¿Qué son los controles CIS? ¿Cómo aplicarlos en tu empresa?

La ciberseguridad siempre es un tema de preocupación en las empresas, sobre todo en las áreas que manejan información sensible. Para garantizar la protección de los datos ante los ciberataques, existen una serie de recomendaciones denominadas controles CIS. ¿Conoces sus beneficios y desafíos? Aquí te los explicamos.

¿Qué son los controles CIS?

Los controles de seguridad críticos desarrollados por el Center for Internet Security (CIS) son un conjunto de prácticas de seguridad que tienen como objetivo disminuir las probabilidades de que las organizaciones sean víctimas de ciberataques e incidentes de seguridad.

Los controles CIS siguen la misma línea del Marco de Ciberseguridad del NIST, el cual fomenta una terminología común para la gestión del riesgo y amenazas cibernéticas en las empresas. Los controles CIS se actualizan constantemente para evitar las nuevas amenazas cibernéticas.

Cada Control CIS está dividido en salvaguardas que describen una acción que la compañía puede ejecutar para su ciberdefensa ante ataques como malware, ransomware, amenazas internas, entre otros. 

¿Cuáles son los controles CIS?

En junio de 2024, fue publicada la versión 8.1 de los controles CIS versión 8.1. Estos representan el desarrollo más reciente de los estándares de ciberseguridad, con el objetivo de fortalecer las mejores prácticas en el ámbito cibernético.

Los controles CIS (antes denominados subcontroles) cubren un amplio espectro de áreas como el control e inventario de activos, las vulnerabilidades, los mecanismos de autenticación para el control de acceso, la protección contra amenazas y el seguimiento y monitoreo.

En esta última versión podemos identificar 18 áreas de implementación de los controles CIS:

1. Inventario y control de activos de hardware conectados a su red, así como la disposición de un sistema de autenticación para que dispositivos no autorizados accedan.
2. Inventario y control de activos de software para evitar que un software no autorizado se instale y ejecute.
3. Protección de datos para identificar, clasificar, manejar y eliminarlos de forma segura.
4. Configuración segura para el hardware y el software de los dispositivos móviles y fijos de la empresa.
5. Gestión, control de accesos y cuentas para crear, administrar y revocar usuarios y contraseñas.
6. Uso controlado de los privilegios administrativos para evitar el acceso no autorizado a los activos críticos. 
7. Gestión continua de vulnerabilidades para identificarlas o remediarlas lo antes posible. Asegúrese de que las configuraciones de seguridad del software y los sistemas operativos estén actualizadas.
8. Mantenimiento, monitoreo, y análisis de logs de registros de auditoría que podrían ayudar a detectar un ciberataque o recuperarse de él.
9. Protección de correo electrónico y navegador web para garantizar que los usuarios accedan a sitios de confianza que no pongan en riesgo sus datos confidenciales.
10. Defensas contra malware para evitar la instalación y ejecución de códigos maliciosos y salvaguardar la información sensible de manera segura. 
11. Recuperación de datos mediante procesos y herramientas que garanticen el acceso a copias de seguridad de los datos sensibles o su posterior restauración. 
12. Gestión de redes y defensa contra las amenazas de seguridad en la infraestructura de red y la base de datos de la empresa. 
13. Implementar un programa de concienciación y capacitación en seguridad que instruya a los colaboradores sobre las mejores prácticas recomendadas y su rol dentro de la gestión de riesgos. 
14. Gestión de proveedores de servicios que trabajen con datos confidenciales o son responsables de los procesos de TI para garantizar que cumplen con un programa de seguridad. 
15. La seguridad del software de aplicación debe ponerse a prueba cada cierto número de meses y durante todo el ciclo de vida de los datos.  
16. Configuración segura para dispositivos de red como routers, firewalls, switches y puntos de acceso inalámbrico.
17. Respuesta y gestión de incidentes para descubrir a tiempo los ataques, restablecer las operaciones rápidamente y documentar lo ocurrido para futuros planes de defensa cibernética.
18. Pentesting para identificar las brechas y evaluar la preparación del personal y la eficacia de sus planes de seguridad en el corto, mediano y largo plazo.

¿Cómo aplicar los controles CIS en tu empresa?

Implementar los controles CIS implica los siguientes aspectos:

• Evaluación inicial: analizar la situación de seguridad actual de la organización.
• Desarrollo de un plan: la evaluación servirá de punto de referencia para crear un plan detallado para implementar cada control.
• Asignación de recursos: dedicar los recursos necesarios (personal, presupuesto, tiempo) para llevar a cabo el plan.
• Capacitación: formar al personal sobre los controles CIS y sus responsabilidades. Con nuestra plataforma Apolo ayudamos a las empresas a educar a sus colaboradores en materia de ciberseguridad.
• Monitoreo continuo: supervisar el cumplimiento de los controles y realizar ajustes según sea necesario.

5 ventajas de aplicar los controles CIS

Los controles CIS ofrecen una serie de ventajas significativas para las organizaciones que buscan fortalecer su seguridad cibernética. 

Al implementar estas mejores prácticas, las empresas pueden reducir significativamente el riesgo de sufrir ataques cibernéticos, protegiendo así sus activos más valiosos, como la información confidencial y los sistemas críticos.

1. Fortalecer la seguridad de la información

Al seguir estas recomendaciones, se identifican y corrigen las vulnerabilidades más comunes, se fortalecen los mecanismos de defensa y se minimiza la superficie de ataque. Esto se traduce en una mayor seguridad de la información ante amenazas como el ransomware, los ataques de phishing y las intrusiones no autorizadas.

2. Cumplir con la normativa actual

Los controles CIS están alineados con los marcos de cumplimiento normativo (GDPR, Hipaa, ISO, PCI DSS, entre otros) para faciliar a las empresas la ejecución de los procesos regulatorios y que estas puedan evitar sanciones y demostrar su compromiso con la seguridad de la información. 

3. Minimizar las vulnerabilidades

Al cumplir con las mejores prácticas recomendadas por los controles CIS se reducen de manera significativa las brechas de seguridad que pueden provocar pérdidas de datos, financieras y daño reputacional.

4. Optimizar programas de seguridad

Ayuda a las empresas a mejorar su eficiencia operativa y presentar un marco bien estructurado de medidas de seguridad que deben poner en práctica todos los colaboradores. 

5. Mejorar la administración de recursos

Los controles CIS permiten asignar los recursos de manera más eficiente, enfocándose en las áreas que tienen un mayor impacto en la protección de los activos de la organización. 

Adoptar estos controles no es solo una estrategia de seguridad, es una inversión en la continuidad y éxito de tu empresa. Protege tus activos más valiosos y garantiza un futuro libre de amenazas.

En Delta Protect trabajamos un equipo de expertos que brinda asesoría a nuestros clientes para identificar las vulnerabilidades y ayudar a corregirlas. Agenda una demo de Apolo con nosotros y logra la mejora continua de tu organización.