¿Sabes qué es la Matriz de Controles CIS de seguridad?

Debido a la proliferación de las ciberamenazas, cada vez más complejas y sofisticadas, es esencial contar con un marco robusto para proteger los activos digitales contra posibles ciberataques y ciberintrusiones. La Matriz de Controles CIS es uno de ellos.

Se trata de una herramienta, desarrollada por el Centre for Internet Security (CIS) (organización sin ánimo de lucro que se dedica a mejorar la ciberseguridad en todo el mundo, proporcionando estándares, recursos y orientaciones prácticas para mitigar los ciberriesgos asociados con las ciberamenazas), que aglutina un enorme conjunto de las recomendaciones, pautas y mejores prácticas para que las empresas fortalezcan su ciberseguridad.

Los controles CIS sirven como guía práctica para ayudar a las empresas a identificar, implementar y mantener medidas de ciberseguridad efectivas. Al seguir estas pautas, las organizaciones pueden reducir significativamente su exposición a ciberriesgos y mejorar su capacidad para detectar y responder a posibles ciberamenazas.

Estos controles se basan en un enfoque de “ciberseguridad por capas”, abordando diferentes aspectos de la seguridad de la información, como la protección de datos, la gestión de accesos y la monitorización de eventos. Cada control está diseñado para mitigar un ciberriesgo en concreto y todos ellos juntos forman un marco integral que protege contra una amplia gama de ciberamenazas.

La Matriz de Controles CIS consta de varios cientos de controles, cada uno diseñado para abordar un aspecto específico de la ciberseguridad. Éstos son aplicables a una amplia gama de entornos empresariales y sectores de todo tipo de actividades y características.

Teniendo en cuenta que se trata de un marco bastante flexible, los controles CIS pueden ser personalizados para satisfacer las necesidades específicas o únicas de cada organización y tipo de organización.

La implementación de los controles CIS comienza con una evaluación exhaustiva de los ciberriesgos específicos a los que se enfrenta una organización.

A partir de esta evaluación, se realiza la tarea de identificación de los controles relevantes que deben ser implementados para mitigar los ciberriesgos detectados.

Una vez implementados, es importante mantener y revisar regularmente los controles para asegurar su eficacia continua frente a la constante evolución de las ciberamenazas y las de nueva aparición.

Con la aplicación de este framework las organizaciones fortalecer su postura de ciberseguridad y protegen sus activos digitales contra una amplia gama de tipos de ciberamenazas. La implementación de los controles CIS podría marcar la diferencia entre la ciberseguridad y la vulnerabilidad.

Los controles CIS son definidos y desarrollados por una comunidad de expertos en tecnología y ciberseguridad que aplican su enorme experiencia para crear las mejores prácticas de ciberseguridad aceptadas globalmente. Éstos provienen de una amplia gama de sectores de actividad empresarial, diferentes entre ellos, que comparten inteligencia y ciberinteligencia (información sobre ciberataques y ciberatacantes), documentan y comparten herramientas, hacen seguimiento de las ciberamenazas, ciberdelincuentes y vectores de ataque, y mapean los controles CIS a los marcos normativos, regulatorios y de cumplimiento, entre otras de sus responsabilidades.

Para su labor se basan en los principios de un sistema robusto de ciberdefensa:

• La inteligencia y ciberinteligencia. Que pretende nutrir de información relativa a ciberataques El objetivo es aprender continuamente de ellos para ser capaces de construir mejores ciberdefensas.
• Priorización. Mediante la cual se da mayor relevancia a los controles que más ciberriesgos
• Mediciones y métricas. Establecimiento de variables, magnitudes, valores y rangos de medición de situaciones que puedan ser interpretadas por todos los implicados, tanto personas de perfil técnico, como sin él.
• Diagnóstico y mitigación. Mediciones periódicas para probar los controles y las medidas establecidas, que permitan trabajar en un modelo de mejora continua.
• Automatización. Mecanización de las ciberdefensas.

El valor real de este modelo y de los controles CIS no consiste en una mera y extensa lista de tareas a realizar por las organizaciones, sino en aprovechar la experiencia de una comunidad de personas y empresas colaboran para realizar mejoras de ciberseguridad mediante el intercambio de conocimiento.

La Matriz de Controles CIS agrupa los controles de seguridad en diferentes tipos de niveles:

1. Nivel 1: Básico (Basic). Conjunto más simple de controles que todas las empresas deberían implementar para establecer una base sólida de ciberseguridad.
2. Nivel 2: Híbrido (Foundational). Son controles adicionales que, al ser aplicados, aumentan la ciberseguridad de una empresa más allá de los requisitos básicos anteriores, adaptándose a entornos de mayor ciberriesgo.
3. Nivel 3: Avanzado (Organizational). Implica un grupo más nutrido y completo de controles, diseñados específicamente para empresas que tienen necesidades de ciberseguridad muy exigentes (gobiernos, administración pública, servicios críticos, sector militar, etc.).

