¿Qué son y cómo implementar los Controles de CIS (CIS Controls / CIS ciberseguridad)?
Desarrollados por el Center for Internet Security®, los Controles de Seguridad Crítica de CIS son un conjunto prescriptivo y prioritario de mejores prácticas en seguridad cibernética y acciones defensivas que pueden ayudar a prevenir los ataques más peligrosos y de mayor alcance, y apoyar el cumplimiento en una era de múltiples marcos.
Estas mejores prácticas procesables para la defensa cibernética son formuladas por un grupo de expertos en tecnología de la información utilizando la información obtenida de ataques reales y sus defensas efectivas. Los controles de CIS proporcionan una orientación específica y una vía clara para que las organizaciones alcancen las metas y los objetivos descritos por múltiples marcos jurídicos, reglamentarios y normativos.
La implementación de los Controles de Seguridad Críticos de CIS en su organización puede ayudarle eficazmente a:
Desarrolle una estructura fundamental para su programa de seguridad de la información y un marco para toda su estrategia de seguridad.
Siga un enfoque probado de gestión de riesgos para la ciberseguridad basado en la eficacia del mundo real.
Concéntrese en el conjunto de medidas técnicas más eficaces y específicas disponibles para mejorar la postura de defensa de su organización.
Cumpla fácilmente con otros marcos y regulaciones, incluido el marco de ciberseguridad NIST, NIST 800-53, NIST 800-171, serie ISO 27000, PCI DSS, HIPAA, NERC CIP y FISMA.
Los Controles de Seguridad Críticos de CIS comprenden un conjunto de 20 recomendaciones de defensa informática en torno a la seguridad de las organizaciones, divididas en tres categorías distintas: básicas, fundamentales y organizacionales. Cada uno de estos 20 controles de CIS se divide a su vez en sub-controles.
En un esfuerzo por ayudar a las empresas de todos los tamaños, los IG se dividen en tres grupos. Se basan en el perfil de riesgo de una empresa y los recursos disponibles para la organización para implementar los Controles CIS.
Cada IG identifica un conjunto de salvaguardas (anteriormente denominadas subcontroles CIS) que la empresa debe implementar para mitigar los ataques cibernéticos más frecuentes contra sistemas y redes. Hay un total de 153 medidas de seguridad en la versión 8 de CIS Controls. Toda empresa debe comenzar con IG1. IG2 se basa en IG1, y IG3 se compone de todos los controles y salvaguardas.
Los controles CIS no son una solución única para todos; en función de la madurez de la ciberseguridad de su organización, puede planificar y priorizar la implementación de varios Controles.
El conjunto de soluciones de administración de TI de ManageEngine puede ayudarlo a cumplir con los requisitos discretos de control de CIS y, a su vez, ayudar a su organización a planificar y desarrollar cuidadosamente el mejor programa de seguridad de su clase para lograr una mejor ciberhigiene.
Supervise activamente y gestione todos los dispositivos de hardware conectados a su red. Mantenga un inventario actualizado de todos sus activos tecnológicos y disponga de un sistema de autenticación para garantizar que los dispositivos no autorizados no tengan acceso a su red.
Analice los equipos de la red para obtener datos de inventario con fines de autenticación.
Supervise y gestione los dispositivos no autorizados que entran en su red.
Disponga de un sistema de inventario de software para supervisar y gestionar activamente todo el software que se esté ejecutando en su red. Utilice la lista blanca de aplicaciones para garantizar que sólo se instale y ejecute software autorizado y que se bloquee el software no autorizado.
Analice su sistema para supervisar y gestionar el software instalado.
Analice continuamente sus activos para identificar posibles vulnerabilidades y remediarlas antes de que se conviertan en un problema. Fortalezca la seguridad de su red garantizando que el software y los sistemas operativos utilizados en su organización ejecuten las actualizaciones de seguridad más recientes.
Identifique y evalúe las vulnerabilidades de su sistema para remediarlas con la ayuda de parches.
Dashboard de gestión de vulnerabilidades y parches
Monitoree los controles de acceso y el comportamiento de los usuarios de las cuentas privilegiadas para evitar el acceso no autorizado a los sistemas críticos. Garantice que sólo las personas autorizadas tengan privilegios elevados para evitar el uso indebido de los privilegios administrativos.
Reciba informes sobre los usuarios administrativos de su dominio.
Establezca contraseñas únicas para sus cuentas administrativas.
Reciba informes sobre sus cuentas e inicios de sesión de AD, y también reciba una alerta cuando hay un cambio de permiso para las cuentas privilegiadas.
