{"id":845,"date":"2024-01-10T18:27:19","date_gmt":"2024-01-10T23:27:19","guid":{"rendered":"https:\/\/bgsolutions.tech\/?p=845"},"modified":"2025-02-21T14:02:40","modified_gmt":"2025-02-21T19:02:40","slug":"fortaleciendo-su-ciberseguridad-con-los-controles-de-seguridad-cis-v8","status":"publish","type":"post","link":"https:\/\/bgsolutions.tech\/en\/2024\/01\/10\/fortaleciendo-su-ciberseguridad-con-los-controles-de-seguridad-cis-v8\/","title":{"rendered":"Improving your Cybersecurity with CIS v8 Security Controls"},"content":{"rendered":"

What are CIS Controls?<\/h2>\n\n\n\n

These are a set of cybersecurity practices developed by the Center for Internet Security (CIS). These controls are designed to provide practical and effective guidance for securing organizations against the most common and dangerous cyber threats.<\/p>\n\n\n\n

Version 8 of the CIS Critical Security Controls focuses on measures that are effective and realistic for a wide range of organizations. The controls are divided into several categories covering different aspects of IT security, including asset management, security configuration, malware defense, vulnerability management, data security, access control, user account security, and network security, among others.<\/p>\n\n\n\n

These controls are widely respected and adopted in the cybersecurity industry, and are seen as an effective framework for strengthening an organization's security posture, protecting its sensitive information and defending against cyberattacks.<\/p>\n\n\n\n

How can CIS Controls help your organization?<\/h2>\n\n\n\n
    \n
  1. Identify and share perspectives on attacks and attackers.<\/li>\n\n\n\n
  2. Implement tools to improve defenses.<\/li>\n\n\n\n
  3. Align your cybersecurity program with regulatory and compliance frameworks.<\/li>\n<\/ol>\n\n\n\n

    Principles of CIS Controls<\/h2>\n\n\n\n
    Principle<\/strong><\/td>Description<\/strong><\/td><\/tr>
    Informado (Offense-Informed)<\/td>Prioritize CIS Controls based on specific data and knowledge about attacker behaviors and how to stop them.<\/td><\/tr>
    Enfocado (Focused)<\/td>Helps defenders identify the most critical actions to take to stop the most common attacks, avoiding trying to fix everything.<\/td><\/tr>
    Factible (Feasible)<\/td>Implement specific and practical recommendations.<\/td><\/tr>
    Medible (Measurable)<\/td>Simplify CIS Controls, verify that they are measurable and establish thresholds where necessary.<\/td><\/tr>
    Alineada (Aligned)<\/td>
    Creates CIS Controls aligned with other governance, regulatory and process management schemes, frameworks and structures, including the National Institute of Standards and Technology (NIST), the Cloud Security Alliance (CSA), MITRE ATT&CK and more.<\/td><\/tr><\/tbody><\/table>
    Table 1: Principles of CIS V8 Controls<\/strong><\/figcaption><\/figure>\n\n\n\n

    Why is it important to implement CIS Controls?<\/h2>\n\n\n\n

    The implementation of IG1 of the CIS Controls significantly contributes to lowering the risk of suffering the TOP 5 cyber-attacks, as identified by MITRE ATT&CK.<\/p>\n\n\n\n

    \n
    \"\"<\/figure>\n<\/figure>\n\n\n\n

    How do I implement CIS in my organization?<\/h2>\n\n\n\n

    The first step is to understand the current state of cybersecurity in your organization. To do so, ask your business, IT and security teams these questions:<\/p>\n\n\n\n

      \n
    1. Do we know the assets we own and are we able to identify the devices connected to our network in real time?<\/li>\n\n\n\n
    2. Do we know what is working (or trying to work) in our systems and networks?<\/li>\n\n\n\n
    3. Are we limiting and managing the number of people with administrative privileges to modify, bypass or override security settings on our systems and networks?<\/li>\n\n\n\n
    4. Do we have continuous processes in place, backed by security technologies that allow us to prevent most breaches, quickly detect all successful ones and minimize damage to our business and customers?<\/li>\n\n\n\n
    5. Can we demonstrate that we have an effective monitoring strategy to the board or customers?<\/li>\n<\/ol>\n\n\n\n
      \n
      \"\"<\/figure>\n<\/figure>\n\n\n\n

      If the answer to all of the above questions is \"No\", this is the ideal time to take action and identify areas for improvement. CIS Controls can be a valuable tool in this process, helping you to elaborate and prioritize a list of critical processes, as well as to identify and map your assets with these processes.<\/p>\n\n\n\n


