Controles de Seguridad Críticos del CIS: Cómo implementar la versión 8.1 y por qué [+ Lista de Verificación]
Las organizaciones de hoy en día se enfrentan a una variedad de amenazas, lo que puede hacer que la ciberseguridad sea desalentadora. ¿Cómo pueden protegerse contra tantos tipos de ciberataques con recursos limitados?
Los Controles de Seguridad Críticos del CIS® (Controles del CIS®) están diseñados para ayudar a las organizaciones a enfrentar este desafío específico. Los Controles del CIS son una serie priorizada de acciones que las organizaciones pueden tomar para defenderse a sí mismas y a sus datos contra métodos comunes de ciberataques.
Veamos más de cerca qué son estos controles, por qué su organización debería implementarlos y cómo.
¿Qué son los Controles del CIS?
Los Controles del CIS son una serie de mejores prácticas para la ciberseguridad desarrolladas por el Center for Internet Security, Inc. (CIS®). Estos controles están diseñados para ayudar a las organizaciones a identificar, gestionar y mitigar las amenazas cibernéticas más comunes contra sistemas y redes. Están destinados a ser lo suficientemente amplios como para proteger y defender los programas de ciberseguridad de cualquier empresa, sin importar su tamaño, pero también lo suficientemente específicos como para facilitar su implementación.
Cada control del CIS se divide en salvaguardas CIS o acciones mensurables. Cada salvaguarda describe una acción que las organizaciones pueden tomar para defenderse contra métodos comunes de ciberataques, incluyendo malware, ransomware, ataques a aplicaciones web, amenazas internas y abuso, así como intrusos específicos, entre otros.
Los Controles del CIS se actualizan continuamente como parte del compromiso continuo del CIS para garantizar que las organizaciones se mantengan resilientes frente a las amenazas cibernéticas que evolucionan constantemente. A continuación, veremos la última iteración.
Controles del CIS versión 8.1
Los Controles del CIS versión 8.1 representan el desarrollo más reciente de los estándares de ciberseguridad para mejorar la postura de ciberseguridad de una empresa. Esta última iteración, publicada en junio de 2024, aborda las complejidades y vulnerabilidades crecientes del panorama cibernético actual al integrar nuevas clases de activos e introducir una función de seguridad de gobernanza.
La versión 8.1 de los Controles del CIS es una actualización iterativa de la versión 8.0, que refina y mejora los controles para responder mejor a los desafíos actuales de la ciberseguridad. Estos son los aspectos y mejoras clave introducidos en los Controles del CIS versión 8.1:
- Descripciones revisadas de las clases de activos y las medidas de protección de CIS: La versión 8.1 agrega documentación como una clase de activo y eleva el número total a seis. Estas seis clases: dispositivos, software, datos, usuarios, red, documentación, se alinean mejor con las áreas específicas del entorno empresarial a las que se refieren los Controles CIS. Debido a esta adición y otras pequeñas revisiones de las clases de activos, también se actualizaron algunas descripciones de medidas de protección para ofrecer más detalles, practicidad y/o claridad.
- Incorporación de nuevas definiciones de glosario y ampliación de las definiciones de ciertos términos en los controles: Debido a las nuevas y revisadas clases de activos y descripciones de medidas de protección, la versión 8.1 incluye varias nuevas definiciones de glosario o definiciones actualizadas. Los nuevos términos del glosario incluyen API, datos, documentación, Internet de las cosas (IoT), red, plan y datos sensibles.
- Alineación actualizada con NIST CSF 2.0: Desde su primera publicación, los Controles CIS se han actualizado continuamente para adaptarse a los estándares y marcos de la industria en evolución. La reciente publicación del NIST CSF 2.0 ha contribuido a la orquestación de esta última versión de los controles, que incluye asignaciones y medidas de protección actualizadas que coinciden con los cambios realizados en el NIST CSF 2.0.
