¿Qué son y cómo implementar los Controles de CIS (CIS Controls)?
Desarrollados por el Center for Internet Security®, los Controles de Seguridad Crítica de CIS son un conjunto prescriptivo y prioritario de mejores prácticas en seguridad cibernética y acciones defensivas que pueden ayudar a prevenir los ataques más peligrosos y de mayor alcance, y apoyar el cumplimiento en una era de múltiples marcos.
Estas mejores prácticas procesables para la defensa cibernética son formuladas por un grupo de expertos en tecnología de la información utilizando la información obtenida de ataques reales y sus defensas efectivas. Los controles de CIS proporcionan una orientación específica y una vía clara para que las organizaciones alcancen las metas y los objetivos descritos por múltiples marcos jurídicos, reglamentarios y normativos.
Aprenda qué hay de nuevo en la
última versión de CIS Controls®
Ver ahora
La implementación de los Controles de Seguridad Críticos de CIS en su organización puede ayudarle eficazmente a:
Desarrolle una estructura fundamental para su programa de seguridad de la información y un marco para toda su estrategia de seguridad.
Siga un enfoque probado de gestión de riesgos para la ciberseguridad basado en la eficacia del mundo real.
Concéntrese en el conjunto de medidas técnicas más eficaces y específicas disponibles para mejorar la postura de defensa de su organización.
Cumpla fácilmente con otros marcos y regulaciones, incluido el marco de ciberseguridadNIST, NIST 800-53, NIST 800-171, serie ISO 27000, PCI DSS, HIPAA, NERC CIP y FISMA.
Los Controles de Seguridad Críticos de CIS comprenden un conjunto de 20 recomendaciones de defensa informática en torno a la seguridad de las organizaciones, divididas en tres categorías distintas: básicas, fundamentales y organizacionales. Cada uno de estos 20 controles de CIS se divide a su vez en subcontroles.
En un esfuerzo por ayudar a las empresas de todos los tamaños, los IG se dividen en tres grupos. Se basan en el perfil de riesgo de una empresa y los recursos disponibles para la organización para implementar los Controles CIS.
Cada IG identifica un conjunto de salvaguardas (anteriormente denominadas subcontroles CIS) que la empresa debe implementar para mitigar los ataques cibernéticos más frecuentes contra sistemas y redes. Hay un total de 153 medidas de seguridad en la versión 8 de CIS Controls. Toda empresa debe comenzar con IG1. IG2 se basa en IG1, y IG3 se compone de todos los controles y salvaguardas.
Los controles CIS no son una solución única para todos; en función de la madurez de la ciberseguridad de su organización, puede planificar y priorizar la implementación de varios Controles.
El conjunto de soluciones de administración de TI de ManageEngine puede ayudarlo a cumplir con los requisitos discretos de control de CIS y, a su vez, ayudar a su organización a planificar y desarrollar cuidadosamente el mejor programa de seguridad de su clase para lograr una mejor ciberhigiene.
Gestione activamente todos los activos empresariales conectados a su infraestructura física, virtual o remota —o aquellos en entornos de nube— para determinar con precisión la totalidad de los activos que necesitan monitorización y protección. Esto también le permitirá identificar activos no autorizados y sin gestionar para su eliminación o remediación.
Supervise y gestione activos a lo largo de su ciclo de vida.
Gestione incidentes e inventario desde un único dashboard.
Asegure la gestión de parches y activos.
Descubra y gestione los dispositivos conectados a su red.
Gestione activamente su red para garantizar que solo se instale y ejecute software autorizado. Detecte y evite la instalación o ejecución de software no autorizado y no administrado.
Rastree y gestione activos con una base de datos de gestión de la configuración (CMDB).
Monitoree y gestione activos desde una consola unificada.
Ponga aplicaciones en listas blancas y desinstale software no autorizado.
Desarrolle procesos y controles técnicos para identificar, clasificar, gestionar, conservar y eliminar datos de forma segura.
Audite archivos, identifique datos en riesgo y evite fugas de datos.
Prevenga la pérdida de datos a través de dispositivos periféricos.
Controle, gestione y audite todo el ciclo de vida de las cuentas privilegiadas y su acceso.
Establezca y mantenga la configuración segura de los activos y el software de su empresa.
Implemente configuraciones para reforzar la seguridad de sus endpoints.
Aplique políticas de seguridad para proteger los datos en dispositivos móviles.
Implemente y administre configuraciones para garantizar la seguridad de la red.
Programe copias de seguridad de la configuración de los dispositivos. Monitoree la actividad de los usuarios. Identifique cambios comparando las versiones de configuración.
Garantice la seguridad completa del acceso privilegiado.
Utilice procesos y herramientas para asignar y gestionar la autorización para administrar las credenciales de las cuentas de usuario. Esto incluye las cuentas de administrador y de servicio asociadas con activos y software empresariales.
Controle, gestione y audite todo el ciclo de vida de las cuentas con privilegios y su acceso.
Administre y limpie usuarios inactivos o sin uso en AD.
Utilice procesos y herramientas para crear, asignar, administrar y revocar credenciales y privilegios de acceso a activos y software empresariales. Esto aplica para cuentas de usuario, administrador y servicio.
Garantice la seguridad completa del acceso privilegiado.
Implemente MFA en endpoints, acceso condicional y SSO empresarial.
Desarrolle un plan para evaluar y rastrear continuamente las vulnerabilidades en todos los activos de su infraestructura empresarial. Corríjalas y minimice las oportunidades para los atacantes. Supervise las fuentes públicas y privadas del sector para obtener nueva información sobre amenazas y vulnerabilidades.
Implemente una gestión de vulnerabilidades centrada en la priorización.
Automatice la gestión de parches para múltiples sistemas operativos.
