El Center for Internet Security ( CIS ) es una organización sin fines de lucro 501 (c) (3) , [2] [3] formada en octubre de 2000. [1] Su misión es "identificar, desarrollar, validar, promover y mantener soluciones de mejores prácticas para la defensa cibernética y construir y liderar comunidades para permitir un entorno de confianza en el ciberespacio ". [8] La organización tiene su sede en East Greenbush , Nueva York, con miembros que incluyen grandes corporaciones, agencias gubernamentales e instituciones académicas. [1]
Fundado | Octubre de 2000 [1] |
---|---|
Tipo | 501 (c) (3) organización sin fines de lucro [2] |
Estatus legal | Activo |
Localización | |
Coordenadas | 42 ° 36′44 ″ N 73 ° 41′58 ″ O |
Presidente y CEO interino | John C. Gilligan [4] [5] |
Gente clave | Steven J. Spano, presidente y director de operaciones; Curtis W. Dukes, vicepresidente ejecutivo; Consejo de Administración , [6] Comité Ejecutivo [7] |
Afiliaciones | ISACA , AICPA , IIA , ISC2 , Instituto SANS [1] |
Sitio web | www.cisecurity.org |
CIS emplea un modelo de crowdsourcing cerrado para identificar y perfeccionar las medidas de seguridad efectivas, con individuos que desarrollan recomendaciones que se comparten con la comunidad para su evaluación a través de un proceso de toma de decisiones por consenso . A nivel nacional e internacional, CIS juega un papel importante en la formulación de políticas y decisiones de seguridad al mantener los controles CIS y los puntos de referencia de CIS, y albergar el Centro de análisis e intercambio de información multiestatal (MS-ISAC). [9]
Áreas de programa
CIS tiene varias áreas de programas, que incluyen MS-ISAC, CIS Controls, CIS Benchmarks, CIS Communities y CIS CyberMarket. A través de estas áreas del programa, CIS trabaja con una amplia gama de entidades, incluidas las del mundo académico , el gobierno y tanto el sector privado como el público en general, para aumentar su seguridad en línea proporcionándoles productos y servicios que mejoran la eficiencia y eficacia de la seguridad. [10] [11]
Centro de análisis e intercambio de información de varios estados (MS-ISAC)
El Centro de análisis e intercambio de información multiestatal (MS-ISAC) es un "centro de mitigación y monitoreo de amenazas cibernéticas las 24 horas del día para gobiernos estatales y locales" operado por CIS como una asociación con la Oficina de Ciberseguridad y Comunicaciones en los Estados Unidos. Departamento de Seguridad Nacional de los Estados (DHS). [2] MS-ISAC fue establecido a finales de 2002 y lanzado oficialmente en enero de 2003 por William F. Pelgrin, entonces Director de Seguridad del estado de Nueva York. [12] A partir de un pequeño grupo de estados participantes en el noreste, MS-ISAC llegó a incluir los 50 estados de EE. UU. Y el Distrito de Columbia , así como los gobiernos territoriales, tribales y locales de EE. UU. Para facilitar su alcance en expansión, a finales de 2010, MS-ISAC "pasó a ser una entidad sin fines de lucro bajo los auspicios del Centro para la seguridad de Internet". La transición fue facilitada por el hecho de que CIS tenía "una reputación establecida de proporcionar recursos de ciberseguridad a los sectores público y privado". [12] [13]
MS-ISAC "ayuda a las agencias gubernamentales a combatir las amenazas cibernéticas y trabaja en estrecha colaboración con las fuerzas del orden federal", [14] [15] y el DHS lo designa como un recurso clave de seguridad cibernética para los gobiernos estatales, locales, territoriales y tribales (SLTT) de la nación. . El centro de operaciones de seguridad cibernética MS-ISAC 24x7 realiza el monitoreo de la red , emite advertencias y advertencias tempranas de amenazas cibernéticas y realiza la identificación y mitigación de vulnerabilidades, así como la respuesta a incidentes. [dieciséis]
Los principales objetivos de MS-ISAC se describen a continuación: [17]
- Proporcionar intercambio bidireccional de información y advertencias tempranas sobre amenazas a la seguridad cibernética.
- proporcionar un proceso para recopilar y difundir información sobre incidentes de seguridad cibernética
- promover la conciencia de las interdependencias entre la infraestructura crítica cibernética y física, así como entre los diferentes sectores
- coordinar la formación y la sensibilización
- Asegurarse de que todas las partes necesarias sean socios con derechos adquiridos en este esfuerzo.
Centro de análisis e intercambio de información sobre infraestructura electoral (EI-ISAC)
El Centro de Análisis e Intercambio de Información de Infraestructura Electoral (EI-ISAC), establecido por el Consejo Coordinador Gubernamental del Subsector de Infraestructura Electoral (GCC), es un recurso crítico para la prevención, protección, respuesta y recuperación de amenazas cibernéticas para los estados de la nación, locales y territoriales. y oficinas electorales tribales (SLTT). El EI-ISAC es operado por el Center for Internet Security, Inc.
