Centro de Seguridad de Internet

Organización sin fines de lucro enfocada en la ciberseguridad

El Centro para la Seguridad de Internet ( CIS ) es una organización sin fines de lucro 501(c)(3) de EE. UU. , ^[2] formada en octubre de 2000. ^[1] Su declaración de misión profesa que la función del CIS es "ayudar a las personas, las empresas y los gobiernos a protegerse contra las amenazas cibernéticas generalizadas ".

La organización tiene su sede en East Greenbush , Nueva York, EE. UU., y entre sus miembros se incluyen grandes corporaciones, agencias gubernamentales e instituciones académicas. ^[1]

Áreas del programa

CIS tiene varias áreas de programas, entre ellas MS-ISAC, CIS Controls, CIS Benchmarks, CIS Communities y CIS CyberMarket. A través de estas áreas de programas, CIS trabaja con una amplia gama de entidades, incluidas las del mundo académico , el gobierno y tanto el sector privado como el público en general, para aumentar su seguridad en línea proporcionándoles productos y servicios que mejoren la eficiencia y la eficacia de la seguridad. ^{[5] [6]}

Centro de análisis e intercambio de información entre varios estados (MS-ISAC)

El Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC) es un "centro de monitoreo y mitigación de amenazas cibernéticas las 24 horas para gobiernos estatales y locales" operado por CIS bajo un acuerdo de cooperación con el Departamento de Seguridad Nacional de los EE. UU. ^[7] (DHS), Agencia de Seguridad Cibernética y de Infraestructura ^[8] (CISA). ^[9] El MS-ISAC fue establecido a fines de 2002 y lanzado oficialmente en enero de 2003, por William F. Pelgrin, entonces Director de Seguridad del estado de Nueva York. ^[10] Comenzando con un pequeño grupo de estados participantes en el noreste, MS-ISAC llegó a incluir a los 50 estados de EE. UU. y el Distrito de Columbia , así como a los gobiernos estatales, locales, tribales y territoriales (SLTT) de EE. UU. Para facilitar su alcance en expansión, a fines de 2010, MS-ISAC "pasó a tener un estatus sin fines de lucro bajo los auspicios del Centro para la Seguridad de Internet". La transición se vio facilitada por el hecho de que el CIS tiene "una reputación consolidada de proporcionar recursos de ciberseguridad a los sectores público y privado". ^{[10] [11]}

MS-ISAC "ayuda a las agencias gubernamentales a combatir las ciberamenazas y trabaja en estrecha colaboración con las fuerzas del orden federales", ^{[12] [13]} y está designado por el DHS como un recurso clave de ciberseguridad para los gobiernos SLTT del país.

Los principales objetivos del MS-ISAC se describen a continuación: ^[14]

• Proporcionar intercambio bidireccional de información y alertas tempranas sobre amenazas a la seguridad cibernética.
• Proporcionar un proceso para recopilar y difundir información sobre incidentes de seguridad cibernética.
• Promover la conciencia de las interdependencias entre las infraestructuras críticas físicas y cibernéticas, así como entre los diferentes sectores.
• coordinar la formación y la sensibilización
• Asegúrese de que todas las partes necesarias sean socios activos en este esfuerzo.

El MS-ISAC ofrece una variedad de productos y servicios de ciberseguridad gratuitos y financiados por el gobierno federal a sus miembros a través del acuerdo de cooperación DHS CISA. También ofrece productos y servicios de pago para los miembros de SLTT que desean protección adicional además de lo que se ofrece en virtud del acuerdo de cooperación. En 2021, el MS-ISAC anunció ^[15] que estaba atravesando una transformación digital, realizando importantes actualizaciones de infraestructura, incluida la implementación de una nueva plataforma de inteligencia de amenazas basada en la nube, capacidad de gestión de eventos e información de seguridad (SIEM), herramienta de orquestación, automatización y respuesta de seguridad (SOAR) y capacidades de lago de datos para la búsqueda de amenazas.