- Añadido de una función de seguridad 'Governance': En la versión 8.1, se agrega Governance como una función de seguridad, elevando el número total a seis funciones. (Las otras cinco son Identificar, Proteger, Detectar, Responder, Recuperar). En esta última revisión, los temas de Governance se identifican específicamente como recomendaciones que se pueden implementar para mejorar la gobernanza de un programa de ciberseguridad. Esto ayudará a las organizaciones a reconocer mejor los elementos de gobernanza del programa, alineándolos con los objetivos comerciales y proporcionando las pruebas necesarias para demostrar el cumplimiento normativo.
Lectura recomendada
El Marco de Ciberseguridad NIST 2.0: Qué es y cómo cumplir con él [+ Lista de verificación]
¿Por qué implementar los Controles CIS?
Los Controles CIS están diseñados para simplificar el proceso de diseño, implementación, medición y gestión de la seguridad empresarial. Aquí hay algunas razones clave para implementar estos controles.
1. Mejore su postura de ciberseguridad
Los Controles CIS ofrecen un marco integral para protegerse contra una variedad de amenazas cibernéticas. Al seguir estas mejores prácticas, las organizaciones pueden fortalecer sus defensas, reducir vulnerabilidades y mejorar su postura general de seguridad. Los controles cubren áreas esenciales como la protección de datos, la gestión del acceso y la respuesta a incidentes, garantizando un enfoque holístico pero simplificado para la ciberseguridad.
2. Alinee su enfoque de ciberseguridad
Las Controles CIS están diseñadas para ser escalables y flexibles, por lo que son adecuadas para organizaciones de cualquier tamaño e industria. La versión 8.1 contiene 18 controles y 153 salvaguardas, que se dividen en tres grupos de implementación (IG). Las IG son categorías autoevaluadas que se basan en el perfil de riesgo de la organización y los recursos disponibles. Esta categorización permite a las organizaciones adoptar un enfoque personalizado y prioritario, implementando los controles apropiados según sus necesidades y capacidades específicas, en lugar de tener que implementar todos los 18 controles y las 153 salvaguardas a la vez.
3. Asignar eficientemente los recursos
Las Controles CIS están diseñadas para priorizar las medidas de seguridad más críticas, permitiendo a las organizaciones centrarse en las áreas donde sus acciones son más necesarias. Esta priorización ayuda a asignar recursos de manera eficiente, abordando primero los riesgos más importantes y logrando mejoras significativas en la seguridad sin sobrecargar a la organización con demasiadas tareas a la vez.
4. Mejora continua a lo largo del tiempo
Las Controles CIS ponen un gran énfasis en la monitorización continua, medición y mejora de las prácticas de seguridad. Mediante la evaluación regular de la efectividad de los controles implementados y realizando ajustes según sea necesario, las organizaciones pueden responder a amenazas emergentes y mantener una postura de ciberseguridad robusta a lo largo del tiempo. Este enfoque proactivo ayuda a adaptarse al panorama de amenazas en evolución y garantizar la resiliencia a largo plazo.
5. Gestión de la seguridad económica y eficiente
Al abordar las vulnerabilidades más críticas y mejorar la capacidad de respuesta a los incidentes, las Controles CIS pueden ayudar a las organizaciones a minimizar la probabilidad e impacto financiero y operativo de los ciberataques. Además, la naturaleza priorizada de los controles garantiza que los recursos se utilicen de manera eficiente, logrando beneficios de seguridad máximos con el esfuerzo óptimo.
6. Demostrar un nivel adecuado de seguridad
En los Estados Unidos no existe una norma mínima nacional, legal y transversal para la seguridad de la información. En cambio, varios estados de EE.UU. requieren que las organizaciones implementen un nivel de seguridad 'adecuado'. Aunque hay varias formas de lograr esto, muchas de estas leyes y regulaciones estatales mencionan explícitamente las Controles CIS como una forma de demostrar un nivel adecuado de seguridad.
7. Cumplimiento simplificado del marco multifacético
Las Controles CIS no solo incluyen medidas de seguridad fundamentales que cualquier organización puede utilizar para lograr una higiene cibernética básica y protegerse contra un ciberataque. También se refieren a varios marcos legales, regulatorios y de políticas, incluidos PCI DSS, NIST CSF, NIST 800-171, NIST 800-53, HIPAA, GDPR e ISO 27001. La implementación de los controles puede ayudar a las organizaciones a cumplir con estos estándares y regulaciones, reduciendo así el trabajo redundante.
