Saps què és la Matriu de Controls CIS de seguretat?

Degut a la proliferació de les ciberamenaces, cada vegada més complexes i sofisticades, és essencial comptar amb un marc robust per protegir els actius digitals contra possibles ciberatacs i ciberintrusions. La Matriz de Controles CIS és un d'ells.

Es tracta d'una eina, desenvolupada pel Centre for Internet Security (CIS) (organització sense ànim de lucre que es dedica a millorar la ciberseguretat a tot el món, proporcionant estàndards, recursos i orientacions pràctiques per mitigar els ciberriesgos associats amb les ciberamenaces), que aglutina un enorme conjunt de les recomanacions, pautes i millors pràctiques perquè les empreses enforteixin la seva ciberseguretat.

Els controls CIS serveixen com a guia pràctica per ajudar les empreses a identificar, implementar i mantenir mesures de ciberseguretat efectives. En seguir aquestes pautes, les organitzacions poden reduir significativament la seva exposició a ciberriscos i millorar la seva capacitat per detectar i respondre a possibles ciberamenaces.

Aquests controls es basen en un enfocament de “ciberseguretat per capes”, abordant diferents aspectes de la seguretat de la informació, com la protecció de dades, la gestió d'accessos i la monitorització d'esdeveniments. Cada control està dissenyat per mitigar un ciberriesgo concret i tots ells junts formen un marco integral que protegeix contra una àmplia gamma de ciberamenaces.

La Matriz de Controles CIS consta de diversos centenars de controles, cadascun dissenyat per abordar un aspecte específic de la ciberseguretat. Aquests són aplicables a una àmplia gamma d'entorns empresarials i sectors de tot tipus d'activitats i característiques.

Tenint en compte que es tracta d'un marc força flexible, els controls CIS poden ser personalitzats per satisfer les necessitats específiques o úniques de cada organització i tipus d'organització.

La implementació dels controls CIS comença amb una avaluació exhaustiva dels ciberperills específics als quals s'enfronta una organització.

A partir d'aquesta avaluació, es realitza la tasca d'identificació dels controls rellevants que han de ser implementats per mitigar els ciberriscos detectats.

Un cop implementats, és important mantenir i revisar regularment els controls per assegurar la seva eficàcia contínua davant de l'evolució constant de les ciberamenaces i les de nova aparició.

Amb l'aplicació d'aquest framework les organitzacions enforteixen la seva postura de ciberseguretat i protegeixen els seus actius digitals contra una àmplia gamma de tipus de ciberamenaces. La implementació dels controles CIS podria marcar la diferència entre la ciberseguretat i la vulnerabilitat.

Els controls CIS són definits i desenvolupats per una comunitat d'experts en tecnologia i ciberseguretat que apliquen la seva enorme experiència per crear les millors pràctiques de ciberseguretat acceptades globalment. Aquests provenen d'una àmplia gamma de sectors d'activitat empresarial, diferents entre ells, que comparteixen intel·ligència i ciberintel·ligència (informació sobre ciberatacs i ciberatacants), documenten i comparteixen eines, fan seguiment de les ciberamenaces, ciberdelinqüents i vectors d'atac, i mapegen els controls CIS als marcs normatius, reguladors i de compliment, entre altres de les seves responsabilitats.

Per a la seva labor es basen en els principis d'un sistema robust de ciberdefensa:

• La intel·ligència i ciberintel·ligència. Que pretén nodrir d'informació relativa a ciberatacs L'objectiu és aprendre contínuament d'ells per ser capaços de construir millors ciberdefenses.
• Priorització. Mitjançant la qual se li dóna més rellevància als controls que més ciber-riscos
• Mesures i mètriques. Establiment de variables, magnituds, valors i rangs de mesura de situacions que puguin ser interpretades per tots els implicats, tant persones de perfil tècnic, com sense ell.
• Diagnòstic i mitigació. Mesures periòdiques per provar els controls i les mesures establertes, que permetin treballar en un model de millora contínua.
• Automatització. Mecanització de les ciberdefenses.

El valor real d'aquest model i dels controls CIS no consisteix en una mera i extensa llista de tasques a realitzar per les organitzacions, sinó en aprofitar l'experiència d'una comunitat de persones i empreses que col·laboren per realitzar millores de ciberseguretat mitjançant l'intercanvi de coneixement.

La Matriz de Controles CIS agrupa els controles de seguretat en diferents tipus de nivells:

1. Nivell 1: Bàsic (Basic). Conjunt més simple de controls que totes les empreses haurien d'implementar per establir una base sòlida de ciberseguretat.
2. Nivell 2: Híbrid (Fundacional). Són controls addicionals que, en ser aplicats, augmenten la ciberseguretat d'una empresa més enllà dels requisits bàsics anteriors, adaptant-se a entorns de major ciberriesc.
3. Nivell 3: Avançat (Organitzacional). Implica un grup més nodrit i complet de controls, dissenyats específicament per a empreses que tenen necessitats de ciberseguretat molt exigents (governs, administració pública, serveis crítics, sector militar, etc.).

