Ba al dakizu zer den CIS Security Controls Matrix?
Iñigo Ladrón Morales
Zibermehatxu gero eta konplexuagoak eta sofistikatuagoak ugaritzen ari direnez, ezinbestekoa da marko sendo bat edukitzea aktibo digitalak balizko ziber-eraso eta ziber-intrusioetatik babesteko. CIS Kontrolen Matrizea da horietako bat.
Internet Security Center (CIS) zentroak (irabazi-asmorik gabeko erakundea) garatutako tresna bat da, mundu osoko zibersegurtasuna hobetzera dedikatzen dena, estandarrak, baliabideak eta jarraibide praktikoak eskaintzen dituena, ziber-mehatxuekin lotutako ziber arriskuak arintzeko. gomendio, jarraibide eta praktika onen multzo erraldoia enpresentzat zibersegurtasuna indartzeko.
CIS kontrolak gida praktiko gisa balio dute enpresei zibersegurtasun neurri eraginkorrak identifikatu, ezarri eta mantentzea. Jarraibide hauek jarraituz, erakundeek nabarmen murriztu dezakete ziber-arriskuen aurrean duten esposizioa eta haien gaitasuna hobetu. to detektatu eta erantzuteko balizko zibermehatxuak.
kontrolak hauek "zibersegurtasunageruzen arabera", informazioaren segurtasuna, adibidez, datuen babesa, sarbideen kudeaketa strong> eta gertaeren jarraipena. Kontrol bakoitza ziber-arriskua zehatz bat arintzeko diseinatuta dago eta guztiek batera ziber-arriskua strong data-mce-fragment="1">esparru integrala, zibermehatxuak.
CIS Kontrolen Matrizea ehunka kontrolak, bakoitza zibersegurtasuna. Hauek jarduera eta ezaugarri mota guztietako negozio-ingurune eta sektore ugaritan aplikagarriak dira.
Marko nahiko malgua dela kontuan hartuta, CIS kontrolak pertsonalizatu daitezke. erakunde eta erakunde mota bakoitzaren behar espezifikoak edo bereziak.
CIS kontrolakren ezarpena ebaluazio integrala espezifikoa Erakunde batek jasaten dituen ziber arriskuak.
Ebaluazio horretan oinarrituta, ezarri behar diren dagokion kontrolak identifikatzeko zeregina. antzemandako ziberarriskuak arintzeko.
Inplementatu ondoren, garrantzitsua da mantendu eta berrikustea kontrolak bere etengabeko eraginkortasuna ziurtatzeko zibermehatxuak eta itxura berrikoak.
Esparru hau aplikatuz, erakundeek zibersegurtasuna jarrera indartzen dute eta aktibo digitalak zibermehatxuak. CIS kontrolak ezartzeak zibersegurtasuna eta zaurgarritasuna.
CIS kontrolak teknologia eta datuen adituen komunitate batek definitu eta garatzen ditu -mce-. fragment="1">zibersegurtasuna duten esperientzia izugarria zibersegurtasuna mundu osoan onartuta. Hauek adimena partekatzen duten negozio-sektore askotatik datoz, elkarren artean desberdinak. eta ziber-adimena (ri buruzko informazioa zibererasoak eta zibererasotzaileak), dokumentatu eta partekatu tresnak, jarraitu zibermehatxuak, ziberkriminalak eta eraso bektoreak eta mapa CIS kontrolak b> arauzko, arauzko eta betetze esparruetara, besteak beste. zure ardurak.
Beren lanerako ziberdefentsa sistema sendo baten printzipioetan oinarritzen dira:
- inteligentzia eta ziber-adimena. zibererasoeiri lotutako informazioa ematea du helburu. Helburua haietatik etengabe ikastea da. ziberdefentsa hobeak eraikitzeko gai izan.
- Lehentasuna. Horren bidez, garrantzi handiagoa ematen zaio kontrolei ziberarriskuak
- Neurketak eta neurketak. Inplikatutako pertsona guztiek interpretatu ditzaketen egoeren aldagaiak, magnitudeak, balioak eta neurketa-barrutiak ezartzea, bai profil teknikoa duten pertsonek bai berau gabe.
- Diagnostikoa eta arintzea. kontrolak eta ezarritako neurriak probatzeko aldizkako neurketak, kontrol-eredu bat lantzeko aukera ematen dutenak. etengabeko hobekuntza.
- Automatizazioa. Ziberdefensen mekanizazioa.
Eredu honen benetako balioa eta CIS kontrolak ez dira soil eta zabal batean. Erakundeek egin beharreko zereginen zerrenda, baizik eta zibersegurtasunaezagutza partekatzearen bidez.
CIS Kontrolen Matrizeak taldekatzen du. segurtasun kontrolak hainbat mailatan:
- 1. maila: oinarrizkoa (oinarrizkoa). Enpresa guztiek zibersegurtasun oinarri sendo bat ezartzeko ezarri behar dituzten kontrol multzo sinpleena.
