Ba al dakizu zer den CIS Security Controls Matrix?

Zibermehatxuak gero eta konplexuagoak eta sofistikatuagoak diren heinean, funtsezkoa da aktibo digitalak posible diren zibererasoen eta ziberintrusioen aurka babesteko marko sendo bat izatea. CIS Kontrolen Matrizea horietako bat da.

Hau Internet Segurtasunaren Zentroak (CIS) (irabazi asmorik gabeko erakunde bat, mundu osoan cybersegurtasuna hobetzen laguntzen duena, estandarrak, baliabideak eta cybermehatxuak lotutako cyberarriskuak murrizteko praktika orientazioak eskaintzen dituena) garatutako tresna bat da, enpresek beren cybersegurtasuna indartzeko gomendioen, irizpideen eta praktika onenen multzo handi bat biltzen duena.

CIS kontrolak praktika gidari gisa balio dute enpresei zibersegurtasun neurrien identifikatzen, ezartzen eta mantentzen laguntzeko. Gida hauek jarraituz, erakundeek ziberarriskuen esposizioa nabarmen murriztu dezakete eta detektatzeko eta erantzuteko gaitasuna hobetzen dute zibermehatxu posibleei.

Hau kontrolak "zibersegurtasun geruzatan" oinarritzen dira, informazioaren segurtasunaren aspektu desberdinak jorratuz, hala nola datuen babesa, sarbideen kudeaketa eta gertaeren monitorizazioa. Kontrol bakoitza zehazki ziberarriskua murrizteko diseinatuta dago eta guztiak batera marko integral bat osatzen dute, zibermehatxuen gama zabal baten aurka babesteko.

CIS Kontrolen Matrizea ehunka kontrol ditu, bakoitza zibersegurtasunaren aspektu zehatz bat jorratzeko diseinatuta. Hauek enpresa-ingurune eta sektore desberdinetan aplikagarriak dira, jarduera eta ezaugarri guztietakoak.

Kontuan hartuta marko nahiko malgua dela, CIS kontrolak pertsonaliza daitezke erakunde bakoitzaren eta erakunde motaren beharrak asebetetzeko.

CIS kontrolen inplementazioa ebaluazio sakon batekin hasten da, ziberarriskuak antolakuntza batek aurre egin beharrekoak.

Hau ebaluazioaren ondoren, garrantzitsuen kontrolen identifikazioa burutzen da, detektatutako ziberarriskuen arintzeko ezarri beharrekoak.

Ezartzen direnean, garrantzitsua da mantentzea eta berrikustea regularki kontrolak haien etengabeko eraginkortasuna ziurtatzeko zibermehatxuak etengabe eboluzionatzen doazela eta berriak agertzen direla.

'Framework hau aplikatzean, erakundeek zibersegurtasun postura indartzen dute eta aktibo digitalak babesten dituzte zibermehatxu mota askoren aurrean. CIS kontrolen inplementazioak zibersegurtasun eta ahultasunaren arteko aldea markatu dezake.'

CIS kontrolak teknologia eta zibersegurtasun adituen komunitate batek definitu eta garatzen ditu, beren esperientzia handia aplikatuz zibersegurtasun praktikak sortzeko, mundu osoan onartutakoak. Hauek sektore desberdinetako enpresetatik etorri dira, elkarrekin inteligentzia eta ziberinteligentzia (zibererasoen eta zibererasotzaile buruzko informazioa) partekatzen dutenak, tresnak dokumentatu eta partekatzen dituzte, zibermehatxuak, ziberdelituak eta eraso bideak jarraipena egiten dute, eta CIS kontrolak arau, erregulazio eta betetze markoetara mapatzen dituzte, beste hainbat arduren artean.