Identifique vulnerabilidades y corríjalas mediante la aplicación de parches.
Recopile, alerte, revise y conserve registros de auditoría de eventos que podrían ayudarle a detectar, comprender o recuperarse de un ataque.
Implemente SIEM integrado con análisis avanzado de amenazas y análisis del comportamiento de usuarios y entidades basado en aprendizaje automático.
Realice auditorías de cambios en Active Directory, archivos y Windows Server en tiempo real.
Garantice la gestión de reglas, configuración y registros del firewall.
Supervise logs del servidor para detectar errores definidos por el administrador.
Mejore la protección y la detección de amenazas provenientes del correo electrónico y la web. Estas representan oportunidades para que los atacantes manipulen el comportamiento humano mediante la interacción directa.
Garantice la seguridad y la gestión del navegador.
Administre navegadores, complementos, extensiones y plugins.
Prevenga o controle la instalación, propagación y ejecución de aplicaciones, código o scripts maliciosos en los activos empresariales.
Implemente una puntuación basada en riesgos para que los usuarios puedan modificar el software antimalware para que se acople a sus necesidades específicas.
Desactive la ejecución automática de medios extraíbles.
Garantice la defensa contra el ransomware con mecanismos robustos de detección y respuesta.
Garantice la detección de amenazas y la desinfección de malware con software antivirus de última generación.
Establezca y mantenga prácticas de recuperación de datos para restaurar los activos empresariales a un estado confiable previo al incidente.
Garantiza la copia de seguridad y la recuperación de Active Directory, Microsoft 365 y Exchange.
Establezca, implemente y gestione activamente los dispositivos de red para evitar que los atacantes exploten servicios de red y puntos de acceso vulnerables.
Asegure la actualización de la infraestructura de red.
Establezca y mantenga una arquitectura de red segura.
Garantice la gestión de permisos con privilegios mínimos.
Supervise y gestione los activos de su red con la ayuda de la CMDB.
Mapee las dependencias de los activos con la ayuda de una CMDB integrada.
Cree procesos y seleccione las herramientas adecuadas para establecer y mantener una monitorización integral de la red y una defensa contra amenazas de seguridad en toda la infraestructura de red y la base de usuarios de su empresa.
Centralice las alertas de eventos de seguridad en todos los activos empresariales para la correlación y el análisis de registros.
Monitoree los registros de su IDS o IPS. Extraiga la información necesaria para garantizar la seguridad de la red.
Asegúrese de que las versiones del sistema operativo y las aplicaciones en los endpoints empresariales estén actualizadas.
Evite que dispositivos extraíbles no autorizados se conecten a su red.
Detecte y prevenga fugas de datos a través de USB y correo electrónico.
Proporcione los permisos de acceso mínimos para los activos conectados remotamente a los recursos empresariales.
Bloquee la conexión de dispositivos no autorizados a su red.
Detecte intrusiones en la red mediante un motor de minería de datos de flujo continuo.
Recopile registros del flujo de tráfico de red de los dispositivos para realizar revisiones y generar alertas sobre cuellos de botella.
Establezca y mantenga un programa de concientización sobre seguridad. Garantice que cuenten con las habilidades necesarias para reducir los riesgos de ciberseguridad en su empresa.
Establezca MFA para sistemas Windows, macOS y Linux.
Garantiza que ninguna ruta de acceso privilegiada a activos críticos quede sin gestionar, sea desconocida o esté sin supervisar.
Informe sobre la creación, eliminación, sobrescritura y cambio de nombre de archivos y carpetas.
Gestione y optimice el consumo energético del hardware informático para ahorrar dinero y energía.
Gestione las actualizaciones del sistema operativo para dispositivos iOS, Android y Chrome OS.
Desarrolle un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o son responsables de las plataformas o procesos de TI críticos de su empresa. Esto garantiza que los proveedores protejan dichas plataformas y datos de forma adecuada.
Desactive proveedores de servicios, usuarios y servidores de archivos de forma segura y sin tener que lidiar con scripts personalizados complejos.
Gestione el ciclo de vida de la seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y corregir vulnerabilidades de seguridad antes de que afecten a su empresa.
Implemente una gestión de vulnerabilidades empresariales centrada en la priorización.
Identifique vulnerabilidades y corríjalas mediante la aplicación de parches.
Establezca un programa para desarrollar y mantener una capacidad de respuesta ante incidentes —políticas, planes, procedimientos, roles definidos, capacitación y comunicaciones, entre otras medidas— para prepararse, detectar y responder rápidamente a un ataque.
Cree un portal para que el equipo de seguridad de TI gestione incidentes con notificaciones únicas, acuerdos de nivel de servicio (SLA) y procedimientos de escalamiento.
Evalúe periódicamente la capacidad de su organización para defenderse de ataques mediante pruebas de penetración. Simule los objetivos y las acciones de un atacante con la ayuda de equipos rojos para inspeccionar su postura de seguridad actual y obtener información valiosa sobre la eficacia de sus defensas.
Descargue esta guía para ver más de cerca cómo los productos de ManageEngine le ayudarán a implementar los controles de CIS en su organización.
Descargo de responsabilidad: La completa implementación de los CIS Controls® (desarrollados por el Centro de Seguridad de Internet) requiere una variedad de soluciones, procesos, personas y tecnologías. Las soluciones mencionadas anteriormente son algunas de las formas en que las herramientas de gestión de la tecnología de la información pueden ayudar a cumplir los requisitos de control de CIS. Junto con otras soluciones, procesos y personas apropiadas, las soluciones de ManageEngine ayudan a implementar los controles de CIS. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento jurídico para la aplicación de los controles de CIS. ManageEngine no ofrece ninguna garantía, expresa, implícita o estatutaria, en cuanto a la información de este material.
