Controles Críticos de Seguridad CIS v8: Visión General, Actualizaciones y Qué Significan para Tu Negocio
Los Controles Críticos de Seguridad CIS (Controles CIS) son un conjunto de directrices de mejores prácticas, creadas por el Centro para la Seguridad en Internet (CIS), diseñadas para ayudar a las organizaciones a protegerse contra amenazas cibernéticas. Los Controles CIS existen desde 2008, y con cada nueva versión, se han vuelto cada vez más integrales y efectivos. La última versión de los Controles CIS, la Versión 8, fue lanzada en 2021, incluyendo actualizaciones y cambios respecto a la Versión 7 anterior.
Importancia de los Controles CIS
Los Controles CIS son importantes para organizaciones de cualquier tamaño y de cualquier sector, ya que proporcionan una forma simple pero efectiva de implementar una serie de protocolos de ciberseguridad que pueden reducir significativamente las posibilidades de un ciberataque exitoso. Este artículo proporciona una visión general de los Controles CIS, discute lo nuevo en la Versión 8, explica cómo implementar los Controles CIS y cómo Kiteworks puede ayudar a las organizaciones a cumplir con las directrices de los Controles CIS.
Visión General de los Controles Críticos CIS
Los Controles CIS están diseñados para ayudar a las organizaciones a protegerse contra los ciberataques más comunes y exitosos. Son un conjunto de mejores prácticas y recomendaciones, desarrolladas a lo largo de muchos años y basadas en las experiencias de expertos en ciberseguridad de todo el mundo. Las organizaciones deben integrarlos en su estrategia más amplia de administración de riesgos de ciberseguridad.
Los Controles CIS proporcionan a las organizaciones un marco de ciberseguridad que reduce la probabilidad de que un ciberataque comprometa sus sistemas. Los Controles CIS se dividen en tres categorías: Controles de Seguridad Fundamentales, Controles de Seguridad Avanzados y Controles de Seguridad Organizacionales.
Controles de Seguridad Fundamentales
Los Controles de Seguridad Fundamentales son los controles más importantes para que las organizaciones implementen, ya que están diseñados para proteger contra los ciberataques más comunes y exitosos. Los controles se centran en medidas proactivas y preventivas, como la gestión de parches, el control de acceso de usuarios y la configuración segura.
Controles de Seguridad Avanzados
Los Controles de Seguridad Avanzados están diseñados para proporcionar protección adicional a las organizaciones y suelen ser más complejos de implementar. Estos controles se centran en proteger contra amenazas de ciberseguridad más avanzadas e incluyen temas como la defensa contra malware y ataques basados en malware, la implementación de una arquitectura de seguridad empresarial y la instauración de una respuesta a incidentes.
Controles de Seguridad Organizacionales
Los Controles de Seguridad Organizacionales están diseñados para asegurar la efectividad de las otras dos categorías de control y se centran en el desarrollo, implementación y revisión de políticas, procedimientos, estándares y directrices de seguridad.
¿Cuáles son los Controles CIS v8 más recientes?
Los Controles CIS están organizados en 18 controles que cubren las tres categorías. Los controles están priorizados en orden de importancia y efectividad, para que las organizaciones puedan enfocar sus recursos en los controles más importantes primero. Estos han sido reordenados y reorganizados a partir de los subcontroles anteriores. Están agrupados por diferentes actividades de ciberseguridad e incluyen:
1. Inventario y Control de Activos de Hardware
Este control implica mantener un inventario preciso y actualizado de todos los activos de hardware, incluidos los físicos y virtuales, en la red. Esto ayuda a las organizaciones a entender los puntos de entrada para actores maliciosos.
2. Inventario y Control de Activos de Software
Este control implica mantener un inventario preciso y actualizado de todos los activos de software, incluidos tanto los de código abierto como los comerciales, en la red. Esto ayuda a las organizaciones a identificar componentes de software vulnerables conocidos.
3. Gestión Continua de Vulnerabilidades
Este control implica monitorear las configuraciones del sistema y parchear componentes de software y firmware vulnerables.
4. Uso Controlado de Privilegios Administrativos
Este control implica restringir el acceso administrativo a cuentas privilegiadas solo a aquellos con una necesidad legítima de acceso. Conceptos como la confianza cero son muy importantes en este control.
5. Configuración Segura para Dispositivos de Red
Este control implica configurar dispositivos de red, incluidos enrutadores, conmutadores y cortafuegos, de acuerdo con los estándares de la industria y las mejores prácticas.
6. Defensa de Fronteras
Este control implica establecer una estrategia de defensa en profundidad para proteger la red mediante la implementación de múltiples capas de protección.
7. Mantenimiento, Monitoreo y Análisis de Registros de Auditoría
Este control implica capturar y analizar registros de actividad del sistema y del usuario para detectar actividades maliciosas y amenazas potenciales.
8. Protección de Correo Electrónico y Navegadores Web
Este control implica usar soluciones de anti-malware y filtrado web para proteger a la organización de correos electrónicos y sitios web maliciosos.
9. Defensas contra Malware
Este control implica usar soluciones de anti-malware para detectar, prevenir y eliminar código malicioso de la red.
10. Limitación y Control de Puertos, Protocolos y Servicios de Red
Este control implica limitar la comunicación de red solo a los puertos, protocolos y servicios que son necesarios para el funcionamiento de la organización.
11. Protección de Datos
Este control implica implementar soluciones para proteger datos sensibles de accesos no autorizados, modificaciones o divulgaciones.
12. Control de Acceso Inalámbrico
Este control implica implementar soluciones para asegurar la red inalámbrica de la organización contra accesos no autorizados.