Haien lanaren oinarriak ziberdefentsa sistema sendo baten printzipioetan daude:

• Inteligentzia eta ziberinteligentzia. Informazioa zibererasoen inguruan elikatzeko asmoa du. Helburua etengabe ikastea da, ziberdefentsak hobeak eraikitzeko gai izateko.
• Prioritizazioa. Horren bidez, kontrolei garrantzi handiagoa ematen zaie ciberarriskuei.
• Neurriak eta neurketa. Aldagaiak, magnitudeak, balioak eta neurtzeko tarteak ezartzea, parte hartzen duten guztiek, bai teknika profila dutenek, bai ez dutenek, interpretatu ditzaketen egoeretan.
• Diagnostikoa eta arintzea. Aldizkako neurketak kontrolak eta ezarritako neurriak probatzeko, etengabeko hobekuntza ereduan lan egiteko aukera ematen dutenak.
• Automatizazioa. Ziberdefentsen mekanizazioa.

Modelo honen eta CIS kontrolen benetako balioa ez da erakundeek burutu beharreko zeregin zerrenda luze eta zabal bat, baizik eta pertsona eta enpresa komunitate baten esperientzia aprobetxatzea, zibersegurtasun hobetzeko ezagutza trukatzeko.

CIS Kontrolen Matrizea segurtasun kontrolak maila mota desberdinetan taldekatzen ditu:

1. Maila 1: Oinarrizko (Basic). Enpresa guztiek ezarri beharko lituzketen kontrolen multzo sinpleena, zibersegurtasun oinarrizko sendoa ezartzeko.
2. Maila 2: Hibridoa (Oinarrizkoa). Kontrolak gehigarriak dira, aplikatzean, enpresa baten zibersegurtasuna aurreko oinarrizko eskakizunetatik haratago handitzen dutenak, ziberarriskua handiagoa den inguruneetara egokituz.
3. Maila 3: Aurreratua (Antolakuntza). Talde handiago eta osatuago bat dakar kontrolak, zehatz-mehatz diseinatuta dauden zibersegurtasun beharrak oso eskatzaileak dituzten enpresentzat ( gobernuak, administrazio publikoa, zerbitzu kritikoak, militarra, etab.).

Hurrengoan, xehetasunez deskribatuko ditugu:

1. Oinarrizko Kontrolak (Funtsezko)

Kontrol hauek kritikoenak eta funtsezkoenak dira edozein erakundetarako.

• Enpresako Aktiboen Inbentarioa eta Kontrola: Aktibo fisiko eta birtualen inbentario eguneratua mantentzea.
• Software Aktiboen Inbentarioa eta Kontrola: Sistemaetan softwarea kontrolatu eta baimentzea, nahi ez diren programen exekuzioa saihesteko.
• Datuen Babesa: Neurriak ezartzea sentikorra den datuak atsedenaldian eta garraioan babesteko.
• Enpresa Aktiboen eta Softwarearen Seguru Konfigurazioa: Hardwarean eta softwarean konfigurazio seguruak aplikatzea ahultasunak murrizteko.
• Kontu Kudeaketa: Erabiltzaile kontuak eta pribilegioak kudeatzea, baimenik gabeko sarbideen arriskua minimizatzeko.
• Sarera Kudeaketa: Rol eta beharrezko pribilegio minimoetan oinarritutako sarbide-kontrola ezarri.
• Etengabeko Ahultasun Kudeaketa: Segurtasun ahultasunak etengabe identifikatu, lehentasun eman eta zuzentzea.

2. Kontrol Oinarrizkoak (Foundational)

Praktika funtsezkoak dira ziber-arriskuak murrizteko.

• Auditoria Logen Kudeaketa: Gaitu, babestu eta segurtasun ekintza auditoreko erregistroak aztertu.
• Email eta Web Nabigatzailearen Babesak: Web nabigatzaileetan eta posta elektronikoetan segurtasun kontrolak konfiguratu.
• Malware Defentsak: Malware saihesteko eta detektatzeko mekanismoak ezarri sistemetan eta sareetan.
• Datuen Berreskurapena: Datuen babesteko eta berreskuratzeko prozesuak ezarri eta probatu.
• Sare Infrastruktura Kudeaketa: Seguruak diren konfigurazioak eta segmentazioa aplikatu sare infrastruktuuran.
• Segurtasun Kontzientzia eta Trebakuntza: Langileak mehatxuak eta zibersegurtasuneko praktika onen inguruan prestatu.