      To implement CIS Controls in your organization, follow these steps:<\/h3>\n\n\n\n
        \n
      1. Determine el Nivel de Madurez:<\/strong> Identifique si su organizaci\u00f3n corresponde a IG1 (B\u00e1sico), IG2 (Fundacional) o IG3 (Organizacional).<\/li>\n\n\n\n
      2. Realice un Inventario de Activos y Software:<\/strong> Documente todos los dispositivos y software en su red.<\/li>\n\n\n\n
      3. Eval\u00fae Controles Existentes:<\/strong> Revise qu\u00e9 controles de seguridad ya est\u00e1n implementados.<\/li>\n\n\n\n
      4. Mejore las Defensas del Per\u00edmetro:<\/strong> Aseg\u00farese de que las protecciones de la red sean adecuadas.<\/li>\n\n\n\n
      5. Prepare Respuestas a Incidentes:<\/strong> Establezca planes y procesos para detectar y responder a incidentes de seguridad.<\/li>\n\n\n\n
      6. Identifique y Priorice Brechas Cr\u00edticas:<\/strong> Determine d\u00f3nde se encuentran las mayores vulnerabilidades.<\/li>\n\n\n\n
      7. Planifique e Implemente Controles:<\/strong> Desarrolle un plan para la implementaci\u00f3n y mantenimiento continuo de los controles.<\/li>\n\n\n\n
      8. Capacite y Monitoree a los Usuarios:<\/strong> Eduque a los usuarios sobre las mejores pr\u00e1cticas de seguridad.<\/li>\n<\/ol>\n\n\n\n
          <\/ol>\n\n\n\n

          Grupos de Implementaci\u00f3n (IGs)<\/h2>\n\n\n\n

          Los Grupos de Implementaci\u00f3n (IGs) de los Controles CIS son categor\u00edas dise\u00f1adas para la autoevaluaci\u00f3n empresarial. Cada IG especifica un subconjunto de los Controles CIS, ampliamente evaluado por la comunidad como relevante para empresas con perfiles de riesgo y recursos similares. Su prop\u00f3sito es guiar a estas empresas en la implementaci\u00f3n efectiva de estas medidas. Los IGs ofrecen una visi\u00f3n transversal de los Controles CIS, adapt\u00e1ndolos a distintos tipos de organizaciones.<\/p>\n\n\n\n

          Perfiles de los Controles CIS<\/h3>\n\n\n\n

          IG1<\/h4>\n\n\n\n

          Una empresa clasificada como IG1 es generalmente de tama\u00f1o peque\u00f1o a mediano y posee experiencia limitada en TI y ciberseguridad, enfoc\u00e1ndose en la protecci\u00f3n de sus activos y personal de TI. Su principal objetivo es mantener la continuidad operativa del negocio, ya que tienen una baja tolerancia a periodos de inactividad. La naturaleza de la informaci\u00f3n que buscan proteger es de sensibilidad baja, incluyendo principalmente datos de empleados e informaci\u00f3n financiera.<\/p>\n\n\n\n

          Las Salvaguardas elegidas para el IG1 deben ser implementables incluso con experiencia limitada en ciberseguridad y estar orientadas a contrarrestar ataques generales no espec\u00edficos. Estas medidas suelen estar dise\u00f1adas para integrarse con software y hardware ya existentes.<\/p>\n\n\n\n

          IG2 (Incluye IG1)<\/h4>\n\n\n\n

          Una empresa clasificada como IG2 cuenta con personal dedicado a la administraci\u00f3n y protecci\u00f3n de su infraestructura de TI. Estas organizaciones se caracterizan por tener varios departamentos, cada uno con diferentes perfiles de riesgo seg\u00fan su funci\u00f3n y misi\u00f3n. Las empresas IG2 manejan informaci\u00f3n sensible del cliente o datos empresariales cr\u00edticos y son capaces de soportar breves interrupciones en sus servicios. Su mayor preocupaci\u00f3n es la p\u00e9rdida de confianza p\u00fablica en caso de una brecha de seguridad.<\/p>\n\n\n\n

          Las Salvaguardas seleccionadas para IG2 est\u00e1n dise\u00f1adas para ayudar a los equipos de seguridad a manejar la creciente complejidad operativa. Algunas de estas medidas requieren un cierto nivel de tecnolog\u00eda y experiencia empresarial especializada para su correcta instalaci\u00f3n y configuraci\u00f3n. Estas pr\u00e1cticas est\u00e1n pensadas para fortalecer la seguridad en un entorno empresarial m\u00e1s complejo y con mayores exigencias de protecci\u00f3n de datos.<\/p>\n\n\n\n

