundizar en este tipo de control en entornos reales (identidad, permisos, operación y gobierno en Microsoft y entornos híbridos), en www.seguridadsi.com están los cursos y programas de la academia orientados a profesionales de ciberseguridad que trabajan en empresa.
Gracias por leerme !!!
