Los controles CIS son un conjunto de buenas prácticas para proteger los sistemas y los datos contra los ataques más comunes. También conocidos como los Controles Críticos de Seguridad del CIS o los 20 principales, estos controles pueden ayudar a las organizaciones a protegerse de las ciberamenazas más comunes y perjudiciales.
Los controles del CIS contienen tres categorías: Básica, Fundamental y Organizativa. El CIS recomienda que todas las organizaciones implementen controles básicos. A continuación, las organizaciones deben aplicar los controles fundacionales y organizativos en función de sus necesidades específicas.
Controles básicos
Los Controles Básicos son un conjunto de 20 prácticas de seguridad que toda organización debería aplicar. Estos controles abordan vectores de ataque comunes y contienen cinco categorías:
- Gestión de identidades y accesos: Controles que ayudan a garantizar que sólo los usuarios autorizados tengan acceso a los sistemas y datos.
- Gestión de la configuración y la vulnerabilidad: Controles que ayudan a garantizar que las organizaciones configuren adecuadamente los sistemas y parcheen las vulnerabilidades con prontitud.
- Defensas contra el malware: Controles que ayudan a proteger contra las infecciones de malware.
- Protección de aplicaciones e información: Controles que ayudan a proteger las aplicaciones y los datos contra el peligro.
- Respuesta a incidentes: Controles que ayudan a las organizaciones a responder rápida y eficazmente a los incidentes de seguridad.
Controles fundamentales
Los Controles Fundamentales son un conjunto de 23 prácticas de seguridad que las organizaciones deben aplicar en función de sus necesidades específicas. Estos controles se basan en los controles básicos y abordan ataques más sofisticados. Las seis categorías son:
- Gestión y descubrimiento de activos: Controles que ayudan a las organizaciones a inventariar y rastrear sus activos.
- Defensa de los límites: Controles que ayudan a proteger el perímetro de la red de los ataques.
- Protección de datos: Controles que ayudan a proteger los datos contra el peligro.
- Capacidades de detección y respuesta: Controles que ayudan a las organizaciones a detectar y responder a los incidentes de seguridad.
- Educación y concienciación de los usuarios: Controles que ayudan a educar a los usuarios en las mejores prácticas de seguridad.
- Protección de aplicaciones e información: Controles que ayudan a proteger las aplicaciones y los datos contra el peligro.
Controles organizativos
Los controles organizativos son un conjunto de 8 prácticas de seguridad que las organizaciones deben aplicar en función de las necesidades específicas de la organización. Estos controles se basan en los Controles Básicos y Fundamentales y abordan ataques más sofisticados. Las cuatro categorías son:
- Gestión de riesgos: Controles que ayudan a las organizaciones a identificar, evaluar y mitigar los riesgos.
- Gobernanza de la seguridad: Controles que ayudan a las organizaciones a establecer y mantener un programa de seguridad.
- Seguridad de la cadena de suministro: Controles que ayudan a las organizaciones a asegurar su cadena de suministro.
- Seguridad de terceros: Controles que ayudan a las organizaciones a asegurar sus relaciones con los proveedores de servicios de terceros.
¿Por qué son importantes los controles del CIS?
Los Controles CIS son importantes porque proporcionan un enfoque completo y práctico para asegurar los sistemas y los datos contra los ataques más comunes. Al aplicar los controles, las organizaciones pueden reducir significativamente su exposición a las ciberamenazas.
Además, una gran experiencia y conocimientos técnicos respaldan a controles de CIS. El Center for Internet Security, que desarrolló los controles, es una organización sin ánimo de lucro que reúne a expertos de la administración, el mundo académico y el sector privado para colaborar en soluciones de ciberseguridad.
Las principales organizaciones de seguridad respaldan los controles CIS, entre ellas el Instituto Nacional de Normas y Tecnología (NIST), el Equipo de Preparación para Emergencias Informáticas de Estados Unidos (US-CERT) y el Departamento de Seguridad Nacional (DHS).
¿Cuáles son los 20 controles críticos de seguridad?
