NIS2 · Art. 21 medidas de gestión de riesgos · responsabilidad de la dirección

Cuando el ransomware toma el dominio, se lleva la operación con él.

ADscan mide tu exposición a ransomware — cada vía desde un usuario de bajo privilegio hasta el compromiso total del dominio en tu Active Directory — lo demuestra explotándola, y mapea cada una a la medida de gestión de riesgos de NIS2 que hay detrás. On-premise. Motor open source. Nueve de cada diez intrusiones entran por la identidad.

Pide tu evaluación gratis Ver la comparativa

Usuario de bajo privilegio → cuenta de servicio → domain admin → Tier 0. La identidad es el puente de IT a la operación.

El mecanismo

Un pentest es una foto. Tu Active Directory es una película.

Para una entidad esencial o importante, la continuidad es la obligación. Active Directory es el plano de control sobre el que corre tu operación, y cambia cada día. ADscan vigila en continuo la superficie de identidad por la que cabalga el ransomware, no una vez al año.

Medir

Mapeamos cada vía desde un usuario corriente del dominio hasta el control total (Tier 0), la ruta que un atacante recorre hacia tus sistemas operativos.

Demostrar

Explotamos cada vía de principio a fin, para que un riesgo de continuidad sea un hecho demostrado, no un quizás en un registro de riesgos.

Mapear

Atamos cada vía probada a la medida de gestión de riesgos de NIS2 que aborda, para que la evidencia esté lista para la autoridad competente.

Lo que está en juego

Sectores distintos, un mismo cuello de botella: la capa de identidad.

01 · Sanidad privada

El ransomware es un riesgo para el paciente.

Cuando cae el dominio no se paran los registros, se paran quirófanos, imagen y farmacia. Para un hospital o una clínica, la caída es riesgo clínico, no solo un incidente de protección de datos.

02 · Industria y OT

Active Directory es el puente al OT.

En industria, energía, agua y transporte, la capa de identidad es adyacente a la tecnología operativa. Una vía a domain admin suele ser una vía hacia los sistemas que mueven físicamente la planta.

03 · Responsabilidad de la dirección

NIS2 señala al órgano de dirección.

NIS2 hace responsable a la dirección de aprobar y supervisar las medidas de gestión de riesgos. La evidencia de que la superficie de identidad se prueba en continuo es justo lo que esa responsabilidad necesita.

Mapeo a NIS2

Cada vía probada aterriza en una medida del Art. 21.

El artículo 21 lista las medidas de gestión de riesgos que deben tomar las entidades esenciales e importantes. El informe ata cada vía probada a la medida que evidencia, así el rastro de auditoría se construye sobre la marcha.

Vía AD probadaMedida NIS2

Medida Art. 21

Cómo aporta ADscan la evidencia

21(2)(a)

Análisis de riesgos y política de SI

Un inventario continuo y explotado de las vías de la capa de identidad al control total del dominio, que alimenta un análisis de riesgos basado en hechos probados.

21(2)(b)

Gestión de incidentes

Conocer las vías vivas a Tier 0 antes de un incidente acorta la detección y la contención cuando el ransomware se mueve por la identidad.

21(2)(c)

Continuidad de negocio

La métrica de exposición mapea directamente al riesgo de continuidad: cerrar vías al compromiso de dominio es cerrar rutas a la parada operativa.

21(2)(e)

Evaluación de la eficacia

La revalidación continua demuestra que las medidas funcionan de verdad, escaneo tras escaneo, en vez de afirmarlo una vez al año.

Lo que encontramos una y otra vez

“En las 6 entidades reguladas donde lo ejecuté, el 100% tenía al menos un camino al compromiso total del dominio. Una llevaba dos años sin detectarlo en pentests anuales.”

Yeray Martín · Fundador, ADscan

100%de esos entornos tenía un camino vivo a Tier 0. En el conjunto del sector, más del 95% de los Active Directory arrastran attack paths.

