Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Los 18 controles críticos de seguridad CIS más importantes para la defensa cibernética

Los 18 controles críticos de seguridad CIS más importantes para la defensa cibernética

Sep 16, 2022

Con el costo de una data breach en un máximo histórico de $4.35 millones y regulaciones en todo el mundo imponiendo sanciones más severas por fallas de cumplimiento, las organizaciones deben asegurarse de tener todos los controles de seguridad necesarios en su lugar para mantener sus datos seguros. Implementar los CIS Controls proporciona una base sólida para una defensa efectiva contra las amenazas cibernéticas

Desarrollados por primera vez en 2008, los CIS Controls se actualizan periódicamente en respuesta a la evolución de las tecnologías y el panorama de amenazas. Los controles se basan en la información más reciente sobre ataques comunes y reflejan el conocimiento combinado de expertos forenses comerciales, probadores de penetración individuales y contribuyentes de agencias gubernamentales de EE. UU.

Este artículo detalla los 18 controles en la versión 8 del CIS. Estas pautas tienen en cuenta el aumento del trabajo remoto y el consiguiente incremento en puntos de acceso y la necesidad de seguridad sin perímetro.

Control 01. Inventario y control de los activos empresariales

El primer paso para desarrollar e implementar una estrategia integral de ciberseguridad es comprender los activos de su empresa, quién los controla y el papel que desempeñan. Esto incluye establecer y mantener una lista precisa, actualizada y detallada de todo el hardware conectado a su infraestructura, incluyendo activos que no están bajo su control, como los teléfonos celulares personales de los empleados. Los dispositivos portátiles de los usuarios se unirán periódicamente a una red y luego desaparecerán, haciendo que el inventario de activos disponibles actualmente sea muy dinámico.

¿Por qué es esto crítico?Sin esta información, no puedes estar seguro de haber asegurado todas las posibles superficies de ataque. Mantener un inventario de todos los activos que se conectan a tu red y eliminar dispositivos no autorizados puede reducir drásticamente tu riesgo.

Control 02. Inventario y control de activos de software

El Control 2 aborda las amenazas del desconcertante conjunto de software que las empresas modernas utilizan para las operaciones comerciales. Incluye las siguientes prácticas clave:

  • Identify and document all software assets, and remove any that are outdated or vulnerable.
  • Evite la instalación y uso de software no autorizado creando una lista de permitidos de software autorizado.
  • Utilice herramientas de seguimiento de software automatizadas para monitorear y gestionar la aplicación de software

¿Por qué es esto crítico? El software sin parchear sigue siendo un vector primario para los ataques de ransomware. Un inventario de software completo le ayuda a asegurarse de que todo su software esté actualizado y que cualquier vulnerabilidad conocida haya sido parcheada o mitigada. Esto es particularmente crítico para el software que contiene componentes de código abierto, ya que sus vulnerabilidades son de conocimiento público.

Control 03. Protección de Datos

En la versión 7 de los CIS Controls, la protección de datos fue el Control 13.

Sus datos son uno de los activos más valiosos de su empresa. CIS Control 3 describe un método para proteger sus datos detallando procesos y controles técnicos para identificar, clasificar, manejar de forma segura, retener y desechar los datos. Asegúrese de incluir disposiciones para:

  • Inventario de datos
  • Controles de acceso a datos
  • Retención de datos
  • Eliminación de datos
  • Cifrado de datos en todas las fases y en medios extraíbles
  • Data Classification
  • Mapas de flujo de datos
  • Segmentación del procesamiento y almacenamiento de datos basada en la sensibilidad
  • Prevención de pérdida de datos
  • Registro de acceso y actividad alrededor de datos sensibles

¿Por qué es esto crítico? Aunque muchas fugas de datos son el resultado de robos deliberados, la pérdida y el daño de datos también pueden ocurrir debido a errores humanos o prácticas de seguridad deficientes. Las soluciones que detectan la exfiltración de datos pueden minimizar estos riesgos y mitigar los efectos del compromiso de datos.

Control 04. Configuración Segura de Activos Empresariales y Software

Esta salvaguarda combina los controles 5 y 11 de la versión 7. Detalla las mejores prácticas para establecer y mantener configuraciones seguras en activos de hardware y software.

¿Por qué es esto crítico? Incluso un solo error de configuración puede abrir riesgos de seguridad y perturbar las operaciones comerciales. El uso de software automatizado simplifica el proceso de endurecimiento y monitoreo de sus activos de TI; por ejemplo, Netwrix Change Tracker proporciona plantillas de construcción certificadas por CIS que le ayudan a establecer rápidamente configuraciones de línea base sólidas y le alerta sobre cambios inesperados en tiempo real para que pueda tomar medidas de inmediato y minimizar el riesgo.

