Caso de estudio · Educación superior · Universidad de investigación Tier-1

Un edificio de investigación. Un inicio de semestre. 1.247 dispositivos conciliados.

Una universidad de investigación Tier-1 de EE. UU. ejecutó SpacesIQ en un edificio de investigación al inicio del semestre de otoño, antes de una próxima revisión CMMC Nivel 2 para su rama de investigación con financiación federal. Para final de semana, la plataforma había identificado 1.247 dispositivos, 142 ausentes del registro de activos y 11 instrumentos de laboratorio con financiación federal rastreados hasta el departamento equivocado. El hallazgo CMMC de línea base de inventario se cerró en el siguiente ciclo de evaluación. Proyecto anonimizado a petición del cliente.

1.247

Dispositivos identificados en la primera barrida de un solo edificio de investigación.

142

Dispositivos ausentes del registro de activos, incluidos 11 instrumentos de laboratorio con financiación federal.

CMMC L2

Hallazgo de línea base de inventario cerrado para la rama de investigación con financiación federal.

El planteamiento

El cliente es una universidad de investigación Tier-1 de EE. UU. con una cartera de investigación financiada federalmente que abarca subvenciones del DoD, NSF y DoE. El panorama de cumplimiento: HIPAA en la facultad de medicina, PCI 4.0 en tesorería y atletismo, GLBA para ayuda financiera, NIST 800-171 / CMMC Nivel 2 para la rama de investigación adyacente a defensa, controles cercanos a FERPA en el resto. TI distribuida, con cada facultad dirigiendo su propio equipo de infraestructura.

La revisión CMMC era el motor inmediato. La rama de investigación con financiación federal opera dentro de un programa adyacente a defensa, y el control de línea base de inventario (AC.L2-3.4.1) había sido un hallazgo recurrente durante dos ciclos consecutivos. El equipo central de auditoría de la universidad había estado conciliando manualmente listas de equipos de laboratorio con registros de compras departamentales cada tres meses. El ejercicio de 40 horas por ciclo producía un documento que el evaluador federal declinaba educadamente aceptar sin más.

La petición: producir evidencia por dispositivo que el evaluador federal aceptara sin más, sin reconstruir el inventario a mano para cada ciclo de revisión CMMC.

Por qué CybrIQ

El CISO de la universidad y el responsable de cumplimiento CMMC habían llegado a la misma conclusión. El equipo de laboratorio entra y sale del manejo de CUI (Información No Clasificada Controlada) en horarios distintos; las herramientas basadas en agente no podían ver instrumentos de investigación especializados. NAC veía la VLAN corporativa; los laboratorios con financiación federal corrían en infraestructura segmentada con switches multimarca que NAC no estaba configurado para escanear.

Los criterios de decisión eran estrechos:

Sin agente en instrumentos de investigación. El equipo de laboratorio se adquiere bajo términos especializados; instalar un agente con frecuencia viola los acuerdos de soporte del fabricante.
Evidencia por dispositivo defendible ante CMMC. El evaluador federal necesitaba registros fechados, con alcance definido y por puerto, mapeados a AC.L2-3.4.1 y AC.L2-3.4.2.
Despliegue compatible con TI distribuida. La TI de cada departamento ejecuta sus propios switches; la plataforma debía leer en tejido multimarca sin configuración estandarizada.
Reutilización en múltiples marcos. La misma evidencia debía alimentar HIPAA en la facultad de medicina y GLBA en tesorería, no ser solo de CMMC.

El proyecto

El proyecto delimitó un edificio de investigación para empezar, sede de tres laboratorios con financiación federal y un núcleo de instrumentos compartidos. SpacesIQ se desplegó el lunes del inicio del semestre de otoño. El CISO de la universidad, el responsable de cumplimiento CMMC y un responsable ITSM del equipo central de TI se sumaron a la revisión diaria. Dos PIs (investigadores principales) se sumaron al recorrido de equipos de laboratorio del Día 3.