Los 20 Controles Críticos de Seguridad (CSC) son un conjunto de buenas prácticas de seguridad que ha desarrollado el Centro para la Seguridad en Internet (CIS). Diseñaron los CSC para ayudar a las organizaciones a protegerse contra los ataques más comunes, y se dividen en las siguientes categorías:
1. Inventario y control de los activos de hardware
Los atacantes exploran continuamente Internet en busca de sistemas vulnerables que puedan explotar. Para reducir el riesgo de peligro, las organizaciones deben inventariar y controlar sus activos de hardware. Esto incluye el seguimiento de los sistemas que hay en el entorno, el software instalado en esos sistemas y quién tiene acceso a ellos.
2. Inventario y control de los activos de software
Las organizaciones necesitan inventariar y controlar sus activos de software para asegurarse de que los empleados sólo utilizan software autorizado en sus sistemas y que todo el software está actualizado con los últimos parches de seguridad.
3. Gestión de la configuración
Su organización necesita configurar los sistemas de forma adecuada para reducir el riesgo de compromiso. Esto incluye el endurecimiento de los sistemas de acuerdo con las mejores prácticas de la industria, la desactivación de servicios y cuentas innecesarias, y el uso de contraseñas seguras.
4. Control de las conexiones externas
Su organización necesita asegurar adecuadamente las conexiones externas para evitar el acceso no autorizado a los sistemas. Esto incluye configurar correctamente los cortafuegos, los routers y otros dispositivos perimetrales, y asegurarse de que controlan adecuadamente el acceso remoto.
5. Protección de datos
Las organizaciones deben proteger los datos adecuadamente para evitar el acceso y el uso no autorizados. Esto incluye el cifrado de los datos en reposo y en tránsito y la aplicación de estrictos controles de acceso.
6. Gestión de la vulnerabilidad
Los atacantes suelen aprovechar las vulnerabilidades para acceder a los sistemas. Para reducir el riesgo de peligro, las organizaciones deben escanear continuamente las vulnerabilidades y ponerles parches con prontitud.
7. Configuración segura de dispositivos de red como cortafuegos, enrutadores y conmutadores
Las organizaciones deben configurar correctamente los dispositivos de red para evitar el acceso y el uso no autorizados. Esto incluye la desactivación de servicios y cuentas innecesarias, el uso de contraseñas seguras y la configuración adecuada de los cortafuegos.
8. Defensa de los límites
Las organizaciones necesitan configurar las defensas perimetrales de forma adecuada para evitar el acceso no autorizado a los sistemas. Esto incluye configurar correctamente los cortafuegos, los routers y otros dispositivos perimetrales, y asegurarse de que controlan adecuadamente el acceso remoto.
9. Capacidades de recuperación de datos
En caso de pérdida o corrupción de datos, las organizaciones deben contar con un plan para recuperar sus datos. Esto incluye tener copias de seguridad de los datos críticos y probar esas copias con regularidad.
10. Evaluación de las competencias en materia de seguridad y formación adecuada para colmar las lagunas
Las organizaciones deben evaluar las competencias de sus empleados y ofrecer la formación adecuada para cubrir las carencias. Esto incluye la identificación de los empleados que necesitan formación y la puesta a su disposición de recursos como cursos en línea o talleres presenciales.
11. Configuraciones seguras para dispositivos en red
Las organizaciones deben configurar adecuadamente los dispositivos conectados a la red para evitar el acceso y el uso no autorizados. Esto incluye la desactivación de servicios y cuentas innecesarias, el uso de contraseñas seguras y la configuración adecuada de los cortafuegos.
12. Evaluación continua de la vulnerabilidad y corrección
Los atacantes suelen aprovechar las vulnerabilidades para acceder a los sistemas. Para reducir el riesgo de peligro, las organizaciones deben escanear continuamente las vulnerabilidades y ponerles parches con prontitud.
13. Uso controlado de los privilegios administrativos
Las organizaciones deben aplicar un control estricto de los privilegios administrativos para evitar el acceso no autorizado a los sistemas. Esto incluye el uso de los principios de mínimo privilegio, la creación de cuentas separadas para los administradores y la gestión eficaz de las listas de control de acceso.
