El registro de activos miente.
Cada trimestre, el equipo de seguridad certifica un inventario que ya se desvió de la realidad el primer día. La hoja dice diez dispositivos en la sala de juntas; el cable muestra catorce. Aquí está por qué se abre esa brecha, por qué no se cierra por sí sola y qué encontrará la auditoría cuando nadie más lo haga.
Por el equipo de CybrIQ · 8 minutos de lectura
El registro arranca equivocado.
Los registros de activos se construyen a partir de órdenes de compra, tickets de despliegue y el sistema de procurement. Cada dispositivo en la hoja fue comprado, recibido y asignado. Esa es una descripción perfectamente razonable de lo que fue solicitado. Es una descripción pobre de lo que está conectado.
Las dos no son lo mismo. Llegan dispositivos sin ticket. Los contratistas enchufan equipo que trajeron consigo. Los proveedores envían piezas de reemplazo bajo garantía que nunca se registran. Un codec cambiado por RMA, un punto de acceso temporal durante una obra, el switch barato no gestionado que el equipo AV instaló detrás del rack para extender la conectividad. Nada de eso pasa por compras. Todo eso pasa por la red.
Se desvía más cada trimestre.
Considera la cadencia de la hoja frente a la cadencia de la red. La mayoría de los registros de activos empresariales se revisa trimestralmente. La red cambia cada día. Incluso en un entorno congelado, la brecha crece por definición: los dispositivos fallan, se sustituyen, se mueven, se reasignan. Cada cambio es un pequeño drift. El drift se acumula.
Para cuando arranca el siguiente ciclo de auditoría, la hoja que era autoritativa el primer día es ficción. El equipo que la opera lo sabe. El auditor lo descubrirá rápido.
Los switches no gestionados multiplican el problema.
Aquí es donde el registro pasa de incompleto a engañoso. Una toma de red registrada aloja un dispositivo registrado. El equipo trata esa toma como resuelta. Luego alguien enchufa un switch no gestionado de 5 puertos en la toma, y aparecen cuatro dispositivos más en el cable detrás de él.
Ninguno de los cuatro está en el registro. NAC no los ve como endpoints separados. El cable lo sabe. El registro no. En un único despliegue de CybrIQ, un puerto Catalyst 2960 resolvió a 65 dispositivos distintos detrás de él. La hoja de activos listaba uno.
Los dispositivos gestionados por proveedor son una brecha de responsabilidad.
Las salas de conferencias modernas se entregan con codecs, reproductores de cartelería, cámaras inteligentes y presentadores inalámbricos que son gestionados por proveedor por diseño. El integrador es dueño de la instalación. El proveedor es dueño del firmware y del ciclo de vida del dispositivo. El cliente es dueño de la red en la que reside.
Nadie es dueño de la pregunta de si el dispositivo en el cable hoy es el dispositivo que se instaló el último trimestre. Los registros del integrador cubren la instalación. Los registros del proveedor cubren el dispositivo. Los registros del cliente cubren el plano de la planta. Ninguno cubre el cable.
Lo que un auditor realmente quiere.
El auditor no pide la hoja. El auditor pide evidencia de que la red que describes es la red que tienes. Una lista de dispositivos es un punto de partida. Una lista de dispositivos que sea verificablemente actual es el artefacto que satisface el control.
La HIPAA Security Rule §164.310, el Requisito 12.5.1 de PCI 4.0, el Trust Services Criterion CC6.1 de SOC 2, la función ID.AM de NIST CSF y el control AC.L2-3.4.1 de CMMC Nivel 2 hacen todos la misma pregunta subyacente. Cada uno la formula de manera diferente. Cada uno acepta distintas formas de evidencia. Todos rechazan «porque lo dice la hoja».
La solución es estructural, no operativa.
La razón por la que la hoja sigue desviándose no es que el equipo de seguridad sea perezoso o el equipo de activos descuidado. Es que la hoja es la estructura de datos equivocada para la pregunta que se hace. Una hoja la actualizan humanos según un calendario. Una red cambia por sí sola, entre actualizaciones, más rápido de lo que los humanos pueden seguir.
La solución es dejar de tratar el registro como la fuente de verdad y empezar a tratar el cable como la fuente de verdad. CybrIQ ejecuta Device DNA™ de forma continua, deriva la firma de cada dispositivo de su comportamiento observable en Capa 1 y mantiene el inventario al día conforme cambia la red. El registro no tiene que reconstruirse antes de la auditoría. Se reconstruye cada vez que se valida un puerto.
La conclusión. El registro de activos siempre iba a desviarse. La pregunta es si la brecha se cierra sola, o si la cierra el auditor por ti. CybrIQ la cierra de forma continua, en el cable.
Lectura adicional
- «Se ve bien» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no, y por qué las auditorías piden el cable.
- Cinco informes, una sola verdad. Mapear un único registro de Capa 1 a HIPAA, PCI, SOC 2, NIST CSF y CMMC sin reconstruirlo cinco veces.
Un inventario que no depende de que la hoja esté bien.
Una sesión de trabajo de 30 minutos sobre una de tus salas o una planta de un edificio. Al terminar la reunión, tendrás un inventario Device DNA™ extraído del cable, fechado al segundo, listo para la próxima auditoría.