Control 05. Gestión de cuentas

La gestión de cuentas era el Control 16 en la versión 7 de CIS Controls.

La gestión segura de cuentas de usuario, administrador y servicio es vital para prevenir su explotación por parte de atacantes. El Control 5 incluye seis pasos para evitar problemas de seguridad causados por cuentas vulnerables:

  • Cree y mantenga un inventario de todas las cuentas.
  • Utilice contraseñas únicas.
  • Deshabilite las cuentas que no se hayan utilizado durante 45 días.
  • Restrinja el uso de cuentas privilegiadas.
  • Cree y mantenga un inventario de cuentas de servicio.
  • Centralice toda la gestión de cuentas.

¿Por qué es esto crítico?Las cuentas privilegiadas y sin usar proporcionan una vía para que los atacantes se dirijan a su red. Minimizar y controlar estas cuentas ayudará a proteger sus datos y red de accesos no autorizados.

Control 06. Gestión de Control de Acceso

Esta salvaguarda combina los controles 4 y 14 de la versión 7 de los CIS Controls.

El Control 6 se refiere al control de los privilegios de usuario. Sus mejores prácticas incluyen establecer un proceso de concesión y revocación de acceso, utilizar autenticación multifactor y mantener un inventario de sistemas para el control de acceso.

¿Por qué es esto crítico?Otorgar privilegios excesivamente amplios por el bien de la rapidez abre un camino para el ataque. Al limitar los derechos de acceso de cada usuario solo a lo que se requiere para realizar su trabajo, limitará su superficie de ataque.

Control 07. Gestión Continua de Vulnerabilidades

En la versión 7 de los CIS Controls, continuous vulnerability management fue cubierto por el Control 3.

Este control abarca la identificación, priorización, documentación y remediación de cada vulnerabilidad de seguridad en su red. Ejemplos incluyen servicios abiertos y puertos de red, y cuentas y contraseñas por defecto.

¿Por qué es esto crítico? Las organizaciones que no identifican proactivamente las vulnerabilidades de la infraestructura y toman medidas de remediación probablemente verán comprometidos sus activos o sufrirán interrupciones del negocio.

Control 08. Gestión de registros de auditoría

Este tema se trató bajo el Control 6 en la versión 7 de CIS Controls.

La gestión de registros de auditoría implica controles relacionados con la recolección, almacenamiento, retención, sincronización temporal y revisión de los registros de auditoría.

¿Por qué es esto crítico?El registro y análisis de seguridad ayuda a prevenir que los atacantes oculten su ubicación y actividades. Incluso si sabes qué sistemas fueron comprometidos en un incidente de seguridad, si no tienes registros completos, tendrás dificultades para entender lo que un atacante ha hecho hasta ahora y responder de manera efectiva. Los registros también serán necesarios para investigaciones de seguimiento y determinar el origen de ataques que permanecieron sin detectar durante mucho tiempo.

Control 09. Protecciones para Correo Electrónico y Navegadores Web

Esta salvaguarda era el Control 7 en la versión 7 de CIS Controls.

El correo electrónico y los navegadores web son vectores comunes de ataque. Los controles técnicos principales para asegurar los servidores de correo electrónico y navegadores web incluyen el bloqueo de URLs maliciosas y tipos de archivos. Para una protección más completa contra dichos ataques, también debe proporcionar capacitación en toda la organización sobre las mejores prácticas de seguridad.

¿Por qué es esto crítico? Utilizando técnicas como el spoofing y la ingeniería social, los atacantes pueden engañar a los usuarios para que realicen acciones que pueden propagar malware o proporcionar acceso a datos confidenciales.

Control 10. Defensas contra Malware

Este tema se trató en el Control 8 en la versión 7 de CIS Controls.

Las organizaciones que utilizan ransomware y otro malware se han vuelto tan profesionales como los negocios convencionales. Este control describe las salvaguardias para prevenir o controlar la instalación, ejecución y propagación de software malicioso. Gestionar centralmente tanto herramientas anti-malware basadas en comportamiento como basadas en firmas con actualizaciones automáticas proporciona la protección más robusta contra el malware.

¿Por qué es esto crítico? El malware puede presentarse en forma de caballos de Troya, virus y gusanos que roban, cifran o destruyen sus datos. El ransomware es un gran negocio, con un costo global esperado de alcanzar $265 billion by 2031. Seguir las prácticas descritas en el Control 9 ayudará a proteger su organización contra una infección de malware costosa y dañina.

Control 11. Recuperación de Datos

La recuperación de datos fue el Control 10 en la versión 7 de CIS Controls.