Lectura recomendada
Cómo crear un programa de cumplimiento que apoye los objetivos de expansión de su empresa
Lista de controles CIS
Aquí hay una descripción general de los 18 controles CIS en la versión 8.1. Para obtener una vista más detallada de los controles, las salvaguardas, los tipos de activos y las funciones de seguridad en cada control.
| Title | Description |
| Inventory and Control of Enterprise Assets | Actively manage all enterprise assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments, to accurately know the totality of assets that need to be monitored and protected within the enterprise. |
|---|---|
| Inventory and Control of Software Assets | Actively manage all software on the network so that only authorized software is installed and can execute, and that unauthorized and unmanaged software is found and prevented from installation or execution. |
| Data Protection | Develop processes and technical controls to identify, classify, securely handle, retain, and dispose of data. |
| Secure Configuration of Enterprise Assets and Software | Establish and maintain the secure configuration of enterprise assets and software. |
| Account Management | Use processes and tools to assign and manage authorization to credentials for user accounts, including administrator accounts, as well as service accounts, to enterprise assets and software. |
| Access Control Management | Use processes and tools to create, assign, manage, and revoke access credentials and privileges for user, administrator, and service accounts for enterprise assets and software. |
| Continuous Vulnerability Management | Develop a plan to continuously assess and track vulnerabilities on all enterprise assets within the enterprise’s infrastructure, in order to remediate, and minimize, the window of opportunity for attackers. Monitor public and private industry sources for new threat and vulnerability information. |
| Audit Log Management | Collect, alert, review, and retain audit logs of events that could help detect, understand, or recover from an attack. |
| Email and Web Browser Protections | Improve protections and detections of threats from email and web vectors, as these are opportunities for attackers to manipulate human behavior through direct engagement. |
| Malware Defenses | Prevent or control the installation, spread, and execution of malicious applications, code, or scripts on enterprise assets. |
| Data Recovery | Establish and maintain data recovery practices sufficient to restore in-scope enterprise assets to a pre-incident and trusted state. |
| Network Infrastructure Management | Establish, implement, and actively manage network devices, in order to prevent attackers from exploiting vulnerable network services and access points. |
| Network Monitoring and Defense | Operate processes and tooling to establish and maintain comprehensive network monitoring and defense against security threats across the enterprise’s network infrastructure and user base. |
| Security Awareness and Skills Training | Establish and maintain a security awareness program to influence behavior among the workforce to be security conscious and properly skilled to reduce cybersecurity risks to the enterprise. |
| Service Provider Management | Develop a process to evaluate service providers who hold sensitive data, or are responsible for an enterprise’s critical IT platforms or processes, to ensure these providers are protecting those platforms and data appropriately. |
| Application Software Security | Manage the security life cycle of in-house developed, hosted, or acquired software to prevent, detect, and remediate security weaknesses before they can impact the enterprise. |
| Incident Response Management | Establish a program to develop and maintain an incident response capability (e.g., policies, plans, procedures, defined roles, training, and communications) to prepare, detect, and quickly respond to an attack. |
| Penetration Testing | Test the effectiveness and resiliency of enterprise assets through identifying and exploiting weaknesses in controls and simulating the objectives and actions of an attacker. |
Grupos de Implementación CIS
Introducidos por primera vez en CIS v7.1, los Grupos de Implementación (IG) están diseñados para ayudar a las organizaciones con diversos recursos y exposición al riesgo a implementar los controles CIS y a crear y gestionar un programa de defensa cibernética eficaz.
Cada IG identifica cuáles de los 18 controles y 153 salvaguardas son razonables de implementar para una organización con un perfil de riesgo y recursos similares. Estas son categorías autoevaluadas. Esto significa que las organizaciones se clasifican a sí mismas para enfocar mejor sus recursos y experiencia en ciberseguridad al implementar los controles CIS.
Grupo de Implementación 1
Adecuado para organizaciones con experiencia limitada en TI y ciberseguridad, este IG se centra en las prácticas de higiene cibernética esenciales para protegerse contra las amenazas comunes.