La plataforma

Corre donde corre tu operación: dentro de tu perímetro.

Para un operador de servicios esenciales, la propia herramienta de evaluación no puede convertirse en una exposición nueva. ADscan es on-premise, así que los datos de Active Directory que mapean tu riesgo operativo nunca salen de tu red.

Appliance on-premise. Los datos de AD nunca salen de tu infraestructura.
Motor open source. Seguro de ejecutar junto a sistemas OT y clínicos sensibles.
Escaneos programados en continuo con ciclo de vida del hallazgo y webhooks a SIEM.
Informes NIS2, ENS y DORA generados desde la misma evidencia.

La oferta

Una Prueba de Valor gratis. Encontramos tus vías a Tier 0, en vivo, este trimestre.

Yeray se conecta por VPN, ejecuta ADscan contra tu Active Directory y entrega el informe mapeado a NIS2 el mismo día. Tú no tocas la plataforma.

Evaluación en vivo

Una sesión de 1 a 2 horas donde ejecutamos el motor contra tu dominio real y mapeamos las vías según salen.

Incluida gratis

Informe mapeado a NIS2

Cada vía probada atada a su medida del Art. 21, escrito para la dirección y para la autoridad competente.

Entregado el mismo día

Prioridad de remediación

Las vías ordenadas por cuán directamente alcanzan Tier 0, para que tu equipo proteja primero la continuidad.

Incluida gratis

Garantía AD Verified

Si no podemos mostrarte una vía que sepamos explotar, no nos debes nada y te quedas el informe. Estamos así de seguros porque, hasta hoy, no hemos dejado de encontrar una.

Limitado a un número reducido de evaluaciones gratis por trimestre, a cambio de un testimonio.

Qué das y qué obtienes

Tú das: acceso VPN para una sesión y feedback honesto.
Tú obtienes: una imagen probada y mapeada a NIS2 de tu exposición a ransomware, el mismo día.
Sin compras, sin despliegue de plataforma, sin compromiso de continuar.

Pide tu evaluación gratis

Es la puerta de entrada al CTEM continuo, no una llamada de ventas. Te llevas la evidencia en cualquier caso.

Objeciones

Las preguntas que hace un responsable de seguridad antes de decir que sí.

Nuestro riesgo está en el OT, no en Active Directory. ¿Por qué empezar aquí?

Porque la vía suele empezar en IT y cruza por la identidad. En industria, energía y transporte, Active Directory es adyacente al OT, y domain admin suele ser un paso hacia los sistemas que mueven físicamente la operación. Cerrar vías de AD cierra el puente más común.

Tenemos sistemas clínicos y operativos sensibles. ¿Es seguro ejecutarlo?

ADscan es on-premise y el motor es open source, así que corre dentro de tu perímetro sin que ningún dato de AD salga de la red. Esa postura es la que te deja evaluar el riesgo de identidad sin introducir uno nuevo junto a sistemas clínicos u OT.

¿En qué se diferencia de nuestro pentest anual?

Un pentest anual es un día de cobertura de 365, y Active Directory cambia a diario. ADscan cubre la superficie en continuo y explota cada vía para demostrarla. Una de las seis entidades que probamos tenía una vía viva que dos años de pentests anuales no habían visto.

¿Qué recibe la dirección?

Una única métrica de exposición que se puede seguir: el número de vías vivas y explotadas al control total del dominio, cada una atada a la medida de NIS2 que evidencia. Es lo que convierte la supervisión de las medidas de gestión de riesgos en algo que la autoridad puede auditar.

NIS2 · la continuidad es la obligación

Protege la operación cerrando la vía antes de que la encuentre el ransomware.

Una evaluación gratis y en vivo de tu exposición a ransomware, mapeada a NIS2, entregada el mismo día. Sin plataforma que aprender, sin compras que iniciar.

Pide tu evaluación gratis Cómo guardamos tus datos