¿Para qué sirven los controles CIS?
Los Controles CIS (Center for Internet Security Controls) son un conjunto de prácticas de seguridad cibernética diseñadas para ayudar a organizaciones a protegerse contra amenazas y ataques informáticos. Son desarrollados por el Center for Internet Security (CIS), una organización sin fines de lucro que promueve la seguridad en sistemas de información.
Características de CIS:
Se basan en amenazas reales y en experiencias de la industria.
Son prioritarios y escalables, es decir, pueden adaptarse según el nivel de madurez de la organización.
Se dividen en controles básicos, fundamentales y organizacionales.
Se alinean con otras normativas como NIST, ISO 27001 y el marco MITRE ATT&CK.
Los 18 Controles CIS (Versión 8)
En la versión más reciente (CIS Controls v8), los controles están organizados en tres grupos según su impacto y facilidad de implementación.
1. Controles Básicos (Esenciales para cualquier organización)
1. Inventario y control de activos de hardware.
2. Inventario y control de activos de software.
3. Protección de datos (confidencialidad, integridad y disponibilidad).
4. Gestión de configuraciones seguras (endurecimiento de sistemas).
5. Gestión de vulnerabilidades continuas (parcheo y escaneo).
6. Control de acceso y administración de identidad.
7. Protección contra malware (antivirus y detección de amenazas).
8. Gestión de auditoría, registros y monitoreo de seguridad.
2. Controles Fundamentales (Mejoran la protección y detección)
9. Control de puertos, protocolos y servicios (bloqueo de servicios no utilizados).
10. Seguridad de correo electrónico y exploración web.
11. Protección de datos en tránsito y almacenamiento (cifrado).
12. Defensas contra ataques de ingeniería social (phishing y concienciación).
13. Defensa contra amenazas internas (detección de actividad sospechosa de empleados).
14. Seguridad en entornos de nube.
3. Controles Organizacionales (Estrategia y respuesta)
15. Gestión de seguridad en proveedores y terceros.
16. Gestión de incidentes de seguridad (detección, respuesta y recuperación).
17. Pruebas de seguridad y ejercicios de simulación (red teaming y pentesting).
18. Concienciación y formación en seguridad
¿Para qué sirven los Controles CIS?
Reducen la superficie de ataque y las vulnerabilidades explotables.
Facilitan auditorías de seguridad y cumplimiento normativo.
Aumentan la capacidad de detección y respuesta ante incidentes.
Son una guía clara y aplicable para organizaciones de cualquier tamaño.
Si estás interesado en seguridad ofensiva y auditorías, los CIS Controls pueden servirte como un marco de referencia para evaluar el nivel de seguridad de una empresa antes de hacer pruebas más avanzadas.