Controles del CIS: novedades de la versión 7.

1
El pasado mes de abril se publicó la versión 7.1 de los CIS Controls, un marco de seguridad aún poco
implantado en España, pero muy interesante por la transversalidad y la exigencia de sus requisitos.
En este artículo recorreremos los controles que lo componen y, especialmente, las novedades introducidas en
su última actualización.

El origen de los CIS Controls:

Sus comienzos se remontan al año 2008, cuando el instituto SANS inició un proyecto con el objetivo de crear un
marco de seguridad para el ámbito informático. Sin embargo, unos años después esta iniciativa se transfirió
al Council on Cyber Security  (CCS) y, del mismo modo, fue a parar al Center for Internet Security (CIS) en 2015,
que es quien gestiona dicho proyecto desde entonces.

Este marco de seguridad o mejores prácticas, que cuenta con un total de 20 controles, también ha conocido
distintos nombres a lo largo de su vida, como CIS 20 o SANS Top 20, o el ya oficial CIS Controls™.

Al contrario de lo que sucede en otros estándares, como puede ser PCI DSS, la publicación de nuevas versiones
no sigue un calendario de plazos cerrados:

Este año, en abril 2019, se publicó la versión 7.1, que pese a no introducir cambios en el contenido de los
controles respecto a la 7.0, introduce una novedad de calado sobre la aplicación y priorización de los mismos,
como veremos en este artículo.

CIS Controls: cinco principios de efectividad

El objetivo de los controles del CIS es establecer distintas capas de protección, a todos los niveles, con sistemas
proactivos de defensa y sistemas reactivos capaces de dar una respuesta rápida cuando se detecte un
problema, así como garantizar que los empleados de la organización están concienciados con la seguridad y
realizan su trabajo siguiendo una serie de procesos bien definidos.

Para ello, estos controles han seguido los cinco “principios críticos” (o tenets) en los que debe apoyarse
cualquier sistema de defensa que quiera ser efectivo:

1. El ataque informa a la defensa: Se usarán los conocimientos adquiridos tras sufrir ataques reales para
establecer un sistema de defensa efectivo.

2. Priorización: Se priorizarán aquellos controles que más reduzcan los riesgos y que brinden una
protección mayor.
 3. Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes para evaluar la
efectividad de los controles, y éstas se expresarán en un lenguaje homogéneo y entendible por todos
(directivos, especialistas en TI, auditores, equipo de seguridad, …).

4. Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma continua, de modo que si se

detecta una situación anormal pueda trabajarse en su mitigación cuanto antes.

5. Automatización: Los sistemas de defensa se automatizarán, de modo que las organizaciones puedan

lograr mediciones confiables, escalables y continuas de su adecuación a los controles.

CIS Controls: tres grandes categorías

Siguiendo todo lo descrito hasta ahora, los 20 controles del CIS se agrupan en 3 grandes categorías de forma
desigual:

 Basic
Incluye los 6 primeros controles y cubre aquellas acciones más elementales que una organización
debería hacer en materia de seguridad: conocer en todo momento cuáles son sus activos (inventariar),
 comprobar de forma periódica qué vulnerabilidades podrían afectarles, establecer configuraciones
seguras y mantener los registros de auditoría.

 Foundational
Es la categoría que más controles abarca, concretamente 10, e incluye una serie de prácticas que van
un paso más allá y dotan a una organización de herramientas capaces de prevenir un ataque dirigido o
reponerse de él si éste llega a suceder: defensa perimetral, control de puertos y protocolos en la red,
control de las cuentas de acceso, e incluso la recuperación de datos gracias a las copias backup de los
sistemas.

 Organizational
Este grupo de 4 controles se ocupa, como su nombre indica, de acciones a nivel organizativo que
involucran distintos departamentos o equipos interdisciplinares, como pueden ser los programas de
formación y concienciación o el plan de respuesta ante incidentes de seguridad en la compañía.

CIS Controls: 20 controles y 171 subcontroles.

La norma actualizada, con todo el detalle, puede descargarse de forma gratuita en la web del CIS, tras
introducir algunos datos personales y un email de contacto. Su formato puede sorprender, pues huye de
esquemas y epígrafes anidados y se enfoca en facilitar la lectura con un texto ameno y bien estructurado.
Precisamente, gracias a esta estructura, leer los CIS Controls resulta una tarea muy didáctica.

El título de cada control es bastante ilustrativo:

Control 1: Inventario y control de dispositivos hardware.

Control 2: Inventario de software autorizado y no autorizado.

Control 3: Gestión continua de vulnerabilidades.

Basic
Control 4: Uso controlado de privilegios administrativos.

Control 5: Configuración segura para hardware y software en dispositivos

móviles, portátiles, estaciones de trabajo y servidores.

Control 6: Mantenimiento, monitorización y análisis de logs de auditoría.

Foundational Control 7: Protección de correo electrónico y navegador web.

Control 8: Defensa contra malware.

Control 9: Limitación y control de puertos de red, protocolos y servicios.

Control 10: Capacidad de recuperación de datos.

Control 11: Configuración segura de los equipos de red, tales como

cortafuegos, enrutadores y conmutadores.
 Control 12: Defensa perimetral.

Control 13: Protección de datos.

Control 14: Control de acceso basado en la necesidad de conocer.

Control 15: Control de acceso inalámbrico.

Control 16: Monitorización y control de cuentas.

Control 17: Implementar un programa de formación y concienciación en

seguridad.

Control 18: Seguridad del software de aplicación.

Organizational

Control 19: Respuesta ante incidentes.

Control 20: Pruebas de penetración y ejercicios de red team.

