¿Qué son los controles de CIS® y cómo implementarlos con ayuda de ManageEngine?

¿Qué son los controles de CIS®?

¿Prefieres un resumen de este blog? ¡Da click en el botón de abajo y deja que ChatGPT te lo cuente! (también puedes probar con Perplexity)

¿Qué son los controles de CIS®? Desarrollados por el Center for Internet Security®, los Controles de CIS® son un conjunto prescriptivo, prioritario y simplificado de mejores prácticas en seguridad informática y acciones defensivas. Estos controles ayudan a prevenir los ataques más peligrosos y de mayor alcance. De esta forma, ofrecen un punto de partida para cualquier empresa que busque mejorar su postura de seguridad.

Hoy en día, miles de profesionales y expertos de la ciberseguridad alrededor del mundo usan los controles de CIS® y/o contribuyen a su desarrollo por decisión comunal. Cada uno identifica, refina y valida continuamente las mejores prácticas de seguridad dentro de sus áreas de enfoque. De esta forma, los controles son actualizados frecuentemente en reconocimiento a nuevas amenazas y tecnologías. La última versión es la 8.1.

¿Qué diferencia a la versión 8.1 de los controles de CIS® de las anteriores? 

Si bien la versión 8.1 de los controles de CIS® es compatible con las anteriores, se diferencia por su énfasis en la importancia de la gestión de seguridad en entornos de nube e híbridos. Esto hace que la gestión de activos de seguridad sea más sencilla. No importa el tipo de infraestructura que maneje. Puede ser on-premise, en nube o híbrida.

¿Cuál es la diferencia entre los controles y los puntos de referencia de CIS®?

A diferencia de los controles, los puntos de referencia de CIS® son guías para fortalecer sistemas operativos, middleware, aplicaciones de software y dispositivos de red específicos. Son referenciados por los controles como una de las mejores prácticas.

¿Cuáles son beneficios de los controles de CIS®?

Uno de los principales beneficios de los controles de CIS® es su rentabilidad. La documentación correspondiente se encuentra disponible de forma gratuita y puede ser descargada por cualquier usuario. No menos importante, esta guía es reconocida ampliamente por gobiernos, compañías e instituciones investigativas y educativas.

Lo anterior se debe en buen medida a que los controles de CIS® se alinean con el cumplimiento de la mayoría de los principales marcos normativos —tales como NIST Cybersecurity Framework, NIST 800-53 y la serie ISO 27000— y diversas regulaciones. Estas últimas incluyen leyes como PCI DSS, HIPAA, NERC CIP y FISMA.

¿Cuál es la estructura de los controles de CIS®?

Los controles de CIS® comprenden un conjunto de 18 recomendaciones de seguridad informática. Cabe recordar que no son una solución única. Dependiendo de su seguridad, una organización puede planificar la implementación de varios controles.

Estas son las 18 recomendaciones de seguridad:

  1. Inventario y control de los activos empresariales

  2. Inventario y control de los activos de software

  3. Protección de datos

  4. Configuración segura para los activos empresariales y de software

  5. Gestión de cuentas

  6. Gestión de control de acceso

  7. Gestión continua de vulnerabilidades

  8. Gestión de logs de auditoria

  9. Protección de correo electrónico y browser

  10. Protección contra malware

  11. Recuperación de datos

  12. Gestión de la infraestructura de red

  13. Gestión y protección de la red

  14. Concienciación y capacitación en seguridad

  15. Gestión de proveedor de servicios

  16. Seguridad del software de aplicación

  17. Respuesta y gestión de incidentes

  18. Pruebas de penetración

 ¿Qué son los grupos de implementación de CIS®?

Desde la versión 7.1 de los controles de CIS®, se priorizan los controles en Grupos de Implementación (IG). Cada IG identifica cuáles subcontroles debería implementar una empresa en función de su perfil de riesgo y de los recursos que disponga.

  • IG1 corresponde a negocios con recursos limitados o entornos de trabajo en casa. Generalmente, la sensibilidad de los datos es baja.

  • IG2 se refiere a organizaciones con recursos moderados. Tienen un mayor riesgo de exposición por manejar activos y datos más sensibles e importantes.

  • IG3 consiste en compañías maduras y con recursos importantes. Por ende, hay una alta exposición al riesgo en lo que respecta al manejo de datos críticos.

Para saber más sobre los controles y subcontroles, siga este enlace.

¿Cómo pueden ayudar las herramientas de ManageEngine a cumplir los los controles de CIS®?

Independientemente de en cuál Grupo de Implementación se encuentre su compañía, ManageEngine ofrece un ecosistema de soluciones que no solo le ayudará a cumplir con los requisitos de los controles de CIS®. También le permitirá mejorar su postura de seguridad a través de higiene cibernética y otras mejores prácticas.

A continuación, encontrará la lista completa de los productos de ManageEngine que ayudarán a su negocio a cumplir integralmente con los controles de CIS®:

Si quiere saber específicamente cómo es que estas soluciones pueden ayudarle a cumplir los múltiples subcontroles, lo invitamos a descargar nuestra Guía de ManageEngine para la implementación de los Controles de CIS® en su organización.

Aunque esta guía fue elaborada con la versión 7.1 de los Controles de CIS® en mente, esta aún es un plan de seguridad funcional. Esto se debe a que la versión 8.1 es compatible con las anteriores. Sin embargo, es recomendable hacer la transición a la última versión. ¡Permita que ManageEngine blinde a su negocio contra amenazas!