# ¿Qué son y cómo implementar los controles CIS?

![Controles CIS - CIS Security](https://cdn.manageengine.com/cis-critical-security-controls/images/implementing-img.svg)

## ¿Qué son los controles de CIS®?

Desarrollados por el Center for Internet Security®, los **Controles de Seguridad Crítica de CIS (CIS Control)** son un conjunto prescriptivo y prioritario de mejores prácticas en seguridad cibernética y acciones defensivas que pueden ayudar a prevenir los ataques más peligrosos y de mayor alcance, y apoyar el cumplimiento en una era de múltiples marcos.

Estas mejores prácticas procesables para la defensa cibernética son formuladas por un grupo de expertos en tecnología de la información utilizando la información obtenida de ataques reales y sus defensas efectivas. Los controles de CIS proporcionan una orientación específica y una vía clara para que las organizaciones alcancen las metas y los objetivos descritos por múltiples marcos jurídicos, reglamentarios y normativos.

![Controles de Seguridad Crítica (CIS)](https://cdn.manageengine.com/cis-critical-security-controls/images/cis-banner.png)

## ¿Qué significa esto para su organización?

La implementación de los **Controles de Seguridad Críticos de CIS** en su organización puede ayudarle eficazmente a:

- Desarrolle una estructura fundamental para su programa de seguridad de la información y un marco para toda su estrategia de seguridad.
- Siga un enfoque probado de gestión de riesgos para la ciberseguridad basado en la eficacia del mundo real.
- Concéntrese en el conjunto de medidas técnicas más eficaces y específicas disponibles para mejorar la postura de defensa de su organización.
- Cumpla fácilmente con otros marcos y regulaciones, incluido el marco de [ciberseguridad](https://youtu.be/a0eobFOcnkA) [NIST](https://www.manageengine.com/latam/active-directory-360/e-book-marco-de-ciberseguridad-nist.html), NIST 800-53, NIST 800-171, serie ISO 27000, PCI DSS, HIPAA, NERC CIP y FISMA.

## La estructura de los controles de CIS

Los Controles de Seguridad Críticos de CIS comprenden un conjunto de 20 recomendaciones de defensa informática en torno a la seguridad de las organizaciones, divididas en tres categorías distintas: básicas, fundamentales y organizacionales. Cada uno de estos 20 controles de CIS se divide a su vez en subcontroles.

En un esfuerzo por ayudar a las empresas de todos los tamaños, los IG se dividen en tres grupos. Se basan en el perfil de riesgo de una empresa y los recursos disponibles para la organización para implementar los Controles CIS.

Cada IG identifica un conjunto de salvaguardas (anteriormente denominadas subcontroles CIS) que la empresa debe implementar para mitigar los ataques cibernéticos más frecuentes contra sistemas y redes. Hay un total de 153 medidas de seguridad en la versión 8 de CIS Controls. Toda empresa debe comenzar con IG1. IG2 se basa en IG1, y IG3 se compone de todos los controles y salvaguardas.

Los controles CIS no son una solución única para todos; en función de la madurez de la ciberseguridad de su organización, puede planificar y priorizar la implementación de varios Controles.

### Implementación Grupo 1 (IG1)

IG1 se centra en la ciberhigiene básica. Se compone del conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más comunes. Las organizaciones pequeñas y medianas con experiencia limitada en seguridad cibernética y datos de baja sensibilidad deberán implementar las medidas de seguridad de defensa cibernética que generalmente se incluyen en la categoría IG1.

### Implementación Grupo 2 (IG2)

Las organizaciones con recursos moderados y una mayor exposición al riesgo por el manejo de activos y datos más confidenciales deberán implementar los Controles IG2 junto con IG1. Estos Controles se enfocan en ayudar a los equipos de seguridad a administrar información confidencial de clientes o empresas.