Cada uno de estos 20 controles se divide en subcontroles mucho más específicos, que se complementan y
aportan más detalle sobre cómo lograr el objetivo final. Dependiendo del control, el número de subcontroles
varía desde 5 hasta 13, pero la media está en 8 ó 9, haciendo un total de 171.

Versión 7.1: aplicabilidad de los subcontroles

Como adelantábamos al principio de este artículo, la nueva versión 7.1 no altera el contenido de los controles,
sino que aporta una novedad en cuanto a la aplicación de los mismos, estableciendo prioridades y
relacionándolos con el nivel de madurez de cada organización.

De este modo, una organización nueva o poco madura en el campo de la seguridad, podría optar por aplicar los
subcontroles del CIS de una forma priorizada, abordando así varios proyectos más manejables.

La categorización de entidades que hace la versión 7.1 es muy intuitiva y no es cerrada, es decir, no hay un
cuestionario o lista de requisitos para determinar de forma objetiva a qué grupo pertenece una organización
concreta: son las propias empresas quienes deben juzgar en qué nivel están, dónde se sitúan y dónde quieren
llegar.
Grupo de Implementación 1 (IG1)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son limitados. Es el nivel más
básico y puede corresponder, por ejemplo, a una empresa familiar o una empresa con menos de 10
empleados, donde la información que manejan no es especialmente sensible.

A este grupo le corresponde cumplir con un primer lote de 43 subcontroles, elegidos de entre casi todos los
controles (por ejemplo, no hay ninguno del #18 Seguridad del software de aplicación ni del #20 Pruebas de
penetración).

Por poner un ejemplo, a continuación, vemos la aplicabilidad de los subcontroles del Control 9 por Grupo de
Implementación: En este caso sólo el 9.4 aplica al IG1.
Grupo de Implementación 2 (IG2)
Una organización cuyos recursos disponibles y conocimientos en ciberseguridad son moderados. Es el nivel
medio y aquí encajarían, por ejemplo, empresas un poco más grandes, que operan regiones geográficas más
amplias.

Supone un salto cuantitativo importante, pues este tipo de organizaciones deberían cumplir con 140
subcontroles de los 171 existentes (es decir, un 82% del contenido total de este marco de seguridad).

De nuevo veamos un ejemplo, en este caso de la aplicabilidad de los subcontroles del Control 6 por Grupo de
Implementación: para las organizaciones que se encuadren en el IG2, sólo el 6.8 no les aplicaría:

Grupo de Implementación (IG3)

Una organización más madura, cuyos recursos disponibles y conocimientos en ciberseguridad son significativos.
Es el nivel avanzado, donde etiquetaríamos a cualquier empresa multinacional con miles de empleados.

La diferencia con respecto al IG2 no es significativa, se solicitan 31 subcontroles más que en el IG2, de forma
que se completa el 100% de los CIS Controls. Se trata básicamente de aquellos requisitos para los que se
requieren unos procesos más detallados y unas soluciones de seguridad más avanzadas y específicas.

Implantar CIS Controls v7.1 en mi organización

Pese a sus bondades, uno de los puntos débiles en los CIS Controls es la ausencia de una definición clara de
alcance dentro de una organización.

Es decir, supongamos el caso de una empresa con presencia internacional, oficinas centrales en distintos
países, comercios a pie de calle en todos ellos, con sus respectivos sitios de e-commerce, etc. Encaja con la
descripción de Grupo de Implementación 3, pero ¿dónde debe aplicar los 20 controles? ¿Qué sistemas y
personas concretas estarán en su alcance y cuáles no? ¿Cuáles son más críticos?

CIS Controls v7.1, gracias a los nuevos grupos de implementación, da una primera idea sobre qué requisitos son
más prioritarios, pero a la hora de iniciar un proyecto de adecuación, largo en el tiempo y que supone un
esfuerzo económico, sería muy interesante contar con una guía para poder priorizar también los activos dentro
una compañía.

En cualquier caso, la organización debe realizar un trabajo de reflexión en este sentido y puede apoyarse en
algunas de las tareas que ya exige el CIS. Por ejemplo, debe confeccionar inventarios detallados de hardware
(Control 1.4) y software (Control 2.1), que pondrán sobre la mesa qué máquinas y aplicaciones son críticas para
el negocio, y puede cruzar esta información con el resultado de la categorización e inventariado de la
información sensible de la compañía (exigida en el Control 13.1).

A grandes rasgos, deberíamos ser capaces de definir estos 4 puntos antes de iniciar la implantación los CIS
Controls en nuestra compañía:

1. Identificación del Grupo de Implementación (IG1, IG2, IG3) al que corresponde la organización.

2. GAP Análisis: evaluación del grado de cumplimiento actual de cada uno de los controles que le
apliquen.

3. Establecer una priorización de controles por impacto en la seguridad. Si bien los controles que
corresponde al IG1 deberían ser los más prioritarios y los exclusivos al IG3 los menos urgentes, el
impacto depende completamente de la naturaleza de la compañía.

4. Establecer un alcance priorizado para cada control.

Como puede verse, algunos de estos puntos conllevan un trabajo notable y el resultado de todos ellos
condicionarán los trabajos posteriores, por lo que se recomienda contar siempre con el apoyo de una
compañía externa experta en Seguridad, quien será capaz de definir prioridades y alcances de una forma
mucho más objetiva.

Conclusiones

En definitiva,  CIS Controls resulta un marco de seguridad especialmente interesante por ser muy completo y
estar bien descrito, aunque echamos en falta una definición clara de alcance dentro de una organización. Sin
embargo, con esta última versión 7.1, gracias a los nuevos grupos de implementación, CIS Controls  da un
importantísimo primer paso para determinar qué requisitos son más prioritarios y provee una valiosa
señalización del camino a seguir a la hora de implementar este marco en una compañía.