CIS Controls: Todo lo que necesitas saber

Los Controles Críticos de Seguridad CIS (CIS Controls), creados por el Centro de Seguridad en Internet (CIS), ofrecen un conjunto de mejores prácticas y recomendaciones que abordan áreas clave de la seguridad del sistema, como configuraciones seguras, controles de acceso y gestión de vulnerabilidades. Al seguir los Controles CIS v8 y las recomendaciones de cumplimiento CIS, las organizaciones pueden endurecer sistemáticamente sus sistemas, reducir la superficie de ataque y mitigar los riesgos de seguridad comunes.

Los Controles CIS se actualizan regularmente para adaptarse a las amenazas en constante evolución, garantizando que las organizaciones se mantengan al día con las vulnerabilidades emergentes y las estrategias de mitigación. En este artículo, discutiremos cómo cumplir con los requisitos de CIS.

¿Qué son los Controles CIS?
Controles CIS versus Pautas CIS
Desglose y explicación de los 18 Controles CIS
Modelo de Defensa Comunitaria CIS para los Controles CIS
Controles de seguridad de CIS
Grupos de Implementación (IGs) de los Controles CIS
Por qué los Controles CIS son importantes para el endurecimiento del sistema

¿Qué son los Controles CIS?

Los Controles CIS (Controles Críticos de Seguridad CIS), conocidos ahora simplemente como los Controles CIS, son un conjunto prioritario de salvaguardias para mitigar los ataques cibernéticos más comunes contra sistemas y redes. Los Controles CIS v8 proporcionan una serie de acciones y mejores prácticas que las organizaciones pueden utilizar para fortalecer su postura de ciberseguridad.

Existen 18 Controles CIS, que son medidas generales y abarcativas que las organizaciones de todos los tamaños pueden implementar para proteger sus sistemas y datos y cumplir con los requisitos de CIS. Estos controles priorizan las actividades por encima de los roles y la propiedad de dispositivos para simplificar el proceso de implementación. Los Controles CIS están mapeados y referenciados por múltiples marcos legales, regulatorios y políticos.

Los 18 Controles CIS son:

Inventario y control de activos empresariales
Inventario y control de activos de software
Protección de datos
Configuración segura de activos y software empresariales
Gestión de cuentas
Gestión de control de acceso
Gestión continua de vulnerabilidades
Gestión de registros de auditoría
Protecciones de correo electrónico y navegador web
Defensas contra malware
Recuperación de datos
Gestión de infraestructura de red
Monitoreo y defensa de red
Concientización y capacitación en seguridad
Gestión de proveedores de servicios
Seguridad de software de aplicación
Gestión de respuesta a incidentes
Pruebas de penetración

Controles CIS vs. Pautas CIS Benchmarks

Los Controles CIS y las Pautas CIS Benchmarks pueden generar cierta confusión. Aquí tienes una explicación sencilla:

Los Controles CIS son un conjunto general de prácticas recomendadas para asegurar una amplia gama de sistemas y dispositivos, y se hacen referencia en las Pautas CIS Benchmarks.

Las Pautas CIS Benchmarks son directrices que proporcionan mejores prácticas aplicables para plataformas y tecnologías específicas con el fin de endurecer sistemas operativos específicos, middleware, aplicaciones de software y dispositivos de red.

Desglose y explicación de los 18 Controles de Seguridad CIS

Las complejidades técnicas y la importancia de cada uno de los Controles Críticos de Seguridad CIS v8 pueden ayudar a obtener información sobre las medidas específicas necesarias para mitigar eficazmente los riesgos de seguridad comunes. Este desglose proporcionará una comprensión integral de los fundamentos técnicos y las aplicaciones prácticas de los Controles CIS para el cumplimiento de CIS.

Inventario y Control de Activos Empresariales: Gestionar activamente (inventariar, rastrear y corregir) todos los dispositivos de hardware en la red para que solo los dispositivos autorizados tengan acceso y se detecten y eviten los dispositivos no autorizados y no administrados que intenten obtener acceso.

Inventario y Control de Activos de Software: Gestionar activamente (inventariar, rastrear y corregir) todo el software en la red para que solo se instale y ejecute software autorizado, y para encontrar y prevenir la instalación o ejecución de software no autorizado y no administrado.