Algunas de las ofertas para SLTT incluyen:

• Se proporciona a todos los SLTT una capacidad de seguridad de servicio de nombres de dominio (DNS) sin costo, conocida como bloqueo e informe de dominios maliciosos ^[16] (MDBR). MS-ISAC se asoció con Akamai para proteger a las organizaciones contra una variedad de ciberataques, como phishing y ransomware.
• Albert ^{[17] - el} sistema de detección de intrusiones (IDS) personalizado de MS-ISAC
• Inteligencia sobre amenazas cibernéticas ^[18] (CTI), que incluye señales de indicadores bidireccionales a través de STIX/TAXII. El MS-ISAC tiene señales de más de 200 fuentes, incluidos ataques en tiempo real contra SLTT. ^[19]
• Un centro de operaciones de seguridad (SOC) 24x7x365 que realiza monitoreo de redes y puntos finales
• Gestión y análisis de vulnerabilidades
• Respuesta a incidentes y análisis forense digital

Centro de análisis e intercambio de información sobre infraestructura electoral (EI-ISAC)

El Centro de análisis e intercambio de información sobre infraestructura electoral (EI-ISAC), creado por el Consejo de coordinación gubernamental del subsector de infraestructura electoral (GCC), es un recurso fundamental para la prevención, protección, respuesta y recuperación de amenazas cibernéticas para las oficinas electorales estatales, locales, territoriales y tribales (SLTT) del país. El EI-ISAC es operado por el Centro para la seguridad de Internet, Inc. bajo el mismo acuerdo de cooperación con el Departamento de Seguridad Nacional de los Estados Unidos (DHS CISA) que el MS-ISAC. Por la naturaleza de las oficinas electorales, que son organizaciones SLTT, cada miembro del EI-ISAC es automáticamente miembro del MS-ISAC y puede aprovechar al máximo los productos y servicios que se ofrecen a ambos ISAC.

La misión del EI-ISAC es mejorar la postura general de seguridad cibernética de las oficinas electorales SLTT, mediante la colaboración y el intercambio de información entre los miembros, el Departamento de Seguridad Nacional de los Estados Unidos (DHS) y otros socios federales, y los socios del sector privado son las claves del éxito. El EI-ISAC proporciona un recurso central para recopilar información sobre amenazas cibernéticas a la infraestructura electoral y el intercambio bidireccional de información entre los sectores público y privado con el fin de identificar, proteger, detectar, responder y recuperarse de los ataques a la infraestructura electoral pública y privada. Y el EI-ISAC está compuesto por representantes de las oficinas electorales SLTT y contratistas que respaldan la infraestructura electoral SLTT. ^[20]

Controles CIS y puntos de referencia CIS

Anteriormente conocidos como SANS Critical Security Controls (SANS Top 20) y CIS Critical Security Controls, los CIS Controls , como se los llama hoy, son un conjunto de 18 salvaguardas priorizadas para mitigar los ciberataques más frecuentes contra los sistemas y redes modernos de la actualidad. Los CIS Controls se agrupan en grupos de implementación ^[21] (IG), que permiten a las organizaciones utilizar una evaluación de riesgos para determinar el nivel apropiado de IG (uno a tres) que se debe implementar para su organización. Los CIS Controls se pueden descargar desde CIS, al igual que varias asignaciones a otros marcos como el National Institute of Standards and Technology (NIST) Cybersecurity Framework ^[22] (CSF), NIST Special Publication (SP) 800-53, ^[23] y muchos otros. CIS también ofrece un producto de software alojado gratuito llamado CIS Controls Assessment Tool ^[24] (CIS-CAT) que permite a las organizaciones rastrear y priorizar la implementación de los CIS Controls.