Informe de cambio de permiso de ADAudit Plus
Establezca y mantenga configuraciones de seguridad basadas en los estándares de configuración aprobados por la organización. Defina un riguroso sistema de gestión de configuraciones que monitoree y alerte sobre las configuraciones erróneas e implemente un proceso de control de cambios para impedir que los atacantes se aprovechen de los servicios y configuraciones vulnerables.
Implementa las configuraciones de seguridad automáticamente con la ayuda de plantillas integradas y reciba alertas de cambios no autorizados.
Recopile, gestione y analice los logs de auditoría de los eventos para detectar anomalías. Mantenga registros de log para comprender los detalles de los ataques a fin de responder a los incidentes de seguridad de manera eficaz.
Analice los logs de diferentes fuentes para detectar anomalías, recibir información procesable y generar informes con información detallada sobre los eventos para su futura referencia.
Informe de Log360 sobre las tendencias de las anomalías
Configura un único servidor para todos los sistemas de su red para sincronizar las fuentes de tiempo y garantizar que las marcas de tiempo en los logs sean consistentes.
Proteja y gestione los navegadores web y los sistemas de correo electrónico contra las amenazas basadas en la web para minimizar su superficie de ataque. Deshabilite los navegadores no autorizados y los plug-ins de los clientes de correo electrónico, y garantice que los usuarios puedan acceder sólo a sitios web de confianza manteniendo filtros de URL basados en la red.
Agregue sitios web en la lista blanca, gestione las extensiones y los plug-ins, y actualice automáticamente las últimas versiones de los navegadores.
Dashboard que proporciona información sobre extensiones y plug-ins potencialmente dañinos
Registre las direcciones URL a las que acceden los usuarios para identificar posibles actividades maliciosas.
Controle la instalación y ejecución de código malicioso en varios puntos de su empresa para prevenir los ataques. Configure e implemente software antimalware y optimice el uso de la automatización para permitir una rápida actualización de las defensas y una rápida acción correctiva cuando se producen los ataques.
Deduzca si los sistemas de su red están habilitados con funciones anti-explotación, envíe actualizaciones de antivirus, y bloquee los dispositivos externos maliciosos.
Realice análisis antimalware automáticamente en busca de dispositivos extraíbles que se conecten a su red.
Audite los dispositivos extraíbles conectados a su sistema y detecte los eventos de malware para elevar las alertas analizando los logs de los sistemas antimalware.
Supervise y controle la actividad en los puertos, protocolos y servicios de los dispositivos de la red para reducir el alcance de los ataques mediante las vulnerabilidades del servicio. Aproveche los firewalls de los host para garantizar que sólo se permita el acceso al tráfico apropiado.
Asocie la información sobre los puertos y aplicaciones activos en su sistema al inventario de activos, y gestione los puertos y configure las reglas del firewall para garantizar que sólo los servicios validados se ejecuten en los sistemas.
Establezca procesos y herramientas para garantizar que la información crítica de su organización esté debidamente respaldada, y disponga de un sistema de recuperación de datos fiable para la restauración de los datos a fin de superar los ataques que ponen en peligro los datos críticos.
Restaure y cree una copia de seguridad completa de los sistemas clave de su organización, y disponga de una copia de seguridad automática configurada para AD, Office 365 y Exchange on-premises.
Dashboard en RecoveryManager Plus para supervisar las copias de seguridad
Respalde automáticamente sus configuraciones de red críticas.
Establezca, implemente y gestione la configuración de seguridad de los dispositivos de red para evitar que los atacantes se aprovechen de las configuraciones predeterminadas vulnerables. Disponga de un proceso estricto de gestión y control de configuraciones para garantizar que éstas no se encuentren en un estado explotable.
Mantenga las configuraciones de seguridad estándar con la ayuda de líneas de base, e instale las últimas actualizaciones relacionadas con la seguridad.
Detecte, prevenga y controle el flujo de información a través de los perímetros de su red para evitar que los atacantes obtengan acceso pasando por alto los sistemas perimetrales. Configure el monitoreo perimetral, deniegue el acceso no autorizado e implemente sistemas de detección de intrusos para reforzar la protección perimetral.
Mantenga un inventario de los dispositivos perimetrales de la red y reciba alertas cuando se detectan conexiones no autorizadas a través de los perímetros.
Monitoree y registre los paquetes de red que pasan a través de los perímetros de la red.
Detecte el tráfico malicioso a través de los perímetros de la red y utilice los datos para generar registros para su análisis.
Dashboard de EventLog Analyzer, el cual da un resumen general de la red y las tendencias de tráfico
Utilice la autenticación multifactor para todos los inicios de sesión remotos.
Analice los dispositivos de la empresa que se conectan remotamente a su red y garantice que sus políticas de seguridad estén bien establecidas.
