Saps què és la Matriu de Controls CIS de seguretat?

A causa de la proliferació de les ciberamenaces , cada vegada més complexes i sofisticades, és essencial comptar amb un marc robust per protegir els actius digitals contra possibles ciberatacs i ciberintrusions . La Matriu de Controls CIS n'és un.

Es tracta d'una eina, desenvolupada pel Centre for Internet Security (CIS) (organització sense ànim de lucre que es dedica a millorar la ciberseguretat a tot el món, proporcionant estàndards, recursos i orientacions pràctiques per mitigar els ciberriscos associats amb les ciberamenaces ) , que aglutina un enorme conjunt de les recomanacions, pautes i millors pràctiques perquè les empreses enforteixin la seva ciberseguretat .

Els controls CIS serveixen com a guia pràctica per ajudar les empreses a identificar, implementar i mantenir mesures de ciberseguretat efectives. En seguir aquestes pautes, les organitzacions poden reduir significativament la seva exposició a ciberriscos i millorar-ne la capacitat per a detectar i respondre a possibles ciberamenaces.

Aquests controls es basen en un enfocament de “ciberseguretat per capes”, abordant diferents aspectes de la seguretat de la informació, com ara la protecció de dades, la gestió d'accessos i la monitorització d'esdeveniments. Cada control està dissenyat per mitigar un ciberrisc en concret i tots junts formen un marc integral que protegeix contra una àmplia gamma de ciberamenaces.

La Matriu de controls CIS consta de diversos centenars de controls, cadascun dissenyat per abordar un aspecte específic de la ciberseguretat. Aquests són aplicables a una àmplia gamma d'entorns empresarials i sectors de tota mena d'activitats i característiques.

Tenint en compte que es tracta d'un marc força flexible, els controls CIS poden ser personalitzats per satisfer les necessitats específiques o úniques de cada organització i tipus dorganització.

La implementació dels controls CIS comença amb una avaluació exhaustiva dels ciberriscos específics a què s'enfronta una organització.

A partir d'aquesta avaluació, es realitza la tasca de identificació dels controls rellevants que cal ser implementats per mitigar els ciberriscos detectats.

Un cop implementats, és important mantenir i revisar regularment els controls per assegurar-ne l'eficàcia contínua davant la constant evolució de les ciberamenaces i les de nova aparició.

Amb l'aplicació d'aquest framework, les organitzacions enforteixen la seva postura de ciberseguretat i protegeixen les seves actius digitals contra una àmplia gamma de tipus de ciberamenaces. La implementació dels controls CIS podria marcar la diferència entre la ciberseguretat i la vulnerabilitat.

Els controls CIS són definits i desenvolupats per una comunitat d'experts en tecnologia i ciberseguretat que apliquen la seva enorme experiència per crear les millors pràctiques de ciberseguretat acceptades globalment. Aquests provenen d'una àmplia gamma de sectors d'activitat empresarial, diferents entre ells, que comparteixen intel·ligència i ciberintel·ligència (informació sobre ciberatacs i ciberatacants), documenten i comparteixen eines, fan seguiment de les ciberamenaces, ciberdelinqüents i vectors d'atac, i mapegen els controls CIS als marcs normatius, reguladors i de compliment, entre altres de les seues responsabilitats.

Per a la vostra tasca es basen en els principis d'un sistema robust de ciberdefensa:

• La intel·ligència i ciberintel·ligència. Que pretén nodrir informació relativa a ciberatacs L'objectiu és aprendre'n contínuament per ser capaços de construir millors ciberdefenses.
• Priorització. Mitjançant la qual es dóna més rellevància als controls que més ciberriscos
• Medicions i mètriques. Establiment de variables, magnituds, valors i rangs de mesurament de situacions que puguin ser interpretades per tots els implicats, tant persones de perfil tècnic com sense.
• Diagnòstic i mitigació. Mesuraments periòdics per provar els controls i les mesures establertes, que permetin treballar en un model de millora contínua.
• Automatització. Mecanització de les ciberdefenses.

El valor real d'aquest model i dels controls CIS no consisteix en una mera i extensa llista de tasques a realitzar per les organitzacions, sinó a aprofitar l'experiència d'una comunitat de persones i empreses col·laboren per fer millores de ciberseguretat mitjançant l'intercanvi de coneixement.