El Control 11 describe cinco salvaguardias para asegurar que sus datos estén respaldados. Incluyen los siguientes elementos:

  • Proceso de recuperación de datos
  • Copias de seguridad automatizadas
  • Protegiendo los datos de respaldo
  • Aislamiento de datos de respaldo
  • Probando protocolos de recuperación de datos

¿Por qué es esto crítico? Asegurarse de tener una copia de seguridad actual de sus datos en un lugar protegido y aislado puede evitar que tenga que ceder a extorsiones costosas para recuperar el acceso a sus datos después de un ataque de ransomware. Además, una copia de seguridad y recuperación de datos efectiva también es necesaria para proteger su organización de amenazas como la eliminación accidental y la corrupción de archivos.

Control 12. Gestión de la Infraestructura de Red

La gestión de la infraestructura de red es un nuevo control para la versión 8. Requiere que gestione activamente todos sus network devices para mitigar los riesgos de ataques dirigidos a servicios de red comprometidos y puntos de acceso.

¿Por qué es esto crítico? La seguridad de la red es un elemento fundamental en la defensa contra ataques. Las empresas deben evaluar y actualizar constantemente las configuraciones, el control de acceso y los flujos de tráfico para fortalecer su infraestructura de red. Documentar completamente todos los aspectos de su infraestructura de red y monitorearla en busca de modificaciones no autorizadas puede alertarle sobre riesgos de seguridad.

Control 13. Monitoreo y Defensa de la Red

El Control 13 también es una nueva adición a los CIS Controls. Se centra en el uso de procesos y herramientas para monitorear y defender contra amenazas de seguridad en toda su infraestructura de red y base de usuarios. Las 11 salvaguardas en este control abarcan cómo recopilar y analizar los datos necesarios para detectar intrusiones, filtrar tráfico, gestionar el control de acceso, recopilar registros de flujo de tráfico y emitir alertas sobre eventos de seguridad.

¿Por qué es esto crítico? Combinar tecnología automatizada y un equipo capacitado para implementar procesos para detectar, analizar y mitigar amenazas de red puede ayudar a proteger contra ataques de ciberseguridad.

Control 14. Capacitación en Conciencia de Seguridad y Habilidades

Este tema se trató en el Control 17 en la versión 7 de CIS Controls.

El control 14 se refiere a implementar un programa educativo para mejorar la conciencia y habilidades de ciberseguridad entre todos sus usuarios. Este programa de capacitación debe:

  • Forme a las personas para reconocer ataques de ingeniería social.
  • Cubra las mejores prácticas de autenticación.
  • Cubra las mejores prácticas de manejo de datos, incluyendo los peligros de transmitir datos a través de redes inseguras.
  • Explique las causas de la exposición no intencionada de datos.
  • Capacite a los usuarios para reconocer y reportar incidentes de seguridad y .
  • Explique cómo identificar e informar sobre actualizaciones de seguridad faltantes.
  • Proporcione capacitación específica de seguridad y habilidades según el rol.

¿Por qué es esto crítico? Muchos incidentes de seguridad de datos son causados por errores humanos, ataques de phishing y políticas de passwords deficientes. Capacitar a sus empleados en conciencia de seguridad puede prevenir violaciones de datos costosas, robo de identidad, sanciones de cumplimiento y otros daños.

Control 15. Gestión de proveedores de servicios

El Control 15 es el último control nuevo en la versión 8. Se ocupa de los datos, procesos y sistemas gestionados por terceros. Incluye directrices para crear un inventario de proveedores de servicios, gestionar y clasificar a los proveedores de servicios, incluir requisitos de seguridad en sus contratos y evaluar, monitorear y despedir de manera segura a los proveedores de servicios.

¿Por qué es esto crítico? Incluso cuando subcontratas un servicio, eres último responsable de la seguridad de tus datos y podrías ser considerado responsable de cualquier violación. Aunque el uso de proveedores de servicios puede simplificar las operaciones de tu negocio, puedes encontrarte con complicaciones rápidamente si no tienes un proceso detallado para asegurar que los datos gestionados por terceros estén seguros.

Control 16. Seguridad del Software de Aplicación

Esta salvaguarda era el Control 18 en la versión 7ª de CIS Controls.

Gestionar el ciclo de vida de seguridad de su software es esencial para detectar y corregir debilidades de seguridad. Debe verificar regularmente que solo está utilizando las versiones más actuales de cada aplicación y que todos los parches relevantes están instalados de manera oportuna.

¿Por qué es esto crítico? Los atacantes a menudo aprovechan las vulnerabilidades en aplicaciones basadas en la web y otro software. Métodos de explotación como desbordamientos de búfer, ataques de inyección SQL, scripts entre sitios y secuestro de clics de código pueden permitirles comprometer sus datos sin tener que eludir los controles de seguridad de la red y los sensores.

Control 17. Gestión de Respuesta a Incidentes

La gestión de respuesta a incidentes fue el Control 19 en la versión 7 de CIS Controls.

