Control progresivo del software no gestionado mediante Endpoint Configuration Manager

Contexto del organismo

El Ministerio de Ciencia e Innovación y Universidades (MICIU) necesitaba reforzar el control del software instalado en su parque de equipos corporativos, garantizando al mismo tiempo la continuidad operativa y evitando medidas restrictivas que pudieran afectar a la productividad de los usuarios.

El entorno tecnológico ya disponía de Microsoft Endpoint Configuration Manager como plataforma de gestión, utilizada principalmente para el despliegue de aplicaciones y tareas de administración básica. Sin embargo, no existía un modelo estructurado que permitiera gobernar el software instalado ni explotar el inventario con criterios de cumplimiento.

El crecimiento progresivo del parque, junto con la existencia de permisos locales heredados, había generado una elevada heterogeneidad en los equipos, sin un mecanismo que permitiera identificar desviaciones respecto a un catálogo autorizado.

En este contexto, el objetivo no era implantar un modelo restrictivo inmediato, sino establecer un mecanismo de control progresivo que aportara visibilidad y gobernanza sin impacto disruptivo.

El reto

Aunque la plataforma permitía recopilar información sobre el software instalado, no existía un modelo formal que permitiera:

  • Evaluar el cumplimiento frente a un catálogo de aplicaciones autorizadas.
  • Clasificar las desviaciones según su impacto operativo o de seguridad.
  • Definir un estado objetivo del endpoint.
  • Evolucionar hacia medidas correctivas controladas.

Como consecuencia, determinadas incidencias técnicas se repetían en subconjuntos específicos de equipos, dificultando el análisis de causa raíz y aumentando la carga operativa del soporte.

El reto consistía en transformar una herramienta de administración en un verdadero sistema de gobierno del software instalado.

La solución implementada por TAISA

TAISA diseñó un modelo basado en Configuration Baselines de Microsoft Endpoint Configuration Manager, orientado a evaluar el estado del software frente a una lista blanca corporativa previamente definida.

El enfoque se estructuró en tres fases evolutivas:

Fase 1 – Auditoría sin impacto
Se desplegó un Configuration Baseline con capacidad exclusivamente evaluadora, sin aplicar acciones correctivas automáticas.

El objetivo fue obtener una visión real del software fuera de catálogo y medir el nivel de desviación del parque, generando datos objetivos antes de actuar.

Durante esta fase no se realizaron bloqueos ni desinstalaciones, garantizando cero impacto en los usuarios finales.

Fase 2 – Clasificación y análisis
A partir de la información recopilada, las aplicaciones detectadas fuera de catálogo se clasificaron en distintas categorías:
Software autorizado con versiones desactualizadas.
Herramientas no homologadas sin riesgo inmediato.
Aplicaciones potencialmente conflictivas o no soportadas.

Este modelo permitió priorizar actuaciones, diferenciando entre desviaciones tolerables y situaciones que requerían intervención.

Fase 3 – Activación progresiva del control
Tras validar el modelo con los equipos de soporte y responsables técnicos, se activaron medidas correctivas de forma selectiva.

Se mantuvo una separación estricta entre detección y actuación, asegurando que cualquier automatismo estuviera respaldado por criterios técnicos consensuados y alineados con la operativa del organismo.

Este enfoque permitió evolucionar hacia un mayor nivel de control sin generar fricción en el entorno de usuario.

Arquitectura técnica aplicada

El modelo se apoyó en los siguientes elementos:

  • Configuration Items con lógica estructurada de detección de software.
  • Configuration Baselines segmentados por tipo de equipo y colecciones.
  • Evaluaciones programadas de forma periódica.
  • Informes centralizados de cumplimiento.
  • Separación entre lógica de evaluación y lógica de remediación.

Este diseño permitió una implantación no intrusiva, aprovechando la infraestructura existente sin necesidad de introducir nuevas herramientas.

Resultados obtenidos

La implantación del modelo permitió:

  • Obtener visibilidad estructurada del software fuera de catálogo.
  • Reducir la heterogeneidad del parque de equipos.
  • Disminuir incidencias asociadas a aplicaciones no homologadas.
  • Introducir control sin impacto operativo ni rechazo por parte de los usuarios.
  • Convertir una funcionalidad infrautilizada en un mecanismo activo de cumplimiento.

Adicionalmente, el modelo quedó preparado para evolucionar hacia escenarios más restrictivos, adaptándose a futuras necesidades de seguridad o cumplimiento normativo.

Este proyecto refleja el enfoque de TAISA: introducir control y gobernanza de forma progresiva, basada en datos y alineada con la operativa real del cliente, maximizando el valor de las herramientas ya disponibles en su entorno.


Técnicos Asociados Informática S.A. - TI con un toque humano. 35 años acompañando a nuestros clientes en su evolución digital con calidad, cercanía y flexibilidad

Madrid:
Vía de las Dos Castillas nº33, Ática, Edificio 6, 3ª planta
28224 Pozuelo de Alarcón, Madrid
91 350 31 01

A Coruña:
Rua Amio, 114, Centro de Negocios Costa Vella, Parque Empresarial Costa Vella
15707 Santiago de Compostela, A Coruña
91 350 31 01

Soluciones

Certificado de Conformidad con el ENS

Certificado de Conformidad ENS

© 2026 TAISA - Técnicos Asociados Informática S.A. Todos los derechos reservados.