          IG3 (Inlcuye IG1 y IG2)<\/h4>\n\n\n\n

          Una empresa clasificada como IG3 cuenta con especialistas en ciberseguridad que se enfocan en diversas \u00e1reas, tales como gesti\u00f3n de riesgos, pruebas de penetraci\u00f3n y seguridad de aplicaciones. Los activos e informaci\u00f3n manejados por una empresa IG3 incluyen datos sensibles o funciones que requieren supervisi\u00f3n regulatoria y cumplimiento de normativas. Para una empresa IG3, es crucial abordar no solo la disponibilidad, sino tambi\u00e9n la confidencialidad e integridad de los datos sensibles. Un ataque exitoso podr\u00eda causar un da\u00f1o significativo al bienestar p\u00fablico.<\/p>\n\n\n\n

          Las Salvaguardas seleccionadas para IG3 est\u00e1n dise\u00f1adas para mitigar ataques dirigidos por adversarios sofisticados y disminuir el impacto de ataques de d\u00eda cero. Estas medidas requieren una implementaci\u00f3n y gesti\u00f3n avanzada, dada la naturaleza cr\u00edtica de los activos protegidos y la potencial gravedad de las amenazas enfrentadas.<\/p>\n\n\n\n

          Controles de Seguridad CIS<\/h2>\n\n\n\n

          Los 18 Controles Cr\u00edticos de Seguridad CIS proporcionan un marco estructurado para fortalecer la postura de ciberseguridad de una organizaci\u00f3n. A continuaci\u00f3n, se ofrece una breve descripci\u00f3n de cada uno de ellos:<\/p>\n\n\n\n

            \n
          1. Inventario y Control de Activos Empresariales:<\/strong> Mantener un inventario preciso de dispositivos autorizados y no autorizados para reducir la superficie de ataque.<\/li>\n\n\n\n
          2. Inventario y Control de Activos de Software:<\/strong> Evaluar y gestionar regularmente los activos de software para mitigar vulnerabilidades.<\/li>\n\n\n\n
          3. Protecci\u00f3n de Datos:<\/strong> Implementar medidas para salvaguardar datos sensibles, incluyendo cifrado y controles de acceso.<\/li>\n\n\n\n
          4. Configuraci\u00f3n Segura de Activos Empresariales y Software:<\/strong> Establecer y mantener configuraciones seguras para hardware y software.<\/li>\n\n\n\n
          5. Gesti\u00f3n de Cuentas:<\/strong> Monitorear y gestionar cuentas de usuario para detectar y responder a actividades sospechosas.<\/li>\n\n\n\n
          6. Gesti\u00f3n de Control de Acceso:<\/strong> Asegurar una autenticaci\u00f3n y control de acceso adecuado para prevenir accesos no autorizados.<\/li>\n\n\n\n
          7. Gesti\u00f3n Continua de Vulnerabilidades:<\/strong> Identificar, evaluar y remediar vulnerabilidades de forma continua.<\/li>\n\n\n\n
          8. Gesti\u00f3n de Registros de Auditor\u00eda:<\/strong> Implementar una gesti\u00f3n integral de registros de auditor\u00eda.<\/li>\n\n\n\n
          9. Protecciones de Correo Electr\u00f3nico y Navegadores Web:<\/strong> Salvaguardar el correo electr\u00f3nico y la navegaci\u00f3n web de amenazas cibern\u00e9ticas.<\/li>\n\n\n\n
          10. Defensas Contra Malware:<\/strong> Fortalecer las defensas contra ataques de malware, incluyendo prevenci\u00f3n y remediaci\u00f3n.<\/li>\n\n\n\n
          11. Recuperaci\u00f3n de Datos:<\/strong> Establecer y probar procedimientos de respaldo y recuperaci\u00f3n de datos.<\/li>\n\n\n\n
          12. Gesti\u00f3n de Infraestructura de Red:<\/strong> Asegurar configuraciones y arquitecturas de red para defenderse de ataques basados en red.<\/li>\n\n\n\n
          13. Monitoreo y Defensa de la Red:<\/strong> Implementar medidas para detectar y prevenir ataques basados en red.<\/li>\n\n\n\n
          14. Formaci\u00f3n en Conciencia y Habilidades de Seguridad:<\/strong> Educar a los empleados sobre riesgos y mejores pr\u00e1cticas de ciberseguridad.<\/li>\n\n\n\n
          15. Gesti\u00f3n de Proveedores de Servicios:<\/strong> Gestionar y evaluar relaciones con proveedores de servicios tercerizados.<\/li>\n\n\n\n
          16. Seguridad de Software de Aplicaci\u00f3n:<\/strong> Asegurar la seguridad del software de aplicaci\u00f3n a trav\u00e9s de pr\u00e1cticas de codificaci\u00f3n segura, pruebas y gesti\u00f3n de parches.<\/li>\n\n\n\n
          17. Gesti\u00f3n de Respuesta a Incidentes:<\/strong> Desarrollar y mantener una capacidad de respuesta a incidentes.<\/li>\n\n\n\n
          18. Pruebas de Penetraci\u00f3n:<\/strong> Realizar pruebas de penetraci\u00f3n para identificar y abordar proactivamente vulnerabilidades.<\/li>\n<\/ol>\n\n\n\n