13. Monitoreo y Control de Cuentas
Este control implica monitorear cuentas de usuario para detectar actividad sospechosa e implementar políticas de bloqueo de cuentas.
14. Implementación de un Programa de Concienciación y Capacitación en Seguridad
Este control implica implementar un programa de concienciación en seguridad para educar a los usuarios sobre las mejores prácticas de seguridad.
15. Seguridad del Software de Aplicaciones
Este control implica asegurar aplicaciones contra amenazas conocidas y emergentes mediante la implementación de prácticas de codificación segura, herramientas de análisis de código estático y dinámico, y listas blancas de aplicaciones.
16. Respuesta y Gestión de Incidentes
Este control implica tener un plan para responder y gestionar incidentes de seguridad.
17. Pruebas de Penetración y Ejercicios de Red Team
Este control implica realizar pruebas de penetración periódicas y ejercicios de red team para identificar debilidades en los controles de seguridad de la organización.
18. Capacidad de Recuperación de Datos
Este control implica implementar soluciones para asegurar que la información pueda recuperarse en caso de un desastre.
¿Por qué fueron necesarias las actualizaciones de los Controles CIS?
Las actualizaciones y cambios en la Versión 8 de los Controles CIS fueron necesarios para ayudar a las organizaciones a enfrentar las últimas amenazas cibernéticas y los avances en tecnologías utilizadas por actores maliciosos. Con el uso creciente de dispositivos móviles, computación en la nube e Internet de las Cosas (IoT), las organizaciones necesitan asegurarse de tener las políticas y controles adecuados para proteger sus sistemas y datos.
La nueva Versión 8 de los Controles CIS ayuda a las organizaciones a asegurarse de que están protegiendo adecuadamente sus sistemas y datos. Por ejemplo, el Control 14 ayuda a las organizaciones a controlar el tipo de información que se comparte, mientras que el Control 15 les ayuda a asegurar y proteger sus redes inalámbricas. El Control 16 ayuda a las organizaciones a monitorear y controlar las cuentas de usuario, y el Control 17 les ayuda a asegurarse de tener el nivel adecuado de experiencia y conocimiento en seguridad.
Cómo Implementar los Controles CIS Versión 8
Implementar los Controles CIS es un proceso que debe ser planificado y gestionado cuidadosamente. El proceso implica los siguientes pasos:
1. Evaluar
Comienza evaluando la postura de seguridad existente e identificando brechas.
2. Priorizar
Prioriza la implementación de los Controles CIS basándote en el perfil de riesgo de la organización.
3. Planificar
Desarrolla un plan de implementación detallado para los Controles CIS.
4. Probar
Prueba la implementación de los Controles CIS en un entorno controlado.
5. Monitorear
Monitorea regularmente la efectividad de los Controles CIS y actualiza según sea necesario.
¿Qué Herramientas y Recursos se Necesitan para Implementar los Controles CIS?
Hay numerosas herramientas y recursos disponibles para ayudar a las organizaciones a implementar los Controles CIS. Estos incluyen:
1. Herramienta de Evaluación de Controles CIS
La Herramienta de Evaluación de Controles CIS ayuda a las organizaciones a evaluar su postura de seguridad existente e identificar brechas.
2. Herramienta de Validación de Seguridad de Referencia CIS
La Herramienta de Validación de Seguridad de Referencia CIS está diseñada para ayudar a las organizaciones a asegurar que sus sistemas cumplan con los Controles CIS.
3. Kit de Implementación de Controles Críticos de Seguridad CIS
El Kit de Implementación de Controles Críticos de Seguridad CIS proporciona a las organizaciones una guía paso a paso para implementar los Controles CIS.
4. Base de Datos de Controles CIS
La Base de Datos de Controles CIS proporciona a las organizaciones información detallada sobre cada uno de los controles, incluyendo pasos detallados, mejores prácticas y recursos.
Red de Contenido Privado de Kiteworks y Controles CIS
Los Controles CIS son un conjunto importante y efectivo de mejores prácticas y directrices para organizaciones que buscan protegerse de amenazas cibernéticas. La última versión, la Versión 8, incluye actualizaciones que ayudan a las organizaciones a enfrentar las últimas amenazas cibernéticas y nuevas tecnologías.
Los Controles CIS son gratuitos para cualquier organización que busque mejorar su propia ciberseguridad. La Red de Contenido Privado de Kiteworks unifica, rastrea, controla y asegura las comunicaciones de datos de archivos y correos electrónicos en una plataforma, permitiendo a las organizaciones gobernar quién accede a contenido sensible, quién puede editarlo, a quién puede enviarse y dónde puede enviarse. Kiteworks encarna las mejores prácticas y marcos de ciberseguridad como los Controles CIS, el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF), el Marco de Privacidad del NIST, ISO 27001 y SOC 2.
Programar una demostración personalizada adaptada a su entorno de Kiteworks para ver cómo se alinea con los estándares globales de ciberseguridad como los Controles CIS y para aprender más sobre cómo proporciona el marco para que las organizaciones protejan sus datos en tránsito y en reposo.
Volver al Glosario de Riesgo y Cumplimiento
Artículo del Blog:
La Informática Forense y la Respuesta a Incidentes Impulsan los Marcos de Ciberseguridad
Artículo del Blog:
Arquitectura de Defensas Cibernéticas para Proteger Contra Ciberataques y Tendencias de Incidentes
Webinar:
Por Qué las Mejores Prácticas de Seguridad No Son Suficientes en la Era de la Privacidad de Datos
Artículo del Blog:
Descubre Cómo el Riesgo de Privacidad de Datos Guía las Comunicaciones de Contenido Sensible