### Implementación Grupo 3 (IG3)

Las organizaciones maduras con recursos significativos y una exposición de alto riesgo por el manejo de activos y datos críticos necesitan implementar las medidas de seguridad en la categoría IG3 junto con IG1 e IG2. Las medidas de seguridad seleccionadas para IG3 reducen los ataques dirigidos de adversarios sofisticados y reducen el impacto de los ataques de día cero.

## Implementar los Controles CIS con Soluciones ManageEngine

El conjunto de [soluciones de administración de TI](https://www.manageengine.com/latam/productos.html) de ManageEngine puede ayudarlo a cumplir con los requisitos discretos de control de CIS y, a su vez, ayudar a su organización a planificar y desarrollar cuidadosamente el mejor programa de seguridad de su clase para [lograr una mejor ciberhigiene](https://www.manageengine.com/latam/log-management/infografia-8-tips-higiene-cibernetica.html).

## Controles CIS y soluciones relacionadas

### Control 1: Inventario y control de los activos empresariales

Gestione activamente todos los activos empresariales conectados a su infraestructura física, virtual o remota —o aquellos en entornos de nube— para determinar con precisión la totalidad de los activos que necesitan monitorización y protección. Esto también le permitirá identificar activos no autorizados y sin gestionar para su eliminación o remediación.

**Productos de ManageEngine que le ayudan con este control:**

- [AssetExplorer](https://www.manageengine.com/latam/asset-explorer/?ME_cis): Supervise y gestione activos a lo largo de su ciclo de vida.
- [ServiceDesk Plus](https://www.manageengine.com/latam/service-desk/?ME_cis): Gestione incidentes e inventario desde un único dashboard.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Asegure la gestión de parches y activos.
- [OpUtils](https://www.manageengine.com/latam/oputils/?ME_cis): Descubra y gestione los dispositivos conectados a su red.

### Control 2: Inventario y control de los activos de software

Gestione activamente su red para garantizar que solo se instale y ejecute software autorizado. Detecte y evite la instalación o ejecución de software no autorizado y no administrado.

**Productos de ManageEngine que le ayudan con este control:**

- [AssetExplorer](https://www.manageengine.com/latam/asset-explorer/?ME_cis): Rastree y gestione activos con una base de datos de gestión de la configuración (CMDB).
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Monitoree y gestione activos desde una consola unificada.
- [Application Control Plus](https://www.manageengine.com/latam/application-control/?ME_cis): Ponga aplicaciones en listas blancas y desinstale software no autorizado.

### Control 3: Protección de datos

Desarrolle procesos y controles técnicos para identificar, clasificar, gestionar, conservar y eliminar datos de forma segura.

**Productos de ManageEngine que le ayudan con este control:**

- [DataSecurity Plus](https://www.manageengine.com/latam/data-security/?ME_cis): Audite archivos, identifique datos en riesgo y evite fugas de datos.
- [Device Control Plus](https://www.manageengine.com/latam/device-control/?ME_cis): Prevenga la pérdida de datos a través de dispositivos periféricos.
- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Controle, gestione y audite todo el ciclo de vida de las cuentas privilegiadas y su acceso.

### Control 4: Configuración segura para los activos empresariales y de software

Establezca y mantenga la configuración segura de los activos y el software de su empresa.

**Productos de ManageEngine que le ayudan con este control:**

- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Implemente configuraciones para reforzar la seguridad de sus endpoints.
- [Mobile Device Manager Plus](https://www.manageengine.com/latam/mobile-device-management/?ME_cis): Aplique políticas de seguridad para proteger los datos en dispositivos móviles.
- [Network Configuration Manager](https://www.manageengine.com/latam/network-configuration-manager/?ME_cis): Implemente y administre configuraciones para garantizar la seguridad de la red.
- [OpManager Nexus](https://www.manageengine.com/latam/it-operations-management/?ME_cis): Programe copias de seguridad de la configuración de los dispositivos. Monitoree la actividad de los usuarios. Identifique cambios comparando las versiones de configuración.
- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Garantice la seguridad completa del acceso privilegiado.

