Blog | ne Digital: Managed Services for Cybersecurity, Microsoft 365 and Azure

CIS Controls en Microsoft 365: claves para una postura de seguridad sólida en empresas

Escrito por Nicolas Echavarria | 13-mar-2024 16:00:00

Creados en 2008, los CIS control o controles de seguridad críticos CIS son un conjunto de estrategias capaces de enfrentar las debilidades de las organizaciones en términos del cumplimiento en Ciberseguridad y privacidad

Desde entonces, su popularización y aplicación es cada vez mayor. Tanto, que, en la actualidad, los controles CIS constituyen uno de los elementos más importantes a la hora de disminuir las amenazas, tratar las vulnerabilidades y fortalecer la postura de seguridad de las empresas.

En este artículo profundizaremos sobre CIS control, abordaremos las mejores prácticas para implementarlos de forma segura en su organización y demostraremos por qué pueden ser sus mejores aliados cuando de afianzar la seguridad cibernética se trata.

Entendiendo los CIS Controls

Para definir qué es un CIS Control, primero debemos saber qué es el CIS.

CIS son las siglas del Center for Internet Security: una organización sin ánimos de lucro formada por los mejores expertos en el área de la Ciberseguridad (Cybersegurity).

Al hablar de CIS Controls, nos referimos a un grupo de estrategias de seguridad diseñadas para ayudar a las organizaciones a identificar, prevenir y responder eficazmente a los ciberataques maliciosos más comunes, como malware de rescate (ransomware), phishing, entre otros.

Al implementar los CIS de seguridad de manera efectiva, las organizaciones pueden reducir significativamente la posibilidad de sufrir brechas en redes y sistemas operativos. Es un método ideal para la protección de datos confidenciales y la disminución de la superficie de ataque.

Como estos controles de seguridad se actualizan cada cierto tiempo, los estándares CIS permiten a las empresas adaptarse al cumplimiento normativo de Ciberseguridad y privacidad vigente, como la ISO 27001.

En su última actualización (versión 8) se plantean 18 controles, que van desde el Inventario y Control de los Activos Empresariales hasta las Pruebas de Penetración.

¿Qué son los benchmarks?

Los benchmarks (igualmente creados por el CIS), son un grupo de recomendaciones de configuración para los programas y productos de los proveedores de servicio más populares del mundo, como Microsoft 365, Azure Linux, Amazon, Google, entre otros. Su objetivo es reforzar la Ciberseguridad de cada uno a través de su propio sistema.

Microsoft, por ejemplo, cuenta con sugerencias de configuración de seguridad para varias de sus plataformas y sistemas como:

  • Microsoft Office 365
  • Microsoft Azure
  • Microsoft SharePoint
  • Microsoft SQL Server
  • Microsoft Web Browser
  • Microsoft Windows Server

Beneficios tangibles del CIS control

Conozca ahora algunos beneficios implícitos en la CIS seguridad basada en los controles:

  • Reduce el riesgo de sufrir incidentes de seguridad.
  • Mantiene la confianza de los clientes al mejorar la seguridad de la información y de sus datos.
  • Disminuye o elimina los costos asociados a los ataques cibernéticos.
  • Facilita el cumplimiento normativo y la mitigación de inconvenientes.
  • Protege la reputación de la empresa y la posiciona como una organización segura.
  • Reduce el tiempo y los recursos necesarios para detectar y responder ataques.

Implementación práctica en empresas

Aunque los beneficios de aplicar los estándares CIS son innegables, su implementación puede resultar compleja y extensa. Por suerte, existen varias prácticas que pueden simplificar este proceso. A continuación, le presentamos algunas de ellas:

1. Evaluación inicial de riesgos

Es crucial realizar una evaluación exhaustiva de los riesgos y desafíos de seguridad a los que ya se enfrenta la organización. De esta manera, será posible priorizar cuál de los CIS seguridad deben implementarse con mayor urgencia y cuáles pueden esperar un poco más.

Algunas preguntas que puede hacerse durante esta evaluación son:

  • ¿Qué área es más propensa a una filtración o pérdida de datos?
  • ¿Cuál es la información que necesita mayor resguardo?
  • ¿Qué tipos de ataques cibernéticos tendrían un mayor impacto en la organización?
  • ¿Qué tanto se afectarían los flujos de trabajo de la organización si existiera un inconveniente de seguridad en determinada área?
  • ¿La empresa cuenta con una seguridad de red efectiva o necesita reforzarse?
  • ¿El equipo dispone de soluciones de seguridad realmente eficientes? Como antivirus, controles de acceso, métodos de autenticación, copias de seguridad, entre otros.

2. Planificación exhaustiva

Realizar un plan detallado en el que se especifiquen los objetivos que se esperan con la aplicación de los controles CIS será el punto de partida para una implementación efectiva. Esto ayudará a que las empresas puedan:

  • designar las responsabilidades adecuadas a cada colaborador;
  • garantizar una ejecución fluida y menos invasiva;
  • definir los recursos necesarios;
  • establecer un cronograma que permita una implementación gradual.

Otro aspecto es que las prioridades de Ciberseguridad pueden variar respecto a la realidad y regulaciones cada país, por lo que tener en cuenta el entorno en el que se desenvuelve la organización será igual de importante. Si está en CDMX, por ejemplo, es imprescindible conocer los datos de Ciberseguridad de México.

3. Implicación del personal

Si bien la mayor parte de la responsabilidad de la aplicación de estos controles recae en el equipo TI, es esencial que todo el personal (sin importar jerarquías o departamentos) esté alineado con los objetivos y directrices del nuevo sistema. Para conseguirlo, es necesario:

  • crear políticas de seguridad precisas y comprensibles;
  • capacitar a los colaboradores no solo sobre cómo cumplir con las nuevas prácticas, sino también sobre la importancia de hacerlo;
  • fomentar una cultura de seguridad cibernética.

4. Disponer de las herramientas necesarias

Contar con las herramientas adecuadas que favorezcan la seguridad marcará una enorme diferencia al evaluar los controles que cumplan o no con las expectativas.

En ese sentido, sistemas como Microsoft Entra ID (Azure Active Directory), Microsoft Defender, Microsoft Priva, entre otros, contribuirán a:

  • reforzar su seguridad en la nube (cloud security);
  • proteger las bases de datos y cargas de trabajo;
  • garantizar la privacidad de las cuentas de usuario en dispositivos móviles o de escritorio;
  • defender las aplicaciones SaaS y locales en tiempo real.
  • evitar los ciberdelitos contra su empresa.

CIS Control: un aliado en la seguridad

Sin duda, el CIS control y los benchmarks son aliados capaces de hacer frente a los riesgos implícitos en la digitalización. Al establecer las directrices y pautas idóneas para salvaguardar la información y prevenir los ataques externos e internos, estos estándares contribuyen a disminuir las brechas y mejoran la postura de seguridad de las empresas.

Por eso, a pesar de que su implementación no es obligatoria, sí es altamente recomendable para las empresas que priorizan su seguridad y las de sus clientes.

Desde luego, los servicios de Ciberseguridad de ne Digital también juegan un papel fundamental en este contexto, debido a que, con su capacidad de crear estrategias personalizadas y adaptadas a las necesidades de su empresa, le permitirán alcanzar altos niveles de seguridad en todas las áreas.

¿Quiere saber más sobre Ciberseguridad y cultura organizacional? Le invitamos a conocer sobre los controles normativos Sagrilaft y quiénes están obligados a cumplirlos.
Ver post completo