Definición y propósito

Los Controles del CIS son un conjunto de acciones recomendadas que buscan prevenir, detectar y mitigar las vulnerabilidades del sistema y los ciberataques. Su propósito es proporcionar un enfoque sistemático y priorizado para la ciberseguridad, comenzando con medidas básicas fundamentales y avanzando hacia técnicas más avanzadas. Al ofrecer una hoja de ruta de protecciones clave con el mayor impacto, los Controles del CIS ayudan a las organizaciones a mejorar sus mecanismos de defensa cibernética.

Cuerpo Gobernante

El organismo rector de la estructura del CIS es el Centro para la Seguridad en Internet (CIS), una entidad sin fines de lucro que promueve la preparación y respuesta ante ciberseguridad.

Última actualización

Los Controles del CIS se actualizan periódicamente en función del panorama de amenazas en evolución y los avances tecnológicos. La actualización más reciente se lanzó en marzo de 2023.

Aplicable a

Los Controles del CIS son sectorialmente agnósticos y pueden aplicarse en diversas industrias y tipos de organizaciones, incluidos el gobierno, el sector privado y las organizaciones sin fines de lucro. Su aplicabilidad universal es una de las razones por las que son ampliamente adoptados y recomendados.

Controles y requisitos

Los Controles del CIS se agrupan en tres categorías: Básicos, Fundamentales y Organizacionales. Aquí hay una lista breve:

Controles Básicos

• Inventario y Control de Activos de Hardware
• Inventario y Control de Activos de Software
• Gestión Continua de Vulnerabilidades
• Uso Controlado de Privilegios Administrativos
• Configuración Segura para Hardware y Software en Dispositivos Móviles, Portátiles, Estaciones de Trabajo y Servidores
• Mantenimiento, Monitoreo y Análisis de Logs de Auditoría

Controles Fundamentales

• Protecciones de Correo Electrónico y Navegadores Web
• Defensas contra Malware
• Limitación y Control de Puertos de Red, Protocolos y Servicios
• Capacidades de Recuperación de Datos
• Configuración Segura para Dispositivos de Red, tales como Firewalls, Enrutadores y Conmutadores
• Defensa de Fronteras
• Protección de Datos
• Acceso Controlado Basado en la Necesidad de Conocer
• Control de Acceso Inalámbrico
• Monitoreo y Control de Cuentas

Controles Organizacionales

• Implementar un Programa de Concientización y Capacitación en Seguridad
• Seguridad del Software de Aplicación
• Respuesta y Gestión de Incidentes
• Pruebas de Penetración y Ejercicios de Red Team

Por favor, consulte la Lista oficial de Benchmarks de CIS para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Aunque CIS no dicta un mecanismo de auditoría específico, las organizaciones a menudo realizan evaluaciones internas o de terceros para medir su cumplimiento con los Controles de CIS.

La frecuencia de estas evaluaciones puede variar según el apetito de riesgo de la organización, los requisitos regulatorios o la madurez en ciberseguridad. Sin embargo, generalmente se recomienda una evaluación anual para tener en cuenta las amenazas y los cambios tecnológicos en evolución.

La duración de la auditoría o evaluación depende en gran medida del tamaño de la organización, la complejidad y el alcance de la evaluación, pero podría variar desde unos pocos días hasta varias semanas.