### Control 5: Gestión de cuentas

Utilice procesos y herramientas para asignar y gestionar la autorización para administrar las credenciales de las cuentas de usuario. Esto incluye las cuentas de administrador y de servicio asociadas con activos y software empresariales.

**Productos de ManageEngine que le ayudan con este control:**

- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Controle, gestione y audite todo el ciclo de vida de las cuentas con privilegios y su acceso.
- [ADManager Plus](https://www.manageengine.com/latam/ad-manager/?ME_cis): Administre y limpie usuarios inactivos o sin uso en AD.

### Control 6: Gestión de control de acceso

Utilice procesos y herramientas para crear, asignar, administrar y revocar credenciales y privilegios de acceso a activos y software empresariales. Esto aplica para cuentas de usuario, administrador y servicio.

**Productos de ManageEngine que le ayudan con este control:**

- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Garantice la seguridad completa del acceso privilegiado.
- [ADSelfService Plus](https://www.manageengine.com/latam/self-service-password/?ME_cis): Implemente MFA en endpoints, acceso condicional y SSO empresarial.

### Control 7: Gestión continua de vulnerabilidades

Desarrolle un plan para evaluar y rastrear continuamente las vulnerabilidades en todos los activos de su infraestructura empresarial. Corríjalas y minimice las oportunidades para los atacantes. Supervise las fuentes públicas y privadas del sector para obtener nueva información sobre amenazas y vulnerabilidades.

**Productos de ManageEngine que le ayudan con este control:**

- [Vulnerability Manager Plus](https://www.manageengine.com/latam/vulnerability-management/?ME_cis): Implemente una gestión de vulnerabilidades centrada en la priorización.
- [Patch Manager Plus](https://www.manageengine.com/latam/patch-management/?ME_cis): Automatice la gestión de parches para múltiples sistemas operativos.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Identifique vulnerabilidades y corríjalas mediante la aplicación de parches.

### Control 8: Gestión de logs de auditoría

Recopile, alerte, revise y conserve registros de auditoría de eventos que podrían ayudarle a detectar, comprender o recuperarse de un ataque.

**Productos de ManageEngine que le ayudan con este control:**

- [Log360](https://www.manageengine.com/latam/log-management/?ME_cis): Implemente SIEM integrado con análisis avanzado de amenazas y análisis del comportamiento de usuarios y entidades basado en aprendizaje automático.
- [ADAudit Plus](https://www.manageengine.com/latam/active-directory-audit/?ME_cis): Realice auditorías de cambios en Active Directory, archivos y Windows Server en tiempo real.
- [Firewall Analyzer](https://www.manageengine.com/latam/firewall/?ME_cis): Garantice la gestión de reglas, configuración y registros del firewall.
- [OpManager Nexus](https://www.manageengine.com/latam/it-operations-management/?ME_cis): Supervise logs del servidor para detectar errores definidos por el administrador.

### Control 9: Protección de correo electrónico y browser

Mejore la protección y la detección de amenazas provenientes del correo electrónico y la web. Estas representan oportunidades para que los atacantes manipulen el comportamiento humano mediante la interacción directa.

**Productos de ManageEngine que le ayudan con este control:**

- [Browser Security Plus](https://www.manageengine.com/latam/browser-security/?ME_cis): Garantice la seguridad y la gestión del navegador.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Administre navegadores, complementos, extensiones y plugins.

### Control 10: Protección contra malware

Prevenga o controle la instalación, propagación y ejecución de aplicaciones, código o scripts maliciosos en los activos empresariales.

