Controles de seguridad críticos del CIS para una ciberdefensa eficaz

Publicación de mejores prácticas en seguridad informática

Los Controles CIS (anteriormente llamados Controles de seguridad críticos para una ciberdefensa eficaz del Centro de seguridad de Internet ) son una publicación de pautas de mejores prácticas para la seguridad informática . El proyecto se inició a principios de 2008 en respuesta a las pérdidas extremas de datos que sufrieron las organizaciones de la base industrial de defensa de EE. UU. ^[1] La publicación fue desarrollada inicialmente por el SANS Institute y publicada como "SANS Top 20". La propiedad se transfirió luego al Consejo de Seguridad Cibernética (CCS) en 2013, y luego al Centro de Seguridad de Internet (CIS) en 2015. CIS lanzó la versión 8 de los Controles CIS en 2021. ^[2]

Objetivos

Las directrices constan de 18 (originalmente 20) acciones clave, llamadas controles críticos de seguridad (CSC), que las organizaciones deben implementar para bloquear o mitigar ataques conocidos. Los controles están diseñados de modo que se puedan utilizar principalmente medios automatizados para implementarlos, aplicarlos y monitorearlos. ^[3] Los controles de seguridad brindan recomendaciones prácticas y sensatas para la seguridad cibernética, escritas en un lenguaje que el personal de TI puede entender fácilmente . ^[4] Los objetivos de las Directrices de auditoría de consenso incluyen:

• Aprovechar la ciberdelincuencia para fundamentar la ciberdefensa, centrándose en áreas de alto rendimiento
• Garantizar que las inversiones en seguridad se centren en contrarrestar las mayores amenazas
• Maximizar el uso de la automatización para aplicar controles de seguridad, anulando así los errores humanos
• Utilizar el proceso de consenso para recopilar las mejores ideas ^[5]

Plataformas compatibles

Los puntos de referencia del CIS cubren una amplia gama de tecnologías, entre las que se incluyen:

• Sistemas operativos : Windows, Linux, macOS
• Servidores : Apache, NGINX, Microsoft IIS
• Plataformas en la nube : AWS, Azure, Google Cloud Platform
• Dispositivos de red : Cisco, Juniper
• Aplicaciones : Microsoft Office, Google Chrome, Mozilla Firefox ^[6]

Referencias

1. "Gilligan Group Inc., CAG: antecedentes y participantes"
2. “CIS Critical Security Controls Version 8, página web de CIS, 17 de enero de 2024
3. “Entender a las partes interesadas en la tecnología: sus avances y desafíos”, por John M. Gilligan, Software Assurance Forum, 4 de noviembre de 2009
4. “Directrices de auditoría de consenso: descripción general” de Lieberman Software Corporation
5. “Directrices de auditoría de consenso: es hora de 'detener la hemorragia'”, por John M. Gilligan, 10.º Foro semestral de garantía de software, 12 de marzo de 2009
6. Vanney, Ivan (2 de julio de 2024). "¿Qué son los puntos de referencia CIS?". Linux.Lat . Consultado el 3 de julio de 2024 .