Sie sind auf Seite 1von 4

PRIMEROS 5 CONTROLES CIS

ENTENDIENDO LOS CONTROLES CIS

En 2008, los controles CIS, formalmente conocidos como Controles Criticos de


Seguridad, fueron creados en colaboracin con representantes del gobierno de
los Estados Unidos y organizaciones de investigacin de seguridad del sector
privado. Un conjunto de defensas prcticas dirigidas a detener ciberataques,
los controles CIS son de naturaleza tcnica y definen pasos concretos que una
organizacin puede tomar para detener las amenazas cibernticas ms
comunes de comprometer sus sistemas.

POR QU USAR LOS CONTROLES CIS?

Muchas organizaciones que encaran el actual entorno de ciberseguridad,


estn abrumados por lo que llamamos la "Niebla de Ms", un constante flujo de
nueva informacin y problemas. Ellos son cuestionados por las opiniones de los
expertos en competencia, un mercado ruidoso y cambiante de soluciones
potenciales, y unos requisitos reglamentarios y de cumplimiento poco claros o
abrumadores.

Los controles CIS son desarrollados por una comunidad global experta basada
en su experiencia de primera mano del entorno de amenazas para identificar
las prcticas de mayor valor para asegurar las redes. Su comprensin en
profundidad del panorama actual de la amenaza impulsa el orden de prioridad
y el enfoque de los controles de CIS. Adems, CIS incorpora rutinariamente la
retroalimentacin de la comunidad de usuarios y asegura que las mejores
prcticas sean neutrales al proveedor.

RELACIONES CON LOS MARCOS DE CUMPLIMIENTO

Los controles CIS se alinean con los ms altos marcos de cumplimiento tales
como NIST, PCI, ISO, HIPAA, COBIT entre otros. Descargado ms de 65,000 veces
alrededor del globo, la mayora de los controles adoptantes de CIS utilizan ms
de un marco para mejorar su seguridad. CIS no compite con ningn otro marco;
ms bien, nos esforzamos en ofrecer herramientas de usuario y ayudas para el
trabajo para simplificar su jornada de seguridad. De hecho, muchos adoptantes
de CIS nos cuentan que usan los controles CIS como la gua de implementacin
para el marco de seguridad NIST (CSF).

EMPEZANDO

Un nmero de estudios muestran que la implementacin de los Primeros 5


Controles CIS proveen una defensa efectiva contra los ms comunes
ciberataques (~85% de los ataques). En un esfuerzo de ayudar a las
organizaciones a implementar los Primeros 5 Controles CIS, los objetivos de cada
uno se describen a continuacin.
1. 1 Control CIS: Inventario de Dispositivos Autorizados y no Autorizados.

Los controles CIS ayudan a las organizaciones a definir una lnea base de que
deben defender. Sin un entendimiento de que dispositivos y data estn
conectados, no pueden ser defendidas. El proceso de inventario debe ser lo
ms comprensible posible, y los escaneos (ambos activos y pasivos) que
pueden detectar dispositivos son el lugar para comenzar.

Despus de que una organizacin ha inventariado con precisin sus


sistemas, el siguiente paso es evitar que los dispositivos no autorizados se
unan a una red, aqu es donde la implementacin de autenticacin de nivel
de red sobresale. El objetivo inicial del 1 Control CIS no es evitar que los
atacantes se unan a la red, como mucho es entender lo que hay en la red
para que pueda defenderse.

2. 2 Control CIS: Inventario de Software Autorizado y no Autorizado

El propsito de este Control CIS es asegurar que solo software autorizado sea
permitido de ejecutarse en un sistema de la organizacin. Aunque un
inventario de software es importante, la lista blanca de aplicaciones es una
parte crucial de este proceso, ya que limita la capacidad de ejecutar
aplicaciones slo a aquellas que estn explcitamente aprobadas. Aunque
no es una bala de plata para la defensa, este control CIS a menudo se
considera uno de los ms eficaces en la prevencin y deteccin de
ciberataques.

Implementar el 2 Control CIS a menudo requiere que las organizaciones


reconsideren sus polticas y cultura, los usuarios ya no podrn instalar software
cuando y donde quieran. Pero este Control CIS, ya implementado con xito
por numerosas organizaciones, probablemente proporcionar beneficios
inmediatos a una organizacin que intenta prevenir y detectar
ciberataques.

3. 3 Control CIS: Configuraciones Seguras para Hardware y Software en


Dispositivos Mviles, Laptops, Estaciones de Trabajo y Servidores

Por defecto, la mayora de los sistemas estn configurados para la facilidad


de uso y no necesariamente para la seguridad. En orden de cumplir el 3
Control CIS, las organizaciones necesitan reconfigurar sus sistemas a un
estndar seguro.

Muchas organizaciones ya cuentan con la tecnologa necesaria para


configurar de forma segura los sistemas a escala, tales como Microsoft Active
Directory Group Policy Objects y Unix Puppet o Chef. Utilizando
configuraciones estndar tales como el CIS Benchmarks, muchas
organizaciones pueden satisfactoriamente implementar el Control CIS. Los
consensos basados en el CIS Benchmarks estn disponibles gratuitamente
para la mayora de los sistemas operativos, middleware y aplicaciones de
software y dispositivos de red.
4. 4 Control CIS: Evaluacin Continua de Vulnerabilidades y Remediacin

El objetivo de este Control CIS es entender y remover las debilidades tcnicas


que existen en los sistemas de informacin de una organizacin. Las
organizaciones exitosas implementan sistemas de administracin de parches
que cubren vulnerabilidades tanto de sistemas operativos como de
aplicaciones de terceros. Esto permite la instalacin automtica, continua y
proactiva de actualizaciones para solucionar vulnerabilidades de software.