Una vista por puerto de CybrIQ de un switch de edificio de investigación que muestra conteos de dispositivos detectados, identificadores y puntuaciones de riesgo por puerto en infraestructura multimarca de laboratorio y aulas. Veintiséis puertos listados con conteos de dispositivos detectados y puntuaciones de riesgo por puerto. Varios puertos muestran múltiples dispositivos detectados, indicando equipo conectado detrás del puerto que el registro de activos no contemplaba.

Lo que mostró el cable

1.247 dispositivos identificados en el tejido mixto del edificio. Los registros de activos departamentales cubrían aproximadamente el 80% de la población. Los ~250 restantes estaban en el cable, identificados al final de la semana.
142 dispositivos ausentes por completo del registro de activos. La mayoría eran instrumentos de laboratorio adquiridos directamente por los PIs con fondos de subvenciones y nunca registrados en los sistemas centrales de TI. Varios eran equipos propiedad de asistentes docentes en aulas compartidas.
11 instrumentos de laboratorio con financiación federal rastreados hasta el departamento equivocado. Los registros de compras los situaban en el laboratorio de manejo de CUI del departamento de química; el cable los mostraba conectados en el tejido del laboratorio de ciencia de materiales. El seguimiento de financiación requería conciliar la diferencia.
4 sensores IoT en la VLAN de investigación con financiación federal. Monitores ambientales gestionados por proveedor que alguien había conectado a una red adyacente a CUI. CybrIQ marcó la ubicación incorrecta en la revisión del Día 2; el equipo de seguridad los movió a la VLAN correcta antes de la visita del evaluador.
2 switches no gestionados detrás de una toma de oficina de estudiantes de posgrado. Descubiertos durante el recorrido por puerto. Cada uno extendía el tejido del laboratorio de formas que la TI central no había autorizado.

El resultado

El hallazgo CMMC de línea base de inventario (AC.L2-3.4.1) se cerró en el siguiente ciclo de evaluación. El evaluador federal tomó la evidencia continua por dispositivo de CybrIQ como artefacto fuente de verdad y dejó de pedir la hoja de cálculo conciliada a mano por el equipo central de auditoría. Durante el siguiente semestre, la universidad amplió SpacesIQ a dos edificios de investigación más y a los entornos de ensayos clínicos de la facultad de medicina; ComplianceIQ ahora canaliza la evidencia tanto al trabajo de campo de CMMC como al de HIPAA.

La categoría de auditoría que producía la mayoría de los hallazgos en cada ciclo previo, «integridad del inventario de activos», no ha producido ningún hallazgo desde entonces.

«El evaluador federal solía preguntar por nuestro método de conciliación. Ahora pide la exportación de CybrIQ.»

Responsable de cumplimiento CMMC, universidad de investigación Tier-1 de EE. UU. Cita anonimizada a petición del cliente.

Por qué este proyecto es el de referencia

Este proyecto es la referencia de educación superior que citamos específicamente para entornos de TI distribuida. Las universidades manejan más superficie de red que la mayoría de las empresas, con menos control central sobre lo que se conecta; las cifras 1.247 / 142 son típicas para un único edificio de investigación según nuestra experiencia.

El patrón (TI distribuida que produce brechas de registro más amplias que los entornos de TI centralizada) se generaliza a la educación superior.

Lecturas recomendadas

El registro de activos miente. Por qué la hoja de cálculo se desvía del cable el primer día y nunca cuadra.
«Tiene buena pinta» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no.
Cinco informes, una sola verdad. Mapeo de un único registro de Capa 1 a HIPAA, PCI, SOC 2, NIST CSF y CMMC.

Trae un campus. Sal con el inventario que la próxima auditoría te pedirá.

La sesión de trabajo de 30 minutos. Un entorno. Los entregables se quedan contigo, conviertas el proyecto o no.

Reservar sesión de trabajo Ver el piloto de 30 días