Identifique y segregue los datos sensibles e implemente una combinación de procesos, incluidos la codificación, los planes de protección contra la infiltración de datos y las técnicas de prevención de pérdida de datos, para garantizar la privacidad e integridad de los datos sensibles.
Audite los cambios realizados en la información sensible almacenada en sus servidores.
Gestione los dispositivos extraíbles que se conectan a su sistema.
Proteja los datos de la empresa almacenados en los dispositivos móviles con la ayuda de la contenedorización.
Supervise, controle y proteja el acceso a los activos críticos, como la información, los recursos y los sistemas. Permita el acceso a información crítica sobre la base de la necesidad de saberla y establezca un registro detallado de los servidores a fin de supervisar el acceso e investigar los incidentes en los que se haya accedido indebidamente a los datos.
Permita que sólo las personas autorizadas accedan a la información almacenada en los archivos y carpetas de su sistema.
Proporcione acceso a los usuarios en función de su necesidad de acceder a la información como parte de su responsabilidad laboral.
Aplique un registro detallado para recopilar información sobre los cambios de datos sensibles de AD.
Supervise, controle y proteja sus redes de área local inalámbricas (WLAN), puntos de acceso y sistemas de clientes inalámbricos para evitar que los atacantes manipulen sus defensas perimetrales. Implemente un sistema de detección de intrusos inalámbricos y lleve a cabo un análisis de vulnerabilidades en los equipos de clientes inalámbricos para detectar vulnerabilidades explotables.
Configure el análisis de vulnerabilidades para identificar los sistemas, puntos de acceso y dispositivos recién añadidos.
OpUtils analiza periódicamente la red para detectar sistemas o dispositivos no autorizados.
Analice su red para obtener un inventario de los puntos de acceso, y permita sólo el acceso a los dispositivos periféricos inalámbricos y redes inalámbricas autorizadas en sus dispositivos clientes.
Gestione activamente todo el ciclo de vida de sus sistemas y cuentas de aplicaciones, desde su creación, uso e inactividad hasta su eliminación, para evitar que los atacantes exploten las cuentas de usuarios legítimos pero inactivos.
Establezca una consola central para mantener un inventario de los sistemas de autenticación, configure la autenticación de las cuentas y desactive o revoque fácilmente el acceso a las cuentas inactivas o no asociadas.
Garantice que todas las cuentas tengan una fecha de caducidad, y desactive las cuentas inactivas que hayan superado la fecha de caducidad con la ayuda de flujos de trabajo automatizados.
Monitoree los intentos de acceso a cuentas desactivadas y genere alertas sobre la desviación del comportamiento de inicio de sesión a la cuenta con la ayuda del análisis del comportamiento de usuarios y entidades (UEBA).
Configure los ajustes para bloquear las estaciones de trabajo después de un período de inactividad determinado.
Implemente un plan integrado para identificar, desarrollar e instruir a los empleados sobre las habilidades y destrezas específicas que deben poseer para apoyar la defensa de la empresa de acuerdo con su rol funcional en la organización.
Ponga a prueba regularmente todo su software desarrollado internamente y adquirido para detectar vulnerabilidades. Disponga de un programa eficaz para abordar la seguridad a lo largo de todo el ciclo de vida del software interno, incluidos el establecimiento de los requisitos, la capacitación, las herramientas y las pruebas, y disponga de criterios estrictos de evaluación de la seguridad al adquirir software de terceros.
Desarrolle e implemente un sistema de gestión de incidentes definido en su organización para descubrir rápidamente los ataques, contener eficazmente los daños, erradicar la presencia del atacante y restablecer las operaciones con rapidez.
Ponga a prueba periódicamente sus defensas para identificar las brechas y evaluar la preparación de su organización frente a los ataques mediante la realización de pruebas de penetración. Simule los objetivos y acciones de un atacante con la ayuda de equipos rojos para inspeccionar su actual postura de seguridad y así obtener valiosos conocimientos sobre la eficacia de sus defensas.
Descargue esta guía para ver más de cerca cómo los productos de ManageEngine le ayudarán a implementar los controles de CIS en su organización.
Descargo de responsabilidad: La completa implementación de los Controles de CIS® (desarrollados por el Centro de Seguridad de Internet) requiere una variedad de soluciones, procesos, personas y tecnologías. Las soluciones mencionadas anteriormente son algunas de las formas en que las herramientas de gestión de la tecnología de la información pueden ayudar a cumplir los requisitos de control de CIS. Junto con otras soluciones, procesos y personas apropiadas, las soluciones de ManageEngine ayudan a implementar los controles de CIS. Este material se proporciona únicamente con fines informativos y no debe considerarse como asesoramiento jurídico para la aplicación de los controles de CIS. ManageEngine no ofrece ninguna garantía, expresa, implícita o estatutaria, en cuanto a la información de este material.