A continuació, passem a descriure'ls de forma detallada:

1. Controls Bàsics (Essencial)

Aquests controls són els més crítics i fonamentals per a qualsevol organització.

• Inventari i Control d'Actius de l'Empresa: Mantenir un inventari actualitzat d'actius físics i virtuals.
• Inventari i Control dels Actius de Programari: Controlar i autoritzar el programari als sistemes per prevenir l'execució de programes no desitjats.
• Protecció de Dades: Implementar mesures per protegir dades sensibles en repòs i en trànsit.
• Configuració Segura d'Actius i Programari Empresarials: Aplicar configuracions segures en maquinari i programari per reduir vulnerabilitats.
• Gestió d'Accounts: Gestionar comptes d'usuari i privilegis per minimitzar el risc d'accessos no autoritzats.
• Gestió del Control d'Accés: Implementar control d'accés basat en rols i privilegis mínims necessaris.
• Gestió Contínua de Vulnerabilitats: Identificar, prioritzar i corregir vulnerabilitats de seguretat de manera contínua.

2. Controls Fonamentals (Foundational)

Són pràctiques essencials per reduir riscos cibernètics.

• Gestió del registre d'auditoria: Habilitar, protegir i revisar registres d'auditoria d'esdeveniments de seguretat.
• Proteccions d'Email i Navegador Web: Configurar controls de seguretat en navegadors web i correus electrònics.
• Defenses contra malware: Implementar mecanismes per prevenir i detectar malware en sistemes i xarxes.
• Recuperació de Dades: Establir i provar processos de còpia de seguretat i recuperació de dades.
• Gestió de la Infraestructura de Xarxa: Aplicar configuracions segures i segmentació en la infraestructura de xarxa.
• Formació en Consciència i Habilitats de Seguretat: Capacitar el personal sobre amenaces i millors pràctiques de ciberseguretat.

3. Controls Organitzatius (Organizational)

Aquests controls ajuden a reforçar la resiliència de l'organització.

• Gestió de Proveïdors de Serveis: Avaluar i gestionar la seguretat de proveïdors externs.

• Seguretat del Programari d'Aplicació: Aplicar principis de desenvolupament segur i revisions de seguretat en aplicacions.

• Gestió de Resposta a Incidències: Establir plans de resposta davant incidents i millorar la seva eficàcia mitjançant simulacres.

• Proves de penetració: Realitzar proves de penetració per identificar i corregir vulnerabilitats.

• Formació en Seguretat i Coneixement: (Reforçat) Millorar la formació en seguretat i consciència del personal.

Dins de cadascuna d'aquestes categories o nivells, hi haurà controls (i sub-controls) concrets que aplicar.

Es pot ampliar informació sobre la Matriz de Controles CIS consultant el document públic oficial del CIS, on, per a cadascun dels controls, s'indica:

• La seva descripció, definició i objectiu.
• Els motius pels quals aquest control es considera rellevant.
• La taula amb cadascun dels subcontroles que el conformen i les seves descripcions.
• Els procediments i recursos implicats en aquest control.
• Altres possibles marcs, compatibles amb controls similars, sobre els quals es pot mapar cada control (NIST, OWASP, etc.).
• El diagrama de relació d'entitat del sistema.

En el cas del catàleg de serveis de Zerolynx, a més d'estar basats en NIST CSF (NIST Cybersecurity Framework) del NIST (Institut Nacional d'Estàndards i Tecnologies dels EUA), també s'alineen amb la Matriz de Controles CIS.

Un exemple d'això és el servei “Fast Review de Ciberseguretat per a PYMEs”, on revisem l'estat de la ciberseguretat de cada pime, comprovant el compliment dels controls prioritaris de la Matriz CIS:

• Inventari de dispositius autoritzats i no autoritzats.
• Inventari de programari autoritzat i no autoritzat.
• Configuracions segures en equips.
• Avaluació contínua de vulnerabilitats i remediació.
• Ús controlat de privilegis administratius.
• Manteniment, monitorització i anàlisi de traçes d'auditoria.
• Proteccions de correu electrònic i navegadors web.
• Defenses antimalware.
• Control de ports de xarxa, protocols i serveis.
• Capacitat de recuperació de dades i còpies de seguretat.
• Configuracions segures per a dispositius de xarxa com ara tallafocs i commutadors.
• Accés controlat basat en la necessitat de conèixer.
• Control d'.
• Control i monitorització de comptes d'usuari.
• Seguretat del programari.
• Resposta davant incidents.
• Proves de penetració.

Pots consultar tots els serveis de ciberseguretat i ciberintel·ligència de Zerolynx.

Però, si prefereixes que t'informem personalment, no dubtis en posar-te en contacte amb nosaltres.

 

Iñigo Ladrón Morales, Redactor de continguts per a Quèellinx.