Las empresas del IG1 probablemente:
- Almacenan y procesan datos poco sensibles, como información sobre empleados y datos financieros
- Son una PYME con recursos limitados dedicados a la protección de activos TI y personal
- Tienen hardware y software comerciales de estantería (COTS) para defenderse contra ataques
- Necesitan frustrar ataques generales, no dirigidos
- Se preocupan principalmente por prevenir tiempos de inactividad
Compuesto por 15 controles y 56 salvaguardas, este conjunto representa el estándar mínimo de seguridad de la información para todas las empresas. Como cada empresa debería comenzar con el IG1 para protegerse contra los ciberataques más comunes, este grupo se considera la «rampa de acceso» a los controles CIS.
Grupo de Implementación 2
Adecuado para organizaciones con mayor complejidad operativa, este IG incluye todos los controles y salvaguardas identificados en el IG1, así como tres controles adicionales y 74 salvaguardas adicionales que abordan una gama más amplia de amenazas y vulnerabilidades.
Las empresas del IG2 probablemente:
- Almacenan y procesan información sensible de clientes o empresas
- Tienen personas dedicadas responsables de gestionar y proteger la infraestructura informática
- Necesitan tecnología de nivel empresarial y experiencia especializada para instalar y configurar correctamente algunas de las Medidas de Protección
- Apoyan múltiples departamentos con diferentes perfiles de riesgo y cargas de cumplimiento normativo
- Se preocupan principalmente por prevenir una fuga de datos que podría llevar a una pérdida de confianza pública
En total, el IG2 comprende los 18 Controles y 130 Medidas de Protección.
Grupo de Implementación 3
Desarrollado para grandes empresas con entornos de TI exigentes y capacidades avanzadas en ciberseguridad, este grupo incluye todos los controles y medidas de protección identificados en IG1 e IG2, así como 23 medidas de protección adicionales que brindan una protección integral contra amenazas persistentes avanzadas (APT) y otros riesgos de alto nivel.
Es probable que las empresas de IG3:
- Almacenen y procesen datos altamente sensibles cuya confidencialidad, integridad y/o disponibilidad, si se ven comprometidos, causarían un daño significativo al bienestar público
- Empleen especialistas que se especialicen en varios aspectos de la ciberseguridad, como la gestión de riesgos, las pruebas de penetración y la seguridad de las aplicaciones
- Contengan información o funciones sensibles que estén sujetas a supervisión regulatoria y de cumplimiento
- Necesiten mitigar ataques dirigidos y sofisticados y reducir los impactos de los ataques de día cero
- Estén principalmente interesadas en proteger la disponibilidad de los servicios y la confidencialidad e integridad de los datos sensibles para proteger el bienestar público
En total, el IG3 abarca los 18 controles y las 153 medidas de protección.
Lectura Recomendada
Clasificación de Datos: Ejemplos de Políticas + Plantilla
Cómo Implementar los Controles CIS
La implementación de los controles CIS puede mejorar significativamente la postura de ciberseguridad de una organización. Aquí hay una guía detallada paso a paso sobre cómo implementar los controles de manera efectiva.
1. Evalúe su postura de seguridad actual
Antes de implementar los controles CIS, realice una evaluación exhaustiva para comprender su postura de seguridad actual e identificar brechas o debilidades. Esto incluye las siguientes actividades:
- Inventario de Activos: Documente todos los activos de hardware y software dentro de la organización
- Evaluación de Riesgos: Identifique posibles vulnerabilidades y amenazas para estos activos
- Análisis de Brechas: Compare sus medidas de seguridad actuales con los controles CIS para identificar las brechas
2. Seleccione su grupo de implementación
Como se mencionó, la versión 8.1 de los controles CIS clasifica los controles en tres grupos. Estos grupos proporcionan un enfoque escalable y flexible para implementar los controles según el perfil de riesgo y los recursos disponibles de la organización.