- 2. maila: hibridoa (oinarrizkoa). kontrolak osagarriak dira, aplikatzen direnean enpresa baten zibersegurtasuna aurreko oinarrizko eskakizunetatik haratago, ziber-arriskua.
- 3. maila: aurreratua (antolakuntza). kontrol talde handiago eta osatuagoa dakar, segurtasuna duten enpresentzat bereziki diseinatua. beharrak. zibersegurtasuna oso zorrotza (gobernuak, administrazio publikoa, zerbitzu kritikoak, sektore militarra, etab. .) .
1. mailaren kontrola, edo Básicos, o Oinarrizkoa, son los correspondientes a los siguientes aktibo digitalak:
- Hardwarea (baimendutako eta baimendu gabeko gailuen inbentarioa).
- Softwarea (zerbitzuak eta aplikazioak).
- ahultasunaken etengabeko ebaluazioa eta kudeaketa.
- administrazio-pribilegioak kontrolatuta.
- Konfigurazio segurua gailu mugikor, ordenagailu eramangarri, lan-estazio eta zerbitzari desberdinetako hardware eta softwarearen konfigurazioa.
- erregistroak, erregistroak edo auditoretza-bideen mantentzea, jarraipena eta analisia.
2. mailaren kontrola, edo Híbridos, o Oinarrizkoa, son los correspondientes a los siguientes aktibo digitalak:
- posta elektronikoa eta web-arakatzaileak.
- Defentsa kontra malware.
- sareko ataka, protokolo eta zerbitzuen muga eta kontrola.
- datuak berreskuratzeko gaitasunak.
- Sareko gailu eta ekipoen konfigurazio segurua, hala nola suebakiak, bideratzaileak eta etengailuak.
- perimetro korporatiboaren babesa eta defentsa.
- datuak babestea.
- Sarbide-kontrola, “jakin/jakin behar ”.
- Sarbide kontrola haririk gabeko sareetara (WiFi, Haririk gabeko, WLAN, sarbide-puntuak).
- erabiltzaile-kontuen jarraipena, jarraipena eta kontrola.
3. mailako kontrolak edo Aurreratua edo Antolakuntza b>, honako aktibo digital hauei dagozkienak dira:
- Zibersegurtasun zerbitzu eta programak ezartzea.
- Segurtasuna softwarearena.
- Kudeaketa eta intzidentziaren erantzuna.
- Sartze-probak eta ejercicios de Red Team.
Kategoria edo maila horietako bakoitzaren barruan, kontrolak egongo dira (eta azpikontrolak) aplikatzeko.
CIS Kontrolen Matrizeari buruzko informazio gehiago CISren dokumentu publiko ofiziala kontsultatuz lor daiteke, non, kontrol bakoitzari dagokionez, adierazten den:
- Bere deskribapena, definizioa eta helburua.
- Kontrol hori garrantzitsutzat jotzeko arrazoiak.
- Taula osatzen duten azpikontrolak bakoitzarekin eta haien deskribapenak.
- Kontrol honetan parte hartzen duten prozedurak eta baliabideak.
- Beste esparru posible batzuk, antzeko kontrolekin bateragarriak, zeinetan kontrol bakoitza mapatu daitekeen (NIST , OWASP, etab.).
- Sistema-entitate-erlazio diagrama.
Zerolynx zerbitzuen katalogoaren kasuan, NIST (AEBko Estandar eta Teknologien Institutu Nazionala) NIST CSF (NIST Cybersecurity Framework) oinarrituta egoteaz gain, CIS Controls Matrix- ekin ere lerrokatuta daude.
Horren adibide da “ Cybersecurity Fast Review for SMEs ” zerbitzua, non ETE bakoitzaren zibersegurtasun egoera berrikusten dugun, CIS Matrix- en lehentasunezko kontrolak betetzen direla egiaztatuz:
- Baimendutako eta baimendu gabeko gailuren inbentarioa.
- Baimendutako eta baimendu gabeko softwareren inbentarioa.
- Konfigurazio seguruak ordenagailuetan.
- ahultasunenen etengabeko ebaluazioa eta konponketa.
- administrazio-pribilegioak kontrolatuta.
- ikuskaritza-arrastoaken mantentzea, jarraipena eta analisia.
- posta elektronikoa eta web arakatzaileak babesak.
- antimalwarea babestea.
- sareko atakak, protokoloak eta zerbitzuak kontrolatzea.
- datuak berreskuratzeko eta gaitasuna backups.
- sareko gailuen konfigurazio seguruak, hala nola suebakiak eta etengailuak.
-
Sarbide kontrolatua
jakin behar . - Kontrola harrenik gabeko sarbidea.
- erabiltzaile-kontuen kontrola eta jarraipena.
- Softwarearen segurtasuna.
- Gorabeheren erantzuna.
- Sartze-probak.
Zerolynx zibersegurtasun eta ziber adimen zerbitzu guztiak kontsulta ditzakezu.
Baina, nahiago baduzu pertsonalki jakinaraztea, ez izan zalantzarik eta jarri gurekin harremanetan .