**Productos de ManageEngine que le ayudan con este control:**

- [Log360](https://www.manageengine.com/latam/log-management/?ME_cis): Implemente una puntuación basada en riesgos para que los usuarios puedan modificar el software antimalware para que se acople a sus necesidades específicas.
- [Device Control Plus](https://www.manageengine.com/latam/device-control/?ME_cis): Desactive la ejecución automática de medios extraíbles.
- [Ransomware Protection Plus](https://www.manageengine.com/latam/ransomware-protection/?ME_cis): Garantice la defensa contra el ransomware con mecanismos robustos de detección y respuesta.
- [Malware Protection Plus](https://www.manageengine.com/latam/malware-protection/?ME_cis): Garantice la detección de amenazas y la desinfección de malware con software antivirus de última generación.

### Control 11: Recuperación de datos

Establezca y mantenga prácticas de recuperación de datos para restaurar los activos empresariales a un estado confiable previo al incidente.

**Productos de ManageEngine que le ayudan con este control:**

- [RecoveryManager Plus](https://www.manageengine.com/latam/ad-recovery-manager/?ME_cis): Garantiza la copia de seguridad y la recuperación de Active Directory, Microsoft 365 y Exchange.

### Control 12: Gestión de la infraestructura de red

Establezca, implemente y gestione activamente los dispositivos de red para evitar que los atacantes exploten servicios de red y puntos de acceso vulnerables.

**Productos de ManageEngine que le ayudan con este control:**

- [Network Configuration Manager](https://www.manageengine.com/latam/network-configuration-manager/?ME_cis): Asegure la actualización de la infraestructura de red.
- [OpManager Nexus](https://www.manageengine.com/latam/it-operations-management/?ME_cis): Establezca y mantenga una arquitectura de red segura.
- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Garantice la gestión de permisos con privilegios mínimos.
- [AssetExplorer](https://www.manageengine.com/latam/asset-explorer/?ME_cis): Supervise y gestione los activos de su red con la ayuda de la CMDB.
- [ServiceDesk Plus](https://www.manageengine.com/latam/service-desk/?ME_cis): Mapee las dependencias de los activos con la ayuda de una CMDB integrada.

### Control 13: Gestión y protección de la red

Cree procesos y seleccione las herramientas adecuadas para establecer y mantener una monitorización integral de la red y una defensa contra amenazas de seguridad en toda la infraestructura de red y la base de usuarios de su empresa.

**Productos de ManageEngine que le ayudan con este control:**

- [ADAudit Plus](https://www.manageengine.com/latam/active-directory-audit/?ME_cis): Centralice las alertas de eventos de seguridad en todos los activos empresariales para la correlación y el análisis de registros.
- [EventLog Analyzer](https://www.manageengine.com/latam/eventlog/?ME_cis): Monitoree los registros de su IDS o IPS. Extraiga la información necesaria para garantizar la seguridad de la red.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Asegúrese de que las versiones del sistema operativo y las aplicaciones en los endpoints empresariales estén actualizadas.
- [Device Control Plus](https://www.manageengine.com/latam/device-control/?ME_cis): Evite que dispositivos extraíbles no autorizados se conecten a su red.
- [DataSecurity Plus](https://www.manageengine.com/latam/data-security/?ME_cis): Detecte y prevenga fugas de datos a través de USB y correo electrónico.
- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Proporcione los permisos de acceso mínimos para los activos conectados remotamente a los recursos empresariales.
- [OpUtils](https://www.manageengine.com/latam/oputils/?ME_cis): Bloquee la conexión de dispositivos no autorizados a su red.
- [NetFlow Analyzer](https://www.manageengine.com/products/netflow/?ME_cis): Detecte intrusiones en la red mediante un motor de minería de datos de flujo continuo.
- [OpManager Nexus](https://www.manageengine.com/latam/it-operations-management/?ME_cis): Recopile registros del flujo de tráfico de red de los dispositivos para realizar revisiones y generar alertas sobre cuellos de botella.

### Control 14: Concienciación y capacitación en seguridad

Establezca y mantenga un programa de concientización sobre seguridad. Garantice que cuenten con las habilidades necesarias para reducir los riesgos de ciberseguridad en su empresa.