Una respuesta adecuada a incidentes puede ser la diferencia entre una molestia y una catástrofe. Incluye planificación, definición de roles, capacitación, supervisión de la gestión y otras medidas necesarias para ayudar a descubrir ataques y contener el daño de manera más efectiva.

¿Por qué es esto crítico? Lamentablemente, en la mayoría de los casos, la posibilidad de un ciberataque exitoso no es cuestión de “si” sino de “cuándo”. Sin un plan de respuesta ante incidentes, es posible que no descubras un ataque hasta que cause un daño grave. Con un plan de respuesta ante incidentes robusto, podrías ser capaz de erradicar la presencia del atacante y restaurar la integridad de la red y los sistemas con poco tiempo de inactividad.

Control 18. Pruebas de Penetración

Este tema fue tratado por el Control 20 en la séptima versión de CIS Controls.

Este control requiere que evalúe la fortaleza de sus defensas realizando pruebas de penetración externas e internas de manera regular. La implementación de este control le permitirá identificar vulnerabilidades en su tecnología, procesos y personal que los atacantes podrían utilizar para ingresar a su red y causar daños.

¿Por qué es esto crítico?Los atacantes están ansiosos por explotar las brechas en sus procesos, como los retrasos en la instalación de parches. En un entorno complejo donde la tecnología está en constante evolución, es especialmente vital probar periódicamente sus defensas para identificar brechas y solucionarlas antes de que un atacante se aproveche de ellas.

Implementando los controles: Un enfoque pragmático

Obtener valor de los CIS Critical Security Controls no significa necesariamente implementar los 18 controles simultáneamente. Pocas organizaciones cuentan con el presupuesto, los recursos humanos y el tiempo necesarios para implementar todo el grupo de controles al mismo tiempo.

Los siguientes pasos ofrecen una guía práctica para comenzar:

  1. Descubra sus activos de información y estime su valor. Realice una evaluación de riesgos y considere los posibles ataques contra sus sistemas y datos, incluyendo los puntos de entrada iniciales, la propagación y el daño. Desarrolle un programa de gestión de riesgos para guiar la implementación de controles.
  2. Compare sus controles de seguridad actuales con los CIS Controls. Tome nota de cada área donde no existan capacidades de seguridad o se necesite trabajo adicional.
  3. Desarrolle un plan para adoptar los controles de seguridad nuevos más valiosos y mejorar la efectividad operativa de sus controles existentes.
  4. Obtenga el compromiso de la dirección para el plan y forme compromisos de línea de negocio para el apoyo financiero y de personal necesario.
  5. Implemente los controles. Esté atento a las tendencias que podrían introducir nuevos riesgos en su organización. Mida el progreso en la reducción de riesgos y comunique sus hallazgos.

¿Quiere saber más sobre los 18 Controles Críticos de Seguridad? Visite el sitio web oficial del CIS Center for Internet Security: https://www.cisecurity.org/controls/

FAQ

¿Qué son los CIS Controls?

Los controles CIS son pautas que proporcionan a las organizaciones una lista de tareas efectivas y de alta prioridad para defenderse contra los ataques cibernéticos más comunes y devastadores. Ofrecen un punto de partida para que cualquier organización mejore su ciberseguridad.

¿Cuántos controles CIS hay?

En la última versión (versión 8), hay 18 Controles CIS.

¿Quién creó los CIS Controls?

Los CIS Controls fueron creados por un grupo de voluntarios internacionales, incluyendo profesionales de ciberseguridad y formuladores de políticas tanto de agencias gubernamentales como del sector privado.

¿Por qué debería una organización implementar los CIS Controls?

Uno de los mayores beneficios de CIS Controls es la priorización inherente en los 18 pasos de acción. La ciberseguridad es un área amplia que puede ser abrumadora para las organizaciones que comienzan a establecer una estrategia. Los CIS Controls enumeran las acciones de mayor valor que puede tomar para proteger sus sistemas y datos.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Mark Kedgley

Director de Tecnología

Mark Kedgley es el Director de Tecnología en Netwrix y cofundador de New Net Technologies (NNT), ahora parte de Netwrix. Es responsable de mejorar continuamente las soluciones de ciberseguridad y cumplimiento de Netwrix para avanzar en nuestra misión de proteger los datos sensibles de los clientes contra amenazas de seguridad de la manera más eficiente y económica, manteniendo al mismo tiempo nuestra facilidad de uso líder en el mercado. Mark tiene casi 30 años de experiencia en la industria de TI. Sus anteriores posiciones en Cable & Wireless, Allen Systems Group y otras organizaciones líderes abarcan una variedad de roles, incluyendo soporte, ventas de soluciones y desarrollo de negocios. Mark tiene un título B.Sc. (Hons) en física de la Universidad de Birmingham

Aprende más sobre este tema

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Análisis Cuantitativo de Riesgo: Expectativa de Pérdida Anual

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad