La Ciberseguridad es una de las principales preocupaciones para las empresas, ya que el aumento constante de las amenazas de Ciberataques hace que sea cada vez más difícil protegerse.
Los controles CIS (Center for Internet Security) son un conjunto de buenas prácticas y controles de seguridad que ayudan a las empresas a mejorar su postura de Ciberseguridad. Estos controles han sido desarrollados por un equipo de expertos en seguridad informática y están diseñados para abordar las amenazas más comunes y críticas que pueden enfrentar las organizaciones.
En este artículo, le mostraremos qué son los controles CIS, los pasos que debe seguir para implementarlos y cómo pueden ayudar a su empresa a protegerse contra las amenazas en línea.
¿Qué significa controles CIS?
Los Controles de Seguridad Críticos de CIS (Controles de CIS) constituyen una colección recomendada de buenas prácticas de Ciberseguridad y medidas defensivas concretas que permiten contrarrestar los ataques más frecuentes y asegurar el cumplimiento normativo en un entorno de múltiples marcos.
Los controles de CIS se actualizan mediante un proceso comunitario informal que se encarga de mantenerlos alineados con las mejores prácticas vigentes en ciberseguridad y un panorama de amenazas en constante evolución.
Estos controles representan un conjunto de veinte mejores prácticas que pueden servir como orientación en la elaboración de una estrategia de Ciberseguridad en capas, y la evidencia derivada de las investigaciones, sugiere que su adopción puede disminuir el riesgo de intrusión cibernética hasta un 85 %.
Los controles CIS se alinean con el Marco de Ciberseguridad NIST, cuyo objetivo es fomentar una terminología común para la gestión del riesgo en las empresas.
En otras palabras, este marco ayuda a las organizaciones a responder preguntas críticas relacionadas con su programa de Ciberseguridad, como qué activos necesitan protección y cuáles son las posibles vulnerabilidades.
A diferencia del marco de Ciberseguridad del NIST que se basa en cinco conceptos fundamentales, los Controles CIS consisten en 20 puntos de acción que pueden ser considerados por pymes o nuevas empresas como pasos a seguir en la elaboración de su programa de seguridad.
¿Cómo implementar controles de CIS?
La lista de 8 pasos concretos que le mostraremos a continuación, puede ser de gran ayuda en la implementación de controles relevantes, tanto en las prácticas tácticas diarias, como en las decisiones estratégicas de alto nivel.
1. Haga un inventario de sus activos
Este paso proporciona una base esencial, ya que resulta imposible implementar cualquier control destinado a proteger dispositivos y usuarios si no se dispone de información acerca de lo que se está protegiendo, con lo cual, es recomendable que comience por hacer un inventario tanto de sus archivos de hardware como de software.
2. Mida los controles de activos
Para medir los controles de activos existentes, se debe establecer un punto de referencia para los controles que ya se tienen implementados y en qué medida se ha invertido recursos y esfuerzos en ellos.
Es importante entender que tan bien se está protegido actualmente, o en qué áreas es necesario mejorar, para poder comunicarlo claramente al equipo de TI y a la alta gerencia.
3. Defensas perimetrales
En este tercer paso, es crucial evaluar las protecciones que se han establecido para proteger la entrada y salida de la red, tomando en cuenta los límites de la red. Además, se debe minimizar el acceso no autorizado a la red y bloquear el acceso a las redes inalámbricas de área local.
4. Detectar y responder a incidentes
Este paso se trata de la preparación para posibles incidentes de seguridad, que pueden variar en su naturaleza y alcance. Es importante tener un plan de acción y un proceso interno documentado para manejar los incidentes y mejorar la seguridad mediante la implementación de controles.
5. Evaluar las brechas más críticas
Evaluar las brechas más críticas en el programa de seguridad ayuda a priorizar las medidas necesarias para mejorar la seguridad. Es relevante destacar cuáles son aquellas brechas que requieren colaboración y consenso de los diferentes equipos.
Este paso puede llevar algo de tiempo, pero el esfuerzo adicional vale la pena, ya que ayudará a mejorar significativamente la seguridad.
6. Planifique e implemente sus controles
En este paso, debe planificar y poner en práctica los controles necesarios para abordar las brechas críticas y mantener la seguridad de manera sostenible en el tiempo.
Debe considerar tanto el mantenimiento a corto plazo, como el seguimiento a largo plazo para garantizar que los controles sean efectivos y se adapten a los cambios en su entorno, considerando que los controles son un proceso continuo en lugar de un proyecto único y aislado.
7. Capacitar y monitorear a los usuarios
Debido a que los usuarios son el eslabón más débil de la cadena de seguridad informática, es esencial capacitarlos y evaluarlos regularmente para garantizar su comprensión de los aspectos relevantes de la Ciberseguridad y la importancia que esta tiene.
También es recomendable tener un plan de contingencia para limitar los privilegios y supervisar el comportamiento de los usuarios para detectar posibles anomalías que puedan afectar la seguridad de la información.
8. Pruebe sus controles
El último paso es la etapa en donde se verifica que los controles implementados están funcionando adecuadamente mediante el uso de herramientas como pruebas de penetración y ejercicios de equipo rojo. Es recomendable realizar estas pruebas con regularidad para confirmar que los esfuerzos de seguridad están dando resultados y para aumentar la confianza en el sistema de seguridad.
En resumen, los controles CIS proporcionan un marco sólido para establecer un programa de seguridad efectivo, basado en una configuración segura de los accesos y otros elementos. Al seguir los ocho pasos descritos anteriormente, su empresa puede garantizar que está protegiendo sus activos críticos - como dispositivos móviles, sistemas operativos, servidores e información en general - y minimizando los riesgos de seguridad.
De esta manera, lo pueden ayudar con el ciclo de vida de sus datos, el control de acceso, los mecanismos de autenticación, la gestión de bases de datos, el establecimiento de contraseñas y otras configuraciones de seguridad y en general la protección de datos confidenciales y la ciberdefensa.
También es importante tener en cuenta que los controles CIS no son un proyecto único, sino un proceso continuo que debe ser monitoreado y evaluado regularmente para garantizar que se estén abordando de manera efectiva los cambios en las amenazas y tecnologías.
Con la implementación de los controles CIS, en su empresa pueden estar seguros de que está tomando medidas proactivas para proteger sus datos y activos críticos contra ataques maliciosos o brechas internas, lo que los sitúa en el camino correcto lograr el cumplimiento de los estándares de Ciberseguridad establecidos internacionalmente, como la ISO 27001, SOC2, GDPR o el Reglamento General de Protección de Datos (RGPD).
Si requiere más información sobre los servicios expertos y conocer la oferta de ne Digital en temas de Ciberseguridad, explore nuestro portafolio de servicios.
