Scribd
Cargar
34 vistas30 páginas

CIS Controlsv8

Cargado por

Fabian Caceres Leyton
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
34 vistas30 páginas

CIS Controlsv8

Cargado por

Fabian Caceres Leyton
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

CIS Controls

Controles Críticos de Seguridad para la Defensa


Cibernética
Introducción

Consiste en un framework, un conjunto de mejores prácticas recomendadas para la


defensa cibernética, se aplican con el fin de mitigan los ataques más comunes
contra sistemas y redes.

Los Controles CIS son desarrollados en base a patrones de ataques comunes


publicados, Se elaboró y se mantiene, por una comunidad de expertos en
Tecnología, que aplican su experiencia de primera mano como defensores
cibernéticos para crear estas mejores prácticas de seguridad aceptadas
globalmente. Estos expertos provienen de una amplia gama de sectores que
incluyen industrias, salud, educación, gobierno, seguridad y otros.
Cis Controls son considerados como controles críticos de seguridad.
Origen de los CIS Controls

2008, cuando el instituto SANS inició un proyecto con el


objetivo de crear un marco de seguridad para el ámbito
informático.

2010 después esta iniciativa se transfirió al Council on Cyber


Security (CCS).

2015 fue transferido Center for Internet Security (CIS)


NOMBRES A LO LARGO DE LOS AÑOS

CIS 20 - SANS Top 20 - Nombre Oficial: CIS Controls™.


Versiones del Cis Controls

Lanzamiento de Cis Controls V8 : Mayo de


2021.
Centro de Seguridad de Internet ( CIS )

El Centro de Seguridad de Internet (CIS) es una ONG sin fines


de lucro. Cuya misión es "identificar, desarrollar, validar,
promover y sostener soluciones de mejores prácticas para la
defensa cibernética, construir y liderar comunidades para
permitir un entorno de confianza en el ciberespacio "

Conformado por expertos en varias áreas (tenología, auditoría,


seguridad. etc) Utilizan un modelo cerrado de crowdsourcing
para identificar y refinar medidas de seguridad efectiva
Aceptación de CIS Controls

Los controles son reconocidos como una de las base de seguridad más
completas para la mayoría de los sistemas existentes en el mercado, es
posible ser aplicados a cualquier empresa/organización que utilice tecnologías.

El CIS Controls es recomendado por líderes de la industria informática y de


seguridad, como el Instituto Nacional de Estándares y Tecnología (NIST).
Principios

Los controles han seguido los cinco “principios críticos” en los que debe
apoyarse cualquier sistema de defensa que quiera ser efectivo:

1- El ataque informa a la defensa: Se usarán los conocimientos


adquiridos tras sufrir ataques reales para establecer un sistema de
defensa efectivo.

2- Priorización: Se priorizarán aquellos controles que más reduzcan


los riesgos y que brinden una protección mayor.
Principios

3- Mediciones y métricas: Se establecerán sistemas de medición y métricas comunes


para evaluar la efectividad de los controles, y éstas se expresarán en un lenguaje
homogéneo y entendible por todos (directivos, especialistas en TI, auditores, equipo de
seguridad, …).

4- Diagnóstico y mitigación continuos: Las mediciones se realizarán de forma


continua, de modo que si se detecta una situación anormal pueda trabajarse en su
mitigación cuanto antes.

5- Automatización: Los sistemas de defensa se automatizarán, de modo que las


organizaciones puedan lograr mediciones confiables, escalables y continuas de su
adecuación a los controles.
Beneficios de los CIS Controls

- El beneficio principal de los controles es que priorizan y enfocan un número


menor de acciones con altos resultados.

- Los controles fueron diseñados para ayudar a las organizaciones a definir e


identificar rápidamente el punto de partida para sus defensas.

- Invertir en recursos / herramientas con resultados inmediatos y de alto valor.

- Identificar, conocer y mitigar posibles riesgo que son exclusivas de su


negocio o misión.
Estructura Cis Controls V7.1
HIGIENE CIBERNÉTICA
Grupos de Implementación (GI)

HIGIENE
CIBERNÉTICA

IG1 Higiene IG3 (Integra al IG1 -


IG2 (integra al IG1)
Cibernética Básica IG2)
IG1 Higiene Cibernética Básica

Grupo de Implementación 1 (IG1)


Las organizaciones con recursos limitados, en las que la
sensibilidad de los datos es baja, tendrán que aplicar los Sub-
Controles que típicamente entran en la categoría IG1
IG1 Higiene Cibernética Básica

Este Grupo representa un estándar mínimo emergente de


seguridad de la información para todas las empresas. Mediante
este grupo se implementa (56 salvaguardas)considerados como
conjunto fundamental de salvaguardas de ciberdefensa que toda
empresa debe aplicar para protegerse contra los ataques más
frecuentes.

Conocer en todo momento cuáles son sus activos
(inventariar),

Se establece y se mantiene un proceso de gestión de la
información

Comprobar de forma periódica qué vulnerabilidades
podrían afectarles,

establecer configuraciones seguras y mantener los
registros de auditoría.
Grupo de Implementación 2 (IG2)

Las organizaciones con recursos moderados y un mayor riesgo de exposición


por manejar activos y datos más sensibles e importantes tendrán que
implementar los controles de IG2 junto con los de IG1. Estas salvaguardas se
enfocan en ayudar a los equipos de seguridad a gestionar información sensible
de clientes o empresas.
Total de salvaguardas a implementar 74
(Total de salvaguardas 130 IG1 + IG2)
Grupo de Implementación 3 (IG3)

Las organizaciones maduras con recursos importantes y una alta exposición al


riesgo para el manejo de activos y datos críticos necesitan implementar los
Sub-Controles de la categoría IG3 junto con los de IG1 e IG2. Los Sub-
Controles que ayudan a reducir el impacto de los ataques dirigidos de
adversarios sofisticados normalmente entran en la categoría IG3.

Total de salvaguardas a implementar (23 salvaguardas).


(Total de salvaguardas 153 IG1 + IG2 + IG3)
Comparemos ambas versiones
Referencias

https://www.cisecurity.org/

https://www.cert.gov.py/index.php/noticias/lanzamiento-de-la-guia-de-controles-criticos

https://www.cert.gov.py/guias-de-seguridad

https://www.cert.gov.py/application/files/7415/3625/3112/CIS_Controls_Version_7_Spanish_Translation.pd
f

https://learn.cisecurity.org/cis-controls-download
¿Cómo Implementar los
controles?
IMPLEMENTACIÓN MEDIANTE FASES

Formas de
Implementar

CIS Benchmarcks
18 controles IG1 IG2 IG3

Nivel 1 Nivel 2
GAP ANALISIS
CRONOGRAMA DE
IMPLEMENTACIÓN
Muchas Gracias!
Preguntas.-

También podría gustarte