Los controles CIS abogan por "un modelo de defensa en profundidad para ayudar a prevenir y detectar malware". ^[25] Un estudio de mayo de 2017 mostró que "en promedio, las organizaciones fallan el 55% de los controles de cumplimiento establecidos por el Centro de Seguridad de Internet", y más de la mitad de estas violaciones son problemas de alta gravedad. ^[26] En marzo de 2015, CIS lanzó CIS Hardened Images para Amazon Web Services , en respuesta a "una creciente preocupación en torno a la seguridad de los datos de la información alojada en servidores virtuales en la nube". ^[27] Los recursos se pusieron a disposición como Amazon Machine Images , para seis "sistemas reforzados con puntos de referencia CIS", incluidos Microsoft Windows , Linux y Ubuntu , con imágenes adicionales y proveedores de nube agregados más tarde. ^[27] CIS publicó Guías complementarias para los controles CIS, recomendaciones de acciones para contrarrestar los ataques de ciberseguridad, y en octubre y diciembre de 2015 se publicaron nuevas guías. ^[28] En abril de 2018, CIS lanzó un método de evaluación de riesgos de seguridad de la información para implementar los controles CIS, llamado CIS RAM, que se basa en el estándar de evaluación de riesgos del Consejo DoCRA (Duty of Care Risk Analysis). ^[29] La versión de CIS RAM v2.0 ^[30] se publicó en octubre de 2021. ^[31] CIS RAM v2.1 se publicó en 2022.

CIS Benchmarks es una colaboración de la Comunidad de Consenso y los miembros de CIS SecureSuite (una clase de miembros de CIS con acceso a conjuntos adicionales de herramientas y recursos). ^[32] La Comunidad de Consenso está formada por expertos en el campo de la seguridad de TI que utilizan su conocimiento y experiencia para ayudar a la comunidad global de Internet. Los miembros de CIS SecureSuite están formados por varios tipos diferentes de empresas que varían en tamaño, incluidas agencias gubernamentales, colegios y universidades, organizaciones sin fines de lucro, auditores y consultores de TI, proveedores de software de seguridad y otras organizaciones. CIS Benchmarks y otras herramientas que CIS proporciona sin costo permiten a los trabajadores de TI crear informes que comparan la seguridad de su sistema con un estándar de consenso universal. Esto fomenta una nueva estructura para la seguridad de Internet de la que todos son responsables y que es compartida por los principales ejecutivos, profesionales de la tecnología y otros usuarios de Internet en todo el mundo. Además, CIS proporciona herramientas de seguridad de Internet con una función de puntuación que califica la seguridad de la configuración del sistema en cuestión. Por ejemplo, CIS proporciona a los miembros de SecureSuite acceso a CIS-CAT Pro, una "aplicación Java multiplataforma" que escanea los sistemas de destino y "genera un informe que compara su configuración con los puntos de referencia publicados". ^[5] Esto tiene como objetivo alentar y motivar a los usuarios a mejorar las puntuaciones otorgadas por el software, lo que refuerza la seguridad de su Internet y sus sistemas. El estándar de consenso universal que emplea CIS se basa en el conocimiento acumulado de hábiles profesionales de la tecnología y lo utiliza. Dado que los profesionales de la seguridad de Internet contribuyen voluntariamente a este consenso, esto reduce los costos para CIS y lo hace rentable. ^[33]

Mercado cibernético de la CEI

CIS CyberMarket es un "programa de compras colaborativas que sirve a las organizaciones gubernamentales estatales, locales, tribales y territoriales (SLTT), entidades sin fines de lucro e instituciones de salud y educación públicas de los EE. UU. para mejorar la ciberseguridad a través de compras grupales rentables". ^[34] La intención de CIS CyberMarket es combinar el poder adquisitivo de los sectores gubernamentales y sin fines de lucro para ayudar a los participantes a mejorar su condición de ciberseguridad a un costo menor del que hubieran podido lograr por su cuenta. El programa ayuda con la tarea "que requiere mucho tiempo, es costosa, compleja y abrumadora" de mantener la ciberseguridad trabajando con los sectores público y privado para brindarles a sus socios herramientas y servicios rentables. Las oportunidades de compra combinadas son revisadas por expertos en el campo. ^[14]