14. Mantenimiento, seguimiento y análisis de los registros de auditoría
Los registros de auditoría pueden ser una valiosa fuente de información para detectar e investigar incidentes de seguridad. Para maximizar su utilidad, las organizaciones deben asegurarse de mantener, supervisar y analizar adecuadamente los registros de auditoría.
15. Restricción de puertos, protocolos y servicios de red
Las organizaciones deben restringir el acceso a los puertos, protocolos y servicios de la red sólo a aquellos que los necesiten. Esto incluye la desactivación de servicios y cuentas innecesarias, el uso de contraseñas seguras y la configuración adecuada de los cortafuegos.
16. Seguimiento y control de cuentas
Las organizaciones necesitan supervisar y controlar las cuentas de usuario para evitar el acceso no autorizado a los sistemas. Esto incluye la creación de contraseñas seguras, la desactivación de las cuentas que no se utilizan y la supervisión periódica de la actividad de las cuentas.
17. Prevención de fugas de datos
Las organizaciones necesitan evitar que se filtren datos sensibles. Esto incluye el cifrado de los datos en reposo y en tránsito y la aplicación de estrictos controles de acceso.
18. Control de acceso inalámbrico
Las organizaciones deben configurar las redes inalámbricas adecuadamente para evitar el acceso y el uso no autorizados. Esto incluye la desactivación de servicios y cuentas innecesarias, el uso de contraseñas seguras y la configuración adecuada de los cortafuegos.
19. Controles de seguridad física
Las organizaciones necesitan implementar controles de seguridad física para evitar el acceso no autorizado a los sistemas. Esto incluye la seguridad de las instalaciones del centro de datos, el uso de contraseñas seguras y la aplicación de estrictas medidas de control de acceso.
20. Plan de respuesta a incidentes
En caso de que se produzca un incidente de seguridad, las organizaciones deben contar con un plan de respuesta. Esto incluye la identificación de las partes responsables, el establecimiento de protocolos de comunicación y la documentación de los procedimientos de respuesta a incidentes.
¿Cómo pueden las organizaciones implantar los controles del CIS?
Hay varios recursos disponibles para ayudar a las organizaciones a implantar los Controles CIS, entre ellos:
1. La guía de autoevaluación de los controles de la CIS
Esta guía ayuda a las organizaciones a evaluar su postura de seguridad actual y a identificar los controles que deben implementar.
2. Los grupos de aplicación de los controles del CIS
Estos grupos están formados por expertos en seguridad que comparten las mejores prácticas para aplicar los controles.
3. Los kits de herramientas de control del CIS
Estos conjuntos de herramientas proporcionan orientación y plantillas para aplicar los controles.
4. Los puntos de referencia del CIS
Los puntos de referencia del CIS son directrices de configuración que ayudan a las organizaciones a proteger sus sistemas. Las organizaciones pueden utilizarlos junto con los controles CIS para reforzar aún más los sistemas contra los ataques.
5. Los Controles Críticos de Seguridad (CSC) del CIS
Los CSC son un subconjunto de los controles CIS que se centran en las prácticas de seguridad más importantes. Están disponibles tanto en inglés como en español.
6. Afiliación a CIS Secure Suite
Esta afiliación proporciona acceso a todos los recursos del CIS, incluidos los Controles del CIS. También incluye descuentos en formación y eventos, así como apoyo prioritario del equipo del CIS.
7. El programa de productos certificados del CIS
Este programa prueba y certifica los productos que cumplen ciertos requisitos de seguridad. pueden ayudar a las organizaciones a implantar rápida y fácilmente los Controles CIS.
8. El programa de formación y certificación del CIS
Este programa ofrece formación y exámenes de certificación para las personas que quieran demostrar su experiencia en la aplicación de controles CIS.
El resultado final:
Los Controles CIS son un recurso valioso para las organizaciones que buscan mejorar su postura de seguridad. Los controles pueden ayudar a guiar los esfuerzos de seguridad y proporcionar un marco para mejorar la seguridad de la organización. El CIS ofrece varios recursos para ayudar a las organizaciones a implantar los controles, como guías de autoevaluación, conjuntos de herramientas y programas de formación. Si está interesado en mejorar la seguridad de su organización, no deje de consultar CIS Controls.