            \u00bfDeseas conocer como los Controles CIS se ajustan a tu programa de seguridad?<\/h2>\n\n\n\n

            El Center of Internet Security, proporiona m\u00faltiples herramientas que le ayudar\u00e1n a identificar el estado actual de madurez de seguridad de su organizaci\u00f3n y una de ellas es el CIS Critical Security Controls Navigator<\/a>, la cual es una herramienta dise\u00f1ada para ayudar a las organizaciones a integrar los Controles Cr\u00edticos de Seguridad CIS en sus programas de seguridad m\u00e1s amplios. Esta herramienta permite a los usuarios explorar c\u00f3mo los Controles CIS se mapean con otros est\u00e1ndares de seguridad. A trav\u00e9s de un proceso paso a paso, el Navigator facilita la selecci\u00f3n de versiones espec\u00edficas de los Controles CIS, la elecci\u00f3n de marcos de cumplimiento relevantes y la gesti\u00f3n de detalles de mapeo. Tambi\u00e9n ayuda a seleccionar el Grupo de Implementaci\u00f3n (IG) apropiado y a explorar y gestionar salvaguardas espec\u00edficas. Adem\u00e1s, ofrece la opci\u00f3n de revisar, editar o descargar la selecci\u00f3n realizada, lo que proporciona una gu\u00eda personalizada para implementar los Controles CIS de manera efectiva en funci\u00f3n de las necesidades y capacidades espec\u00edficas de la organizaci\u00f3n\u200b<\/p>\n\n\n\n

            Conclusion<\/h2>\n\n\n\n

            Los Controles CIS representan un conjunto de pr\u00e1cticas de seguridad cibern\u00e9tica esenciales y estructuradas, dise\u00f1adas para proporcionar a las organizaciones una gu\u00eda clara para fortalecer su infraestructura de TI contra amenazas cibern\u00e9ticas. Al abordar aspectos cr\u00edticos como la gesti\u00f3n de activos, la protecci\u00f3n de datos, el manejo de vulnerabilidades y la configuraci\u00f3n segura, los Controles CIS ofrecen un marco robusto y adaptable para diferentes niveles de madurez organizacional. Su implementaci\u00f3n estrat\u00e9gica contribuye significativamente a la defensa contra ataques comunes, mejorando la postura de seguridad general y la resiliencia cibern\u00e9tica de una organizaci\u00f3n.<\/p>","protected":false},"excerpt":{"rendered":"

            \u00bfQu\u00e9 son los Controles CIS? Son un conjunto de pr\u00e1cticas de seguridad cibern\u00e9tica desarrolladas por el Center for Internet Security (CIS). Estos controles est\u00e1n dise\u00f1ados para proporcionar una gu\u00eda pr\u00e1ctica y eficaz para asegurar las organizaciones contra las amenazas cibern\u00e9ticas m\u00e1s comunes y peligrosas. La versi\u00f3n 8 de los Controles Cr\u00edticos de Seguridad CIS se […]<\/p>\n","protected":false},"author":1,"featured_media":447,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_mo_disable_npp":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"_vp_format_video_url":"","_vp_image_focal_point":[],"footnotes":""},"categories":[14],"tags":[],"class_list":["post-845","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blueteam"],"acf":[],"_links":{"self":[{"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/posts\/845","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/comments?post=845"}],"version-history":[{"count":1,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/posts\/845\/revisions"}],"predecessor-version":[{"id":851,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/posts\/845\/revisions\/851"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/media\/447"}],"wp:attachment":[{"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/media?parent=845"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/categories?post=845"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bgsolutions.tech\/en\/wp-json\/wp\/v2\/tags?post=845"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}