A continuación, pasamos a describirlos de forma detallada:

1. Controles Básicos (Essential)

Estos controles son los más críticos y fundamentales para cualquier organización.

• Inventory and Control of Enterprise Assets: Mantener un inventario actualizado de activos físicos y virtuales.
• Inventory and Control of Software Assets: Controlar y autorizar el software en los sistemas para prevenir la ejecución de programas no deseados.
• Data Protection: Implementar medidas para proteger datos sensibles en reposo y en tránsito.
• Secure Configuration of Enterprise Assets and Software: Aplicar configuraciones seguras en hardware y software para reducir vulnerabilidades.
• Account Management: Gestionar cuentas de usuario y privilegios para minimizar el riesgo de accesos no autorizados.
• Access Control Management: Implementar control de acceso basado en roles y privilegios mínimos necesarios.
• Continuous Vulnerability Management: Identificar, priorizar y corregir vulnerabilidades de seguridad de forma continua.

2. Controles Fundamentales (Foundational)

Son prácticas esenciales para reducir riesgos cibernéticos.

• Audit Log Management: Habilitar, proteger y revisar registros de auditoría de eventos de seguridad.
• Email and Web Browser Protections: Configurar controles de seguridad en navegadores web y correos electrónicos.
• Malware Defenses: Implementar mecanismos para prevenir y detectar malware en sistemas y redes.
• Data Recovery: Establecer y probar procesos de respaldo y recuperación de datos.
• Network Infrastructure Management: Aplicar configuraciones seguras y segmentación en la infraestructura de red.
• Security Awareness and Skills Training: Capacitar al personal sobre amenazas y mejores prácticas de ciberseguridad.

3. Controles Organizacionales (Organizational)

Estos controles ayudan a reforzar la resiliencia de la organización.

• Service Provider Management: Evaluar y gestionar la seguridad de proveedores externos.

• Application Software Security: Aplicar principios de desarrollo seguro y revisiones de seguridad en aplicaciones.

• Incident Response Management: Establecer planes de respuesta ante incidentes y mejorar su eficacia mediante simulacros.

• Penetration Testing: Realizar pruebas de penetración para identificar y corregir vulnerabilidades.

• Security Awareness and Skills Training: (Reforzado) Mejorar la capacitación en seguridad y concienciación del personal.

Dentro de cada una de estas categorías o niveles, existirán controles (y sub-controles) concretos que aplicar.

Se puede ampliar información sobre la Matriz de Controles CIS consultando el documento público oficial del CIS, donde, para cada uno de los controles, se indica:

• Su descripción, definición y objetivo.
• Los motivos por los que dicho control se considera relevante.
• La tabla con cada uno de los sub-controles que lo conforman y sus descripciones.
• Los procedimientos y recursos implicados en ese control.
• Otros posibles marcos, compatibles con controles similares, sobre los que se puede mapear cada control (NIST, OWASP, etc.).
• El diagrama de relación de entidad del sistema.

En el caso del catálogo de servicios de Zerolynx, además de estar basados en NIST CSF (NIST Cybersecurity Framework) del NIST (Instituto Nacional de Estándares y Tecnologías de EEUU), también se alinean con la Matriz de Controles CIS.

Un ejemplo de ello es el servicio “Fast Review de Ciberseguridad para PYMEs”, donde revisamos el estado de la ciberseguridad de cada pyme, chequeando el cumplimiento de los controles prioritarios de la Matriz CIS:

• Inventario de dispositivos autorizados y no autorizados.
• Inventario de software autorizado y no autorizado.
• Configuraciones seguras en equipos.
• Evaluación continua de vulnerabilidades y remediación.
• Uso controlado de privilegios administrativos.
• Mantenimiento, monitorización y análisis de trazas de auditoría.
• Protecciones de correo electrónico y navegadores web.
• Defensas antimalware.
• Control de puertos de red, protocolos y servicios.
• Capacidad de recuperación de datos y copias de seguridad.
• Configuraciones seguras para dispositivos de red como cortafuegos y switches.
• Acceso controlado basado en la necesidad de conocer.
• Control de acceso inalámbrico.
• Control y monitorización de cuentas de usuario.
• Seguridad del software.
• Respuesta ante incidentes.
• Pruebas de penetración.

Puedes consultar todos los servicios de ciberseguridad y ciberinteligencia de Zerolynx.

Pero, si prefieres que te informemos personalmente, no dudes en ponerte en contacto con nosotros.

 

Iñigo Ladrón Morales, Redactor de contenidos para Zerolynx.