La Matriu de controls CIS agrupa els controls de seguretat en diferents tipus de nivells:

1. Nivell 1: Bàsic (Basic). Conjunt més simple de controls que totes les empreses haurien d'implementar per establir una base sòlida de ciberseguretat .
2. Nivell 2: Híbrid (Foundational). Són controls addicionals que, en ser aplicats, augmenten la ciberseguretat d'una empresa més enllà dels requisits bàsics anteriors, adaptant-se a entorns de més ciberrisc.
3. Nivell 3: Avançat (Organizational). Implica un grup més nodrit i complet de controls, dissenyats específicament per a empreses que tenen necessitats de ciberseguretat molt exigents (governs, administració pública, serveis crítics, sector militar, etc.) .

Els controls de Nivell 1, o Bàsics, o Bàsic, son els corresponents als següents activos digitals:

1. Hardware (inventari de dispositius autoritzats i no autoritzats).
2. Software (serveis i aplicacions).
3. Avaluació i gestió contínua de vulnerabilitats.
4. Ús controlat dels privilegis administratius.
5. Configuració segura de maquinari i programari pertanyent als diferents dispositius mòbils, portàtils, estacions de treball i servidors.
6. Manteniment, monitorització i anàlisi dels registres, logs, o traces d'auditoria.

Els controls de Nivell 2, o Híbridos, o Fundacional, son els corresponents als següents activos digitals:

7. Protecció de correu electrònic i Navegadors web.
8. Defensas contra programari maliciós.
9. Limitació i control de ports de xarxa, protocols i serveis.
10. Capacitats per a la recuperació de dades.
11. Configuració segura de dispositius i equips de xarxa, com firewalls, routers i switches.
12. Protecció i defensa del perímetre corporatiu.
13. Protecció de les dades.
14. Control d'accessos, basat en el model de privilegis “necessitat de saber/conèixer ”.
15. Control d'accessos a xarxes sense fil (WiFi, Wireless, WLAN, punts d'accés).
16. Monitorització, seguiment i control de comptes d'usuari.

Els controls de nivell 3, o Avançats, o Organitzacional, són els corresponents als següents actius digitals:

17. Implementació de serveis i programes de conscienciació, entrenament i capacitació en ciberseguretat.
18. Seguretat del programari.
19. Gestió i resposta davant d'incidents.
20. Proves de penetració i exercicis de Red Team.

Dins de cadascuna d'aquestes categories o nivells, hi haurà controls (i subcontrols) concrets que cal aplicar.

Es pot ampliar informació sobre la Matriu de Controls CIS consultant el document públic oficial del CIS on, per a cadascun dels controls, s'indica:

• La seva descripció, definició i objectiu.
• Els motius pels quals aquest control es considera rellevant.
• La taula amb cadascun dels subcontrols que el conformen i les seves descripcions.
• Els procediments i recursos implicats en aquest control.
• Altres possibles marcs, compatibles amb controls similars, sobre els quals es pot mapejar cada control (NIST, OWASP, etc.).
• El diagrama de relació important del sistema.

En el cas del catàleg de serveis de Zerolynx , a més d'estar basats en NIST CSF (NIST Cybersecurity Framework) del NIST (Institut Nacional d'Estàndards i Tecnologies dels EUA) , també s'alineen amb la Matriu de Controls CIS .

Un exemple d'això és el servei “ Fast Review de Ciberseguretat per a PIMEs ”, on revisem l'estat de la ciberseguretat de cada pime , revisant el compliment dels controls prioritaris de la Matriu CIS :

• Inventari de dispositius autoritzats i no autoritzats.
• Inventari de programari autoritzat i no autoritzat.
• Configuracions segures en equips.
• Avaluació contínua de vulnerabilitats i remeiació.
• Ús controlat de privilegis administratius.
• Manteniment, monitorització i anàlisi de traces d'auditoria.
• Proteccions de correu electrònic i navegadors web.
• Defensa antimalware.
• Control de ports de xarxa, protocols i serveis.
• Capacitat de recuperació de dades i còpies de seguretat.
• Configuracions segures per a dispositius de xarxa com a tallafocs i switches.
• Accés controlat basat en la necessitat per conèixer.
• Control de accés sense fil.
• Control i monitorització de comptes d'usuari.
• Seguretat del programari.
• Resposta davant d'incidents.
• Proves de penetració.

Pots consultar tots els serveis de ciberseguretat i ciberintel·ligència de Zerolynx .

Però, si preferiu que us informem personalment, no dubteu a posar-vos en contacte amb nosaltres .

Iñigo Ladrón Morales, Redactor de continguts per a quèOlinx.