Utilice la siguiente tabla para determinar qué grupo se adapta mejor al perfil de riesgo y a los recursos disponibles de su organización.
| Implementation Group | Suitable for | Data sensitivity | Primary aim | Comprised of |
|---|---|---|---|---|
| IG 1 | All organizations, particularly SMBs with limited IT and cybersecurity expertise | Low | Thwart general, non-targeted attacks to prevent downtime | 15 CIS Controls and 56 Safeguards |
| IG 2 | Organizations with increased operational complexity and a dedicated IT team | Medium | Defend IT infrastructure against a larger variety of threats to prevent breaches that would result in loss of public confidence | 18 CIS Controls and 130 Safeguards |
| IG 3 | Organizations with high risk exposure and a team of specialized cybersecurity experts | High | Mitigate targeted attacks from a sophisticated adversary and reduce the impact of zero-day attacks in order to protect public welfare | 18 CIS Controls and 153 Safeguards |
3. Priorice la implementación de los controles más críticos
Concéntrese en implementar los controles más críticos de su grupo de acuerdo con su perfil de riesgo. La priorización puede estar guiada por los siguientes dos factores:
- Influencia en la empresa: Los controles que protegen activos valiosos o funciones críticas de la empresa deben priorizarse
- Paisaje de amenazas: Implemente controles que respondan a las amenazas más relevantes y actuales para su organización
4. Desarrolle un plan de implementación
Cree un plan detallado que describa los pasos, recursos y el cronograma para la implementación de todos los controles identificados en su grupo. Este plan debe incluir:
- Roles, responsabilidades y tareas asignadas
- Herramientas, tecnologías y capacitaciones necesarias
- Pasos y plazos realistas para cada fase de la implementación
5. Implemente los controles
Es hora de ejecutar su plan de implementación. Esto incluye:
- Configurar sistemas, instalar herramientas y aplicar configuraciones de seguridad según los controles del CIS
- Actualizar políticas y procedimientos para alinearse con los controles
- Capacitar al personal sobre los nuevos controles y su papel en el mantenimiento de la ciberseguridad
- Definir roles y procedimientos para manejar incidentes y restaurar la operación normal lo más rápido posible
- Realizar pruebas de penetración para evaluar la robustez de las defensas de su empresa
6. Monitoree y mida su progreso
Monitoree continuamente el proceso de implementación y mida la efectividad de los controles. Esto se puede hacer a través de:
- Evaluaciones regulares: Realice revisiones regulares para asegurarse de que los controles estén en su lugar y funcionen correctamente
- KPI: Use indicadores clave de rendimiento (KPIs) para rastrear el progreso e identificar áreas de mejora
- Monitoreo de incidentes: Monitorear incidentes de seguridad para evaluar el impacto de los controles implementados
- Pruebas de penetración: Simule ataques cibernéticos contra sus sistemas para descubrir áreas donde su organización puede mejorar su seguridad de la información
Lista de verificación para la implementación de los controles del CIS
Esta lista de verificación ofrece un enfoque estructurado para comenzar con la implementación de los 18 controles de la versión 8.1 de los controles del CIS y garantizar que su organización cubre las áreas esenciales de ciberseguridad. Dependiendo de su grupo de implementación, es posible que no necesite implementar todos.
Lista de verificación para la implementación de los controles del CIS
Siga este enfoque estructurado para comenzar con la implementación de los 18 controles de la versión 8.1 de los controles del CIS y asegurarse de que su organización cubra las áreas esenciales de ciberseguridad.
Cómo integrar los controles CIS en un programa de ciberseguridad
Dado que los controles CIS comprenden medidas de seguridad básicas para fortalecer la postura de ciberseguridad de una empresa, pueden ser un excelente punto de partida para cualquier programa de ciberseguridad.
Muchas de estas medidas de seguridad básicas también pueden ayudarle a cumplir con los requisitos de otros marcos de seguridad de la información, reduciendo así el trabajo duplicado y acortando el tiempo para cumplir con múltiples marcos.