Protección de Datos: Establecer y mantener un inventario de los datos que deben protegerse (por ejemplo, información personal identificable, información de salud protegida), clasificarlos según su nivel de sensibilidad y asegurarse de que estén protegidos adecuadamente.

Configuración Segura de Activos y Software Empresariales: Establecer, implementar y gestionar activamente (rastrear, informar y corregir) la configuración de seguridad de los activos empresariales utilizando un riguroso proceso de gestión de configuraciones y control de cambios para prevenir que los atacantes aprovechen servicios y configuraciones vulnerables.

Gestión de Cuentas: Controlar el acceso a sistemas y aplicaciones basado en el principio de privilegio mínimo; limitar el acceso innecesario a datos sensibles; restringir el acceso a sistemas críticos; asegurarse de que las cuentas se asignen solo a usuarios autorizados; asegurarse de que las cuentas se desactiven cuando ya no sean necesarias o cuando un empleado abandone la organización.

Gestión de Control de Acceso: Asegurarse de que solo los usuarios autorizados tengan acceso a sistemas y aplicaciones en función de sus funciones laborales asignadas; garantizar que los usuarios tengan solo los privilegios necesarios para realizar sus funciones laborales; monitorear la actividad de los usuarios en busca de acciones no autorizadas.

Gestión Continua de Vulnerabilidades: Adquirir, evaluar y actuar de manera continua sobre nueva información para identificar vulnerabilidades, remediarlas de manera oportuna y minimizar la ventana de oportunidad para los atacantes.

Gestión de Registros de Auditoría: Recopilar registros de auditoría de todos los sistemas y componentes de redes; almacenar los registros de forma segura; revisar regularmente los registros en busca de signos de actividad sospechosa; retener los registros durante un período de tiempo adecuado.

Protección de Correo Electrónico y Navegadores Web: Proteger los sistemas de correo electrónico contra ataques de phishing mediante la implementación de controles técnicos como el filtrado de correo electrónico; proteger los navegadores web contra código malicioso mediante la implementación de controles técnicos como el filtrado web.

Defensas contra Malware: Protegerse contra el malware mediante la implementación de controles técnicos como el software antivirus; establecer políticas para manejar incidentes de malware.

Recuperación de Datos: Asegurarse de que los datos se puedan recuperar en caso de un incidente de pérdida de datos mediante la implementación de controles técnicos como las copias de seguridad; probar regularmente las copias de seguridad.

Gestión de Infraestructura de Red: Gestionar dispositivos de infraestructura de red como enrutadores, conmutadores, firewalls, etc., utilizando procesos rigurosos de gestión de configuración y control de cambios para evitar que los atacantes aprovechen servicios y configuraciones vulnerables.

Monitoreo y Defensa de la Red: Monitorear las redes en busca de signos de actividad sospechosa; responder de manera rápida a los incidentes; establecer políticas para manejar los incidentes.

Concienciación y Capacitación en Seguridad: Capacitar a los empleados sobre cómo reconocer ataques de phishing; establecer políticas para informar actividades sospechosas.

Gestión de Proveedores de Servicios: Asegurarse de que los proveedores de servicios de terceros sean responsables de cumplir con los requisitos de seguridad; establecer políticas para manejar incidentes que involucren a proveedores de servicios de terceros.

Seguridad de Software de Aplicaciones: Asegurarse de que el software de aplicaciones se desarrolle de manera segura siguiendo prácticas de codificación segura; realizar pruebas periódicas de las aplicaciones para identificar vulnerabilidades de seguridad.

Gestión de Respuesta a Incidentes: Establecer un plan de respuesta a incidentes que incluya procedimientos para detectar incidentes, responder a ellos, informar a las partes apropiadas (por ejemplo, las autoridades), recuperarse de los incidentes y realizar revisiones posteriores a los incidentes.

Pruebas de Penetración: Realizar ejercicios regulares de pruebas de penetración para identificar vulnerabilidades antes que los atacantes; realizar ejercicios de equipo rojo para probar la efectividad de los controles de seguridad; realizar ejercicios de simulación de respuesta a incidentes para probar la efectividad de los planes de respuesta a incidentes.