**Productos de ManageEngine que le ayudan con este control:**

- [ADSelfService Plus](https://www.manageengine.com/latam/self-service-password/?ME_cis): Establezca MFA para sistemas Windows, macOS y Linux.
- [PAM360](https://www.manageengine.com/latam/privileged-access-management/?ME_cis): Garantiza que ninguna ruta de acceso privilegiada a activos críticos quede sin gestionar, sea desconocida o esté sin supervisar.
- [DataSecurity Plus](https://www.manageengine.com/latam/data-security/?ME_cis): Informe sobre la creación, eliminación, sobrescritura y cambio de nombre de archivos y carpetas.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Gestione y optimice el consumo energético del hardware informático para ahorrar dinero y energía.
- [Mobile Device Manager Plus](https://www.manageengine.com/latam/mobile-device-management/?ME_cis): Gestione las actualizaciones del sistema operativo para dispositivos iOS, Android y Chrome OS.

### Control 15: Gestión de proveedor de servicios

Desarrolle un proceso para evaluar a los proveedores de servicios que poseen datos confidenciales o son responsables de las plataformas o procesos de TI críticos de su empresa. Esto garantiza que los proveedores protejan dichas plataformas y datos de forma adecuada.

**Productos de ManageEngine que le ayudan con este control:**

- [ADManager Plus](https://www.manageengine.com/latam/ad-manager/?ME_cis): Desactive proveedores de servicios, usuarios y servidores de archivos de forma segura y sin tener que lidiar con scripts personalizados complejos.

### Control 16: Seguridad del software de aplicación

Gestione el ciclo de vida de la seguridad del software desarrollado, alojado o adquirido internamente para prevenir, detectar y corregir vulnerabilidades de seguridad antes de que afecten a su empresa.

**Productos de ManageEngine que le ayudan con este control:**

- [Vulnerability Manager Plus](https://www.manageengine.com/latam/vulnerability-management/?ME_cis): Implemente una gestión de vulnerabilidades empresariales centrada en la priorización.
- [Endpoint Central](https://www.manageengine.com/latam/desktop-central/?ME_cis): Identifique vulnerabilidades y corríjalas mediante la aplicación de parches.

### Control 17: Respuesta y gestión de incidentes

Establezca un programa para desarrollar y mantener una capacidad de respuesta ante incidentes —políticas, planes, procedimientos, roles definidos, capacitación y comunicaciones, entre otras medidas— para prepararse, detectar y responder rápidamente a un ataque.

**Productos de ManageEngine que le ayudan con este control:**

- [ServiceDesk Plus](https://www.manageengine.com/latam/service-desk/?ME_cis): Cree un portal para que el equipo de seguridad de TI gestione incidentes con notificaciones únicas, acuerdos de nivel de servicio (SLA) y procedimientos de escalamiento.

### Control 18: Pruebas de penetración

Evalúe periódicamente la capacidad de su organización para defenderse de ataques mediante pruebas de penetración. Simule los objetivos y las acciones de un atacante con la ayuda de equipos rojos para inspeccionar su postura de seguridad actual y obtener información valiosa sobre la eficacia de sus defensas.

## Descargo de responsabilidad

**Descargo de responsabilidad:** La completa implementación de los [CIS Controls](https://www.cisecurity.org/controls/)® (desarrollados por el Centro de Seguridad de Internet) requiere una variedad de soluciones, procesos, personas y tecnologías. Las soluciones mencionadas anteriormente son algunas de las formas en que las herramientas de gestión de la tecnología de la información pueden ayudar a cumplir los requisitos de control de CIS. Junto con otras soluciones, procesos y personas apropiadas, las [soluciones de ManageEngine](https://www.manageengine.com/latam/productos.html) ayudan a implementar los controles de CIS. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento jurídico para la aplicación de los controles de CIS. ManageEngine no ofrece ninguna garantía, expresa, implícita o estatutaria, en cuanto a la información de este material.