Con la herramienta de navegación para los controles críticos de seguridad CIS puede ver cómo los controles CIS están mapeados y referenciados por varios marcos legales, regulatorios y políticos, incluyendo:
- Azure Security Benchmark
- CMMC v2.0
- Criminal Justice Information Services (CJIS)
- CSA Cloud Controls Matrix
- Cyber Essentials v2.2
- HIPAA
- ISACA COBIT 19
- ISO/IEC 27002:2002
- MITRE Enterprise ATT&CK v8.2
- NIST 800-171
- NIST 800-53
- NIST CSF 2.0
- NYDFS Part 500
- PCI DSS v4.0
- SOC 2
Si utiliza una plataforma de automatización de cumplimiento como Secureframe, esta asignación se realizará automáticamente en la plataforma tan pronto como añada otro marco a su instancia. Esto no solo ahorra tiempo y reduce el potencial de errores humanos, sino que también proporciona visibilidad inmediata sobre el progreso de su proceso de cumplimiento con cada marco adicional y las brechas exactas que debe cerrar para cumplir.
Un proveedor de servicios gestionados también puede ayudar a integrar los controles CIS en un programa de seguridad más grande o en otro marco, si es necesario.
Lecturas Recomendadas
Mapeo de controles: qué es y cómo puede simplificar sus esfuerzos de cumplimiento
Cómo Secureframe puede simplificar la implementación de los controles CIS y el cumplimiento con otros marcos
Como miembro proveedor de productos CIS SecureSuite® hemos integrado el contenido de los controles CIS en nuestra plataforma para ayudar a organizaciones y socios de servicios a fortalecer su postura de seguridad y desarrollar programas integrales de seguridad para ellos mismos y/o sus clientes.
Independientemente de si su organización implementa los controles CIS por sí misma o trabaja con un proveedor de servicios gestionados, Secureframe puede ayudar a simplificar y acelerar el proceso.
Con Secureframe, puede:
- Automatizar la recopilación de pruebas para eliminar tareas manuales como la creación de capturas de pantalla y la organización de documentación.
- Supervisar continuamente sus servicios tecnológicos y en la nube para garantizar el cumplimiento y reportar desviaciones.
- Ofrecer y dar seguimiento a la formación de empleados.
- Simplificar la gestión de proveedores y personal.
- Utilizar plantillas de políticas aprobadas por auditores para ahorrar tiempo en la creación de políticas.
- Mantenerse al día con la última versión de los controles CIS y otros marcos.
- Mapear los controles y pruebas que implementa para el cumplimiento CIS a otros marcos para reducir el tiempo de cumplimiento y minimizar el trabajo duplicado.
Si es un proveedor de servicios gestionados, puede utilizar las potentes funciones de automatización e IA de Secureframe para revolucionar la forma en que gestiona la seguridad y el cumplimiento para sus clientes.
Para ver por qué el 97% de los usuarios afirmaron haber fortalecido su postura de seguridad y cumplimiento con Secureframe, solicite una demostración hoy mismo. O si está interesado en convertirse en un socio de Secureframe, regístrese aquí.
Guía del comprador para la plataforma de automatización de cumplimiento
Descubra cómo una plataforma de automatización de cumplimiento puede ayudarle a racionalizar y expandir sus esfuerzos de seguridad y cumplimiento. Luego, use una tarjeta de puntuación para acelerar el proceso de evaluación de proveedores.
FAQ
¿Qué son los controles CIS?
Los controles CIS son un conjunto de 18 mejores prácticas de ciberseguridad desarrolladas por el Center for Internet Security (CIS) para ayudar a organizaciones de cualquier tamaño a mitigar las amenazas cibernéticas más comunes.
¿Qué significa CIS Controls?
CIS Controls significa los controles de seguridad críticos del Center for Internet Security.
¿Cuántos controles CIS hay?
Desde la versión 8.1 de los controles CIS, hay 18 controles.
¿Cuántos respaldos de CIS hay?
En la versión 8.1 de los controles CIS, hay 153 respaldos.
¿Por qué las organizaciones implementan los controles CIS?
La implementación de controles críticos de seguridad de CIS puede fortalecer significativamente la postura de ciberseguridad de una organización. Al comprender y adoptar este conjunto de prácticas recomendadas prescriptivas, una organización puede establecer una base sólida en ciberseguridad que la proteja contra ataques cibernéticos comunes y evolucione con el cambiante panorama digital y de amenazas.
Aprovechar la confianza para acelerar el crecimiento
Solicitar una demostración