Los objetivos principales del CIS CyberMarket son tres:

• Contribuir a un entorno de confianza para mejorar la condición de la ciberseguridad de las entidades mencionadas anteriormente.
• Para reducir el costo de las necesidades de ciberseguridad
• Trabajar con empresas para ofrecer servicios y productos de seguridad a sus socios ^[14]

CIS CyberMarket, al igual que MS-ISAC, ayuda a entidades gubernamentales y organizaciones sin fines de lucro a lograr una mayor seguridad cibernética. En su página de “recursos”, se encuentran disponibles de forma gratuita numerosos boletines y documentos, incluido el “Manual de ciberseguridad para ciudades y condados”. ^[35]

Comunidades de la CEI

Las comunidades CIS son "una comunidad global de voluntarios profesionales de TI" que "perfeccionan y verifican continuamente" las mejores prácticas y herramientas de ciberseguridad de CIS. ^[36] Para desarrollar y estructurar sus puntos de referencia, CIS utiliza una estrategia en la que los miembros de la organización primero se forman en equipos. Luego, cada uno de estos equipos recopila sugerencias, consejos, trabajo oficial y recomendaciones de algunas organizaciones participantes. Luego, los equipos analizan sus datos e información para determinar cuáles son las configuraciones más importantes que mejorarían la seguridad del sistema de Internet al máximo en la mayor cantidad posible de entornos de trabajo. Cada miembro de un equipo trabaja constantemente con sus compañeros de equipo y analiza y critica críticamente un borrador hasta que se forma un consenso dentro del equipo. Antes de que el punto de referencia se publique para el público en general, está disponible para descargar y probar entre la comunidad. Después de revisar todos los comentarios de las pruebas y realizar los ajustes o cambios necesarios, el punto de referencia final y otras herramientas de seguridad relevantes se ponen a disposición del público para su descarga a través del sitio web de CIS. Este proceso es tan extenso y se ejecuta con tanto cuidado que miles de profesionales de seguridad de todo el mundo participan en él. Según ISACA, "durante el desarrollo del CIS Benchmark para Sun Microsystems Solaris , más de 2.500 usuarios descargaron las herramientas de evaluación comparativa y monitorización". ^[37]

Organizaciones participantes

Entre las organizaciones que participaron en la fundación del CIS en octubre de 2000 se encuentran ISACA , el Instituto Americano de Contadores Públicos Certificados (AICPA), el Instituto de Auditores Internos (IIA), el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC2) y el Instituto SANS (Administración de Sistemas, Redes y Seguridad). Desde entonces, el CIS ha crecido hasta contar con cientos de miembros con distintos grados de membresía y coopera y trabaja con una variedad de organizaciones y miembros tanto a nivel nacional como internacional. Algunas de estas organizaciones incluyen a las del sector público y privado, el gobierno, los ISAC y las fuerzas del orden. ^[1]

Referencias

1. Kreitner, Clint; Miuccio, Bert. "El Centro para la Seguridad en Internet: Puntos de referencia de seguridad global para ordenadores conectados a Internet". Asociación de Auditoría y Control de Sistemas de Información (ISACA). Archivado desde el original el 12 de marzo de 2014. Consultado el 25 de julio de 2017 .
2. Rulison, Larry (9 de noviembre de 2016). "El grupo de E. Greenbush monitoreó las elecciones en busca de piratas informáticos". Albany Times Union .
3. Ackerman, Robert K.; Pendleton, Breann (28 de junio de 2017). "Más que las ciberamenazas habituales". Afcea International . Signal.
4. "John M. Gilligan". Centro de Seguridad de Internet . Consultado el 25 de julio de 2017 .
5. "Seguridad de la información y políticas: acerca del Centro para la seguridad en Internet". Universidad de California, Berkeley . Consultado el 25 de julio de 2017 .
6. "CIS Security Benchmarks Tools". Universidad George Mason . Consultado el 25 de julio de 2017 .
7. "Inicio". dhs.gov .
8. "Inicio". cisa.gov .
9. "Rama de participación de socios | CISA" www.cisa.gov . Consultado el 13 de julio de 2021 .
10. Lohrmann, Dan (30 de mayo de 2015). "Entrevista con el fundador saliente de MS-ISAC, Will Pelgrin, y la nueva directora ejecutiva de CIS, Jane Lute". Tecnología gubernamental .
11. "Centro de análisis e intercambio de información multiestatal". Centro para la seguridad de Internet . Consultado el 21 de marzo de 2014 .
12. Nakashima, Ellen (29 de agosto de 2016). "Hackers rusos atacaron el sistema electoral de Arizona". The Washington Post .
13. Robert M. Clark y Simon Hakim (11 de agosto de 2016). Seguridad ciberfísica | Protección de infraestructuras críticas a nivel estatal, provincial y local: cuestiones de seguridad ciberfísica. Springer . p. 11. ISBN 9783319328249.
14. «Centro de Seguridad de Internet». Centro de Seguridad de Internet . Consultado el 25 de julio de 2017 .
15. "Cybersecurity Quarterly (verano de 2021)". Issuu . 29 de junio de 2021 . Consultado el 13 de julio de 2021 .
16. "Blog | El servicio más reciente de bloqueo y denuncia de dominios maliciosos (MDBR) para SLTTS de EE. UU." 2 de septiembre de 2020.
17. "Monitoreo de la red Albert".
18. "Blog | Una nueva visión para la inteligencia de amenazas cibernéticas en el MS-ISAC". 25 de junio de 2021.
19. "Blog | Una nueva visión de la inteligencia sobre amenazas cibernéticas en el MS-ISAC". CIS . 25 de junio de 2021 . Consultado el 13 de julio de 2021 .
20. "Estatuto del EI-ISAC". CIS . Consultado el 2 de abril de 2023 .
21. Folleto de los grupos de implementación
22. "Mapeo de controles CIS v8 con NIST CSF".
23. "Mapeo de controles CIS v8 con NIST SP 800-53 R5".
24. "Herramienta de autoevaluación de controles CIS (CIS CSAT)".
25. Shelton, Debbie (diciembre de 2016). “Una pareja ganadora: la gobernanza y los controles automatizados deben trabajar en conjunto para lograr los máximos resultados”. Auditor Interno.
26. Seals, Tara (26 de mayo de 2017). "Los entornos de nube sufren una falta generalizada de prácticas recomendadas de seguridad". Infosecurity Magazine.
27. Seals, Tara (25 de marzo de 2015). "El Centro de Seguridad de Internet apunta a AWS". Revista Infosecurity .
28. Seals, Tara (23 de diciembre de 2015). "El Centro de Seguridad de Internet publica guías complementarias". Revista Infosecurity.
29. "Preguntas frecuentes sobre la RAM CIS". Sitio web de CIS® (Center for Internet Security, Inc.) .
30. "Blog | Método de evaluación de riesgos CIS (RAM) v2.0 para controles CIS v8". 28 de octubre de 2021.
31. "Método de evaluación de riesgos CIS (RAM) v2.0 para controles CIS v8". Octubre de 2021. Archivado desde el original el 29 de octubre de 2021.
32. "CIS SecureSuite Membership" . Consultado el 25 de julio de 2016 .
33. "El Centro de Seguridad de Internet asume un papel destacado en los esfuerzos de la industria para mejorar la automatización de la seguridad". Business Wire . 12 de septiembre de 2013.
34. "CIS CyberMarket" . Consultado el 25 de julio de 2017 .
35. "Bienvenidos al MS-ISAC". Centro de Seguridad de Internet . Consultado el 25 de julio de 2017 .
36. "Comunidades CIS" . Consultado el 29 de julio de 2017 .
37. "ISACA: al servicio de los profesionales de la gobernanza de TI". Archivado desde el original el 2 de marzo de 2013. Consultado el 7 de marzo de 2014 .

Enlaces externos

• Sitio web oficial