En adicin a los sistemas de administracin de parches, las organizaciones


deben implementar un sistema comercial de gestin de vulnerabilidades
para darles a ellos mismos la habilidad de detectar y remediar debilidades
de software explotable.

5. 5 Control CIS: Uso Controlado de Privilegios Administrativos

Este Control CIS asegura que los miembros de la fuerza de trabajo slo tienen
los derechos, privilegios y permisos del sistema que necesitan para hacer su
trabajo, no ms y no menos de lo necesario. Desafortunadamente, por
razones de velocidad y conveniencia, muchas organizaciones permiten que
el personal tenga un sistema local o incluso derecho de administrador de
dominio que son demasiado generosos y abren la puerta para el abuso,
accidental o de otra manera.

La simple respuesta para el 5 Control CIS es eliminar derechos y permisos de


sistema innecesarios. Para las organizaciones ms grandes que luchan con
esta tarea a escala, los proveedores de gestin de privilegios pueden
proporcionar soluciones de punto final para ayudar a disminuir la carga
administrativa.

GUA PARA LA IMPLEMENTACIN DE CONTROLES

Tal vez el mejor consejo para implementar los controles CIS es crear un plan.
Algunas organizaciones puede establecer un programa Gobierno, Riesgo y
Cumplimiento (GRC). Otras tcticas exitosas incluyen la asignacin de
administradores de programas para coordinar las tareas relacionadas con los
administradores del servidor, especialistas en estaciones de trabajo, ingenieros
de redes, desarrolladores de software e incluso profesionales fuera de la
tecnologa de la informacin, como especialistas en recursos humanos,
formadores y oficiales de cumplimiento.

Muchas organizaciones han logrado el xito implementando los controles CIS


en un enfoque por etapas, abordando algunos de manera temprana y
aplicando otros ms tarde como parte de una estrategia a largo plazo
coordinada y aprobada por la alta direccin. Las organizaciones rara vez
implementan cada sub-control descritos en los controles CIS (Versiones 6.0, por
ejemplo, tiene 149 sub-controles).

La mayora de los sub-controles son fundamentales para una defensa


ciberntica eficaz, mientras que otros proporcionan asesoramiento sobre
tcnicas avanzadas (Versin 6.1 fue creada para agregar categoras para
controles fundamentales y avanzados).
Un enfoque de implementacin escalonado tambin ayuda a asegurar que las
organizaciones reciban los beneficios ms significativos implementando los
controles de prioridad ms alta primero. De hecho, la implementacin del
inventario de activos (Controles CIS 1 y 2) y configuraciones estndar (Control
CIS 3) a menudo resulta en ahorros de costos, ya que se requieren menos
recursos para administrar el entorno ciberntico de la organizacin. Hay algunas
consideraciones prcticas para hacer cuando se embarcan en este viaje.

Manteniendo estas sugerencias en mente y construyndolas dentro del plan


de programas ayudar a asegurar su xito

Especficamente, una organizacin debe:

Tomar una decisin formal, consciente y de alto nivel para que los
controles CIS formen parte del estndar de la organizacin para la
seguridad ciberntica. La alta direccin y la Junta de Directores deben
estar a bordo para apoyo y rendicin de cuentas.
Asignar un administrador de programas, quien estar facultado y ser el
responsable de la implementacin de los controles CIS.
Decidir quin ser el responsable de la sostenibilidad a largo plazo del
mantenimiento de las ciberdefensas.
Comience con un anlisis de carencias, evaluacin o auditora del
estado de la organizacin actual en contra de los controles CIS y elabore
un plan de implementacin programado con prioridad en los Primeros 5
Controles CIS.
Documentar el plan a largo plazo (3-5 aos) para implementar
ciberdefensas que ya no sean parte de las estrategias defensivas de la
entidad.
Encajar las definiciones u objetivos de los controles CIS en las polticas de
seguridad de la organizacin para racionalizar su implementacin.
Asegurar que los auditores internos y externos usen los controles CIS como
parte de su punto de referencia (benchmark), para evaluar la postura
de seguridad de la organizacin.
Educar a los miembros de la fuerza de trabajo acerca de los objetivos de
seguridad de la organizacin y enlistar su ayuda como parte de la
defensa a largo plazo de los datos de la organizacin.

Aunque puede haber otros pasos que ayuden a mejorar las posibilidades de
xito de una organizacin, estas consideraciones son un buen punto de inicio
para estructurar un programa para implementar los controles CIS

ASEGURANDO EL XITO

Con trabajo duro y dedicacin, un efectiva ciberdefensa es realizable. Como


sabemos, rara vez dignas recompensas y elogios vienen fcilmente. Las
organizaciones deben asumir que implementando y luego manteniendo estas
defensas tcnicas ser un programa en curso, no un proyecto a corto plazo con
una fecha lmite definida. Como con cualquier programa, los recursos
apropiados tales como tiempo, presupuestos y personas deben dedicarse al
esfuerzo para asegurar su xito.