Controles de Seguridad Crítica de Seguridad de CIS

CiberSeguridad 22 de jun. de 2023

Los controles desarrollados por CIS (Center for Internet Security) son un conjunto de prácticas de seguridad y acciones defensivas.
Son una orientación para que las organizaciones alcancen las metas y objetivos de los marcos jurídicos, reglamentarios y normativos que correspondan.

Son 20 Controles que se dividen en 3 IG  (Implementation Groups) o Grupos de Implementación:

  • IG1. Controles Básicos (Controles del 1-6)
  • IG2. Controles Fundamentales (Controles del 7-16)
  • IG3. Controles de la Organizacion (Controles del 17-20)

IG1. CONTROLES BÁSICOS

Son los controles de seguridad de uso general que hay que definir para GARANTIZAR LA DISPONIBILIDAD.

Son controles de seguridad de uso general que cada organización debe implementar para garantizar la disponibilidad de una defensa informática esencial.

  • CONTROL 1: Inventario y control de activos de hardware.
  • CONTROL 2: Inventario y control de activos de software.
  • CONTROL 3: Gestión continua de vulnerabilidades.
  • CONTROL 4: Uso controlado de los privilegios administrativos.
  • CONTROL 5: Configuración segura para el hardware y el software de los dispositivos móviles, laptops, estaciones de trabajo y servidores.
  • CONTROL 6: Mantenimiento, monitoreo y anáisis de logs de auditoría.

IG2. CONTROLES FUNDAMENTALES

Son los controles para CONTRARRESTAR AMENAZAS TÉCNICAS.

Estos son controles que las organizaciones deben implementar para contrarrestar amenazas técnicas más específicas.

  • CONTROL 7: Protección de correo electrónico y navegador web.
  • CONTROL 8: Defensas contra malware.
  • CONTROL 9: Limitación y control de puertos de red, protocolos y servicios.
  • CONTROL 10: Funciones de recuperación de datos.
  • CONTROL 11: Configuración segura para dispositivos de red, tales como * firewalls, routers y switches.
  • CONTROL 12: Protección perimetral.
  • CONTROL 13: Protección de datos.
  • CONTROL 14: Control de acceso basado en la necesidad de saber.
  • CONTROL 15: Control de acceso inalámbrico.
  • CONTROL 16: Monitoreo y control de cuentas.

IG3. CONTROLES ORGANIZACIONALES

Son los controles de seguridad que se enfocan EN LAS PERSONAS Y PROCESOS INVOLUCRADOS EN LA SEGURIDAD.

Estos controles están menos enfocados en aspectos técnicos y más enfocados en las personas y los procesos involucrados con la seguridad informática.
La organización debe implementar estas prácticas clave internamente para garantizar la madurez de la seguridad a largo plazo.

  • CONTROL 17: Implementar un programa de concienciación y capacitación en seguridad.
  • CONTROL 18: Seguridad del software de aplicación.
  • CONTROL 19: Respuesta y gestión de incidentes.
  • CONTROL 20: Pruebas de penetración y ejercicios de Red Team.

Para facilitar todo este trabajo de gestión de la seguridad, el Center for Internet Security dispones de una serie de documentos, herramientas e incluso de imágenes de servidores securizados mediante hardening para su despliegue en los servicios en la Nube.

Enlaces de interés sobre CIS

Fuente: https://www.cisecurity.org/

Etiquetas

Luis GuLo

🐧 SysAdmin GNU/Linux - 🐳 Docker - 🖥️ Bash Scripting - 🐪 Perl - 🐬 MySQL - 👥 Formador de TI - 👥 Formador de SysAdmin's - 💢 Ansible - ☁️ Cloud Computing - ❤️ Debian GNU/Linux