Modelo de Defensa Comunitaria CIS para los Controles CIS

CIS lanzó el Modelo de Defensa Comunitaria (CDM), que es un enfoque basado en datos para identificar la utilidad de recomendaciones específicas de los Controles CIS. El CDM analiza las conclusiones del informe reciente de Verizon sobre investigaciones de violaciones de datos (DBIR, por sus siglas en inglés), junto con datos del Centro de Intercambio y Análisis de Información Multiestatal (MS-ISAC), para identificar lo que CIS considera los cinco tipos de ataques más importantes. CIS describe estos ataques utilizando el Marco de Trabajo MITRE Adversarial Tactics, Techniques, and Common Knowledge (MITRE ATT&CK) para crear patrones de ataque (o combinaciones específicas de Tácticas y Técnicas utilizadas en esos ataques). Esto permite que CIS analice el valor de acciones defensivas individuales (es decir, salvaguardias) contra esos ataques. También proporciona una forma consistente y explicativa de evaluar el valor de seguridad de un conjunto determinado de acciones defensivas a lo largo del ciclo de vida del atacante y sirve como base para estrategias como la defensa en profundidad.

Los siguientes patrones de ataque están incluidos dentro del CDM:

Hacking de aplicaciones web
Uso indebido interno y abuso de privilegios
Malware
Ransomware
Intrusiones dirigidas

Estos se presentan en orden de prioridad basado en datos del informe Verizon DBIR.

Controles de seguridad de CIS

Existen un total de 153 controles de seguridad en los Controles CIS v8, los cuales están priorizados en Grupos de Implementación (GI). Cada empresa debería comenzar con el GI1. El GI1 está definido como “higiene cibernética esencial”, el conjunto fundamental de controles de seguridad cibernética que toda empresa debería aplicar para protegerse contra los ataques más comunes.

Los “controles de seguridad” eran conocidos como “subcontroles” antes de la Versión 8 de los Controles CIS.

Fuente: CIS Implementation Groups

Grupos de Implementación de los Controles CIS (IGs)

Los Grupos de Implementación de los Controles CIS (IGs) brindan orientación sobre cómo priorizar la implementación. Los IGs son categorías autoevaluadas para las organizaciones basadas en atributos relevantes de ciberseguridad. Cada IG identifica un subconjunto de los estándares de los Controles CIS que se consideran aplicables para una empresa con un perfil de riesgo y recursos similares, con el objetivo de implementarlos. Estos IGs representan una visión horizontal de los Controles CIS adaptados a diferentes tipos de empresas.

La Higiene Cibernética Esencial se define como IG1, el conjunto fundamental de salvaguardias de defensa cibernética que toda empresa debe aplicar para protegerse contra los ataques más comunes. Luego, cada IG se basa en el anterior: IG2 incluye IG1, e IG3 incluye todas las salvaguardias de los Controles CIS en IG1 e IG2.

Fuente: CIS Implementation Group

Por qué los Controles CIS son importantes para el endurecimiento del sistema

El endurecimiento del sistema implica implementar medidas de seguridad para reducir las vulnerabilidades y protegerse contra posibles amenazas. Los Controles CIS desempeñan un papel vital en el endurecimiento del sistema al ofrecer a las organizaciones un enfoque estructurado y eficaz para aumentar sus defensas cibernéticas, y los Controles CIS proporcionan un marco integral para lograr este objetivo.

Los Controles CIS se desarrollan en base a datos reales de ataques e información de expertos en ciberseguridad. Esto significa que están fundamentados en experiencias prácticas y reflejan el panorama de amenazas en constante evolución, lo que los hace altamente relevantes y aplicables a organizaciones de diferentes industrias.

Implementar los Controles CIS es esencial para el endurecimiento del sistema. Obtenga más información sobre cómo la Suite de Automatización de Endurecimiento de CalCom puede ayudarlo a mejorar su postura de seguridad.

Aprende sobre los Grupos de Implementación CIS y la ciberhigiene esencial con este póster descargable de CIS.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.