Un campus hospitalario. Un miércoles. 312 dispositivos encontrados.

El planteamiento

El cliente es un sistema sanitario Fortune 500 con presencia nacional. Varios campus hospitalarios, grupos médicos regionales, centros de cirugía ambulatoria y una rama de investigación con financiación federal. Dentro de la cartera permanente de obligaciones de cumplimiento: regla de seguridad HIPAA, umbrales de notificación de brechas HITECH, PCI 4.0 (cafetería, farmacia, tienda de regalos), SOC 2 para la plataforma de cara al paciente, NIST CSF para la unidad de investigación con financiación federal y revisiones del Entorno de Atención de la Joint Commission en un ciclo aparte.

El equipo de GRC había dedicado los dos ciclos de auditoría anteriores a producir el mismo artefacto: una reconstrucción por planta del inventario de dispositivos, extraída de registros de compras, tickets de despliegue, inventarios biomédicos, listas de firmware gestionado por proveedor y recorridos físicos sobre el terreno. Cada ciclo duraba de 5 a 7 semanas. Cada ciclo producía un documento que ya era parcialmente ficción cuando llegaba al equipo de auditoría, porque la red se había movido por debajo.

La petición: producir algo defendible sin gastar un trimestre en el proyecto.

Por qué CybrIQ

El director de GRC y el CISO habían llegado a la misma conclusión desde direcciones distintas. El registro de activos estaba estructuralmente equivocado. El cable era la única fuente de verdad que podía seguir el ritmo de la red, y nada de lo que el equipo poseía podía leer el cable en Capa 1 con la precisión que la auditoría exigía. NAC, EDR y las herramientas de gestión de activos veían cada una un fragmento del problema y se detenían donde se detenía el agente.

Los criterios de decisión eran estrechos:

• Despliegue no invasivo. La atención al paciente no podía interrumpirse. Sin agentes en endpoints monitorizados, sin cambios en la configuración del switch que pudieran causar caídas.
• Evidencia por dispositivo defendible ante auditoría. El artefacto debía ser uno que la firma de auditoría aceptara sin discusión, fechado al segundo.
• Tiempo hasta el primer inventario medido en días, no en trimestres. La conversación de definición de alcance debía dar como resultado un inventario real al final de la misma semana.
• Portabilidad de marcos. El mismo registro debía mapear a HIPAA, PCI, NIST CSF y Joint Commission EC sin reconstruirlo cada vez.

El proyecto

El proyecto delimitó un campus para empezar: el hospital de referencia y un centro de cirugía ambulatoria adyacente que compartían tejido de red. El despliegue se realizó un miércoles por la mañana. SpacesIQ ejecutó identificación continua de Capa 1 contra el alcance acordado, sin instalar ningún agente en los endpoints monitorizados. El equipo del CISO y el responsable biomédico del cliente se sumaron al standup diario; el director de GRC se sumó dos veces esa semana.

Lo que mostró el cable

• 312 dispositivos identificados como no gestionados o no identificados. El registro de activos listaba aproximadamente dos tercios de la población. El tercio restante estaba en el cable, identificado y fechado para el viernes.
• 47 dispositivos ausentes por completo del registro de activos. Compras no tenía registro. Biomed no tenía registro. El cable sí tenía registro.
• 11 switches no gestionados detrás de tomas de contratistas. Cada uno creando puertos descendentes que el equipo de TI no había puesto en servicio y que NAC no veía como endpoints separados.
• 3 dispositivos gestionados por proveedor sin visibilidad para el equipo de TI. Documentación correcta, número de serie correcto, validación de software correcta. La identificación de Capa 1 los catalogó como dispositivos gestionados por proveedor que no estaban en el inventario biomédico del cliente.
• 1 modalidad de imagen cuya versión de firmware no coincidía con su registro de activo. Sustituida bajo RMA el trimestre anterior; el cambio no se registró. La firma de Capa 1 lo detectó.

El resultado

El equipo de GRC tenía reservado un proyecto de reconstrucción de seis semanas para el siguiente ciclo de auditoría. Tras la primera barrida que entregó el registro por dispositivo, el proyecto se retiró. El equipo replanteó el trabajo de preparación de auditoría como una revisión de paquete de evidencia de cuatro días contra la salida continua de la plataforma. La firma de auditoría recibió la nueva forma de evidencia y la confirmó como un artefacto más sólido que la reconstrucción anterior.

Doce meses después, el cliente amplió SpacesIQ al resto de la huella del campus. ComplianceIQ ahora se ejecuta junto a él, con la firma de auditoría trabajando desde la salida continua de CybrIQ como base factual para HIPAA, PCI y el programa NIST CSF de la unidad de investigación con financiación federal. La categoría de auditoría que producía la mayor parte de los hallazgos en cada ciclo previo, «integridad del inventario de activos», no ha producido ningún hallazgo desde entonces.

Por qué este proyecto es el de referencia

Este despliegue es el proyecto de referencia que citamos en el resto del sitio por dos razones. Las cifras son concretas, fechadas y verificables dentro del programa de GRC del cliente. Y el caso de uso se generalizó con limpieza: cada cliente que hemos atendido desde entonces ha producido una forma similar de hallazgo en la primera barrida, con conteos específicos que varían según el entorno.

Los números 312 / 47 / 6 sem → 4 días pertenecen a este proyecto. El patrón, en nuestra experiencia, es la regla, no la excepción.

Lecturas recomendadas

• El registro de activos miente. Por qué la hoja de cálculo se desvía del cable el primer día y nunca cuadra.
• «Tiene buena pinta» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no.
• Cinco informes, una sola verdad. Mapeo de un único registro de Capa 1 a HIPAA, PCI, SOC 2, NIST CSF y CMMC.