3. Antolakuntza Kontrolak (Organizational)

Kontrol hauek erakundearen erresilientzia indartzen laguntzen dute.

• Zerojabetza Kudeaketa: Kanpoko hornitzaileen segurtasuna ebaluatu eta kudeatu.

• Aplicazio Softwarearen Segurtasuna: Segurtasun garapen printzipioak eta aplikazioetan segurtasun berrikusketa aplikatzea.

• Gertaera Erantzun Kudeaketa: Gertaeren aurreko erantzun planak ezarri eta simulakroen bidez haien eraginkortasuna hobetzea.

• Penetration Testing: Penetratzeko probak egin ahalik eta ahultasunak identifikatzeko eta zuzentzeko.

• Segurtasun Kontzientzia eta Trebakuntza: (Reforzado) Langileen segurtasun eta kontzientzia prestakuntza hobetzea.

Kategoria edo maila hauetako bakoitzean, kontrolak (eta azpi-kontrolak) aplikatzeko konkretuak egongo dira.

Informazioa handitu daiteke CIS Kontrolen Matrizea buruz CIS-en dokumentu publiko ofizialean

• 'Bere deskribapena, definizioa eta helburua.'
• Hori kontrola garrantzitsua dela uste izateko arrazoiak.
• Azpiko kontrolak osatzen duten taula eta haien deskribapenak.
• 'Kontrol horretan inplikatutako prozedurak eta baliabideak.'
• Beste posibleak diren markoak, kontrol antzekoekin bateragarriak, non kontrol bakoitza mapatu daitekeen (NIST, OWASP, etab.).
• Sistemaren entitate-harreman diagrama.

Zerolynx-en zerbitzu katalogoaren kasuan, NIST CSF (NIST Cybersecurity Framework) NIST (Estatu Batuetako Estándar eta Teknologia Institutoa)-ren oinarrituta egon ez ezik, CIS Kontrolen Matrizearekin ere bat etortzen dira.

Adibide bat da “Fast Review de Ciberseguridad para PYMEs”, non cybersegurtasunaren egoera aztertzen dugun pyme bakoitzean, kontrol lehentasunen betetzea CIS Matrizearen arabera egiaztatzen dugularik:

• Baimentutako eta baimenik gabeko gailuen inbentarioa.
• software baimendua eta baimenik gabekoa.
• Seguru konfigurazioak ekipamenduetan.
• Ahultasunak etengabeko ebaluazioa eta konponketa.
• Uso kontrolatua administrazio-pribilegioak.
• Mantenimendua, monitorizazioa eta auditoria arrastoen analisia.
• post elektroniko eta web nabigatzaileak babesteko.
• Defentsak antimalware.
• sareko portuen, protokoloen eta zerbitzuen kontrola.
• datuen berreskurapeneko eta babes kopietako gaitasuna.
• Seguruak konfigurazioak sare gailuak bezala su-fireak eta switch-ak.
• Kontrolatutako sarbidea ezagutzearen beharrean oinarrituta.
• sareko sarbidea kontrola.
• Kontrol eta monitorizazioa erabiltzaile kontuen.
• Softwarearen segurtasuna.
• Gertaeren aurreko erantzuna.
• Sarbide probak.

Eman dezakezu Zerolynx-en zibersegurtasun eta ziberinteligentzia zerbitzuak kontsultatu.

Baina, nahiago baduzu pertsonalki informatu zaitzagun, ez izan zalantzarik gurekin harremanetan jartzeko.

 

Iñigo Ladrón Morales, Edukien idazlea Zerdukatamotza.