Desde hace más de 10 años, el
Centro de Seguridad paraInternet CIS (Center Internet Security)
ha publicado y actualizado una guía de controles de ciberseguridad
seleccionando prácticas de esenciales para las organizaciones que les permita
identificar las medidas mínimas de seguridad que se deben adoptar para
prevenir, detectar y responder ante las amenazas y riesgos más comunes que
afectan al entorno tecnológico.
El Centro de Seguridad para Internet (CIS) recomienda en su versión 8 de su
marco de trabajo publicado en Mayo 2021, los controles y salvaguardas
esenciales de protección de información para los ecosistemas de TI fisicos,
virtuales y en nube que hoy existen en la mayoría de las organizaciones.
CIS v8 – Mayo 2021
En esta nueva versión del marco de ciberseguridad, se realizaron mejoras
importantes considerando la retroalimentación de expertos y especialistas de
diferentes industrias que con base a la experiencia de la implementación de
los controles CIS y amenazas actuales del entorno digital se dieron a la tarea
de reestructurar el marco en
18 controles y 153 salvaguardas distribuidos en 3 grupos de
implementación.
Como parte también de las mejoras en esta nueva versión se incluyó un glosario
al inicio para estandarizar conceptos y terminología utilizada en la guía, así
como una referencia importante de cómo cada salvaguarda se alinea con las 5
funciones esenciales de NIST (Identificar, Proteger, Detectar, Responder,
Recuperar).
Los controles se revisan de forma regular para hacer frente a las amenazas
cibernéticas en constante evolución y mantenerse al día con los sistemas y
tecnologías modernas.
Comparado con la versión 7 anterior, los controles se reagruparon de manera
importante, reduciendo de 20 a 18 controles en esta nueva versión, de igual
forma derivado del creciente apoyo que las organizaciones requieren de
servicios de terceros se agregó el control 15: Gestión de proveedores de
servicio, que tiene como objetivo
«Desarrollar un proceso para evaluar a los proveedores de servicios que
tienen datos confidenciales, o son responsables de las plataformas o
procesos de TI críticos de una empresa, para garantizar que estos
proveedores estén protegiendo esas plataformas y datos de manera
adecuada».
Para conocer con mayor nivel de detalle es posible descargar sin costo la Guía
de Controles CIS v8 del sitio
https://www.cisecurity.org/controls/v8.
Dentro de la guía se podrá identificar, para cada uno de los 18 controles, la
siguiente información:
-
Resumen: Descripción simplificada de la importancia del control y su
utilidad. -
¿Por qué es crítico el control?: Una descripción de la importancia de este
control para bloquear, mitigar o identificar ataques relacionados con el
control, asó como una explicación de cómo los atacantes explotan la ausencia
de este control. -
Procedimientos y herramientas: Descripción técnica de procesos y tecnologías
que pueden ser utilizados para implementar y automatizar el control. -
Descripción de las salvaguardas: Una tabla con acciones específicas para que
la organización pueda implementar el control.
Ejemplo de descripción del salvaguardas que integran un control:
Uno de los aspectos más relevantes de la estructura de la guía de controles
CIS es la clasificación y priorización de la implementación de los 18
controles y las 153 salvaguardas tomando en consideración el tamaño, perfil de
riesgo y recursos disponibles en la organización para implementar una
estrategia de ciberseguridad, CIS define y clasifica sus salvaguardas
considerando 3 grupos de implementación que se describen a continuación,
conforme a la descripción podrás identificar de mejor manera que controles y
prácticas de ciberseguridad son apropiadas para tu organización.
Grupo | Descripción | Cantidad |
1 |
Una organización IG1 es una empresa pequeña o mediana con recursos limitados de TI y con expertise mínimo en ciberseguridad para proteger los activos de TI. La principal preocupación de estas organizaciones es mantener el negocio operativo dado que tienen una tolerancia limitada a las interrupciones tecnológicas. La sensibilidad de la información que manejan es baja y está vinculada principalmente con la información de los colaboradores o de carácter financiero
Las salvaguardas seleccionadas para este grupo de implementación
Estas salvaguardas van dirigidas también para pequeños negocios o |
56 |
2 |
Una organización IG2 contrata posiciones responsables de administrar y proteger la infraestructura de TI. Esta organización soporta a múltiples departamentos con diferentes perfiles de riesgos basado en su función y misión. Algunas unidades de negocio pequeñas puede tener requerimientos regulatorios a cumplir.
Organizaciones IG2 con frecuencia almacenan y procesan información
Una preocupación importante es perder su la confianza de los clientes
Las salvaguardas seleccionadas para las organizaciones IG2 dependen |
74 |
3 |
Una organización IG3 contrata posiciones expertas y especializadas en diferentes facetas de ciberseguridad (Gestión de riesgos, Pentestets, seguridad en aplicaciones).
Los activos y datos de las organizaciones IG3 contienen información
Un ataque exitoso puede generar un daño significativo a la reputación
Las salvaguardas seleccionadas para una organización IG3 van dirigidas |
23 |
¡No es solo la lista!
Es importante mencionar que como parte de esta actualización a la guía de
controles CIS, existen un número de recursos adicionales que puedan ayudar a
tu organización a implementar estos controles críticos como son:
-
Mapeo de los controles CIS hacía otros marcos de referencia o estándares de
seguridad como NIST, ISO, PCI (Payment Card Industry), etc. - Caso de uso de adopción de empresas.
- Métricas para el monitoreo de los controles CIS
- Herramientas y recursos disponibles para la implementación
No existe una guía única e infalible de controles y recomendaciones de
seguridad para tu negocio, pero consideramos que CIS v8 es un excelente punto
de partida para iniciar a estructurar una estrategia de largo plazo para tu
organización considerando iniciar por sentar las bases de lo que se considera
son los controles esenciales.
Los comentarios están cerrados.