La misión del EI-ISAC es mejorar la postura general de ciberseguridad de las oficinas electorales del SLTT, a través de la colaboración y el intercambio de información entre los miembros, el Departamento de Seguridad Nacional de EE. UU. (DHS) y otros socios federales, y los socios del sector privado son la clave del éxito. . El EI-ISAC proporciona un recurso central para recopilar información sobre amenazas cibernéticas a la infraestructura electoral y el intercambio bidireccional de información entre los sectores público y privado con el fin de identificar, proteger, detectar, responder y recuperarse de ataques en elecciones públicas y privadas. infraestructura. Y el EI-ISAC está compuesto por representantes de las oficinas electorales del SLTT y contratistas que apoyan la infraestructura electoral del SLTT. [18]
Controles CIS y puntos de referencia CIS
CIS Controls y CIS Benchmarks proporcionan estándares globales para la seguridad de Internet, y son un estándar global reconocido y las mejores prácticas para proteger los sistemas de TI y los datos contra ataques. [3] CIS mantiene " The CIS Controls ", un popular conjunto de 20 controles de seguridad "que se corresponden con muchos estándares de cumplimiento", y son aplicables al Internet de las cosas . [19] A través de un proceso de consenso independiente, CIS Benchmarks proporciona marcos para ayudar a las organizaciones a reforzar su seguridad. CIS ofrece una variedad de recursos gratuitos, [20] que incluyen "puntos de referencia de configuración segura, herramientas y contenido de evaluación de configuración automatizada, métricas de seguridad y certificaciones de productos de software de seguridad". [11]
Los controles CIS abogan por "un modelo de defensa en profundidad para ayudar a prevenir y detectar malware". [21] Un estudio de mayo de 2017 mostró que "en promedio, las organizaciones fallan el 55% de los controles de cumplimiento establecidos por el Centro de Seguridad de Internet", y más de la mitad de estas violaciones son problemas de alta gravedad. [22] En marzo de 2015, CIS lanzó CIS Hardened Images para Amazon Web Services , en respuesta a "una creciente preocupación en torno a la seguridad de los datos de la información alojada en servidores virtuales en la nube". [23] Los recursos se pusieron a disposición como imágenes de máquinas de Amazon , para seis "sistemas reforzados con puntos de referencia CIS", incluidos Microsoft Windows , Linux y Ubuntu , con imágenes adicionales y proveedores de nube agregados más tarde. [23] CIS publicó Guías complementarias para controles CIS, recomendaciones para acciones para contrarrestar ataques de ciberseguridad, y se publicaron nuevas guías en octubre y diciembre de 2015. [24] En abril de 2018, CIS lanzó un método de evaluación de riesgos de seguridad de la información para implementar CIS Controles, denominados CIS RAM, que se basan en el estándar de evaluación de riesgos del Consejo de DoCRA. [25]
Los puntos de referencia de CIS son una colaboración de Consensus Community y los miembros de CIS SecureSuite (una clase de miembros de CIS con acceso a conjuntos adicionales de herramientas y recursos). [26] La Comunidad de Consenso está formada por expertos en el campo de la seguridad de TI que utilizan sus conocimientos y experiencia para ayudar a la comunidad global de Internet. Los miembros de CIS SecureSuite están formados por varios tipos diferentes de empresas de diferentes tamaños, incluidas agencias gubernamentales, colegios y universidades, organizaciones sin fines de lucro, auditores y consultores de TI, proveedores de software de seguridad y otras organizaciones. Los puntos de referencia de CIS y otras herramientas que CIS proporciona sin costo permiten a los trabajadores de TI crear informes que comparan la seguridad de su sistema con el estándar de consenso universal. Esto fomenta una nueva estructura para la seguridad de Internet de la que todos son responsables y que comparten los principales ejecutivos, profesionales de la tecnología y otros usuarios de Internet en todo el mundo. Además, CIS proporciona herramientas de seguridad de Internet con una función de puntuación que califica la seguridad de la configuración del sistema en cuestión. Por ejemplo, CIS proporciona a los miembros de SecureSuite acceso a CIS-CAT Pro, una "aplicación Java multiplataforma" que escanea los sistemas de destino y "produce un informe que compara su configuración con los puntos de referencia publicados". [10] Esto tiene como objetivo alentar y motivar a los usuarios a mejorar las puntuaciones otorgadas por el software, lo que refuerza la seguridad de su Internet y sus sistemas. El estándar de consenso universal que emplea CIS se basa en y utiliza el conocimiento acumulado de expertos en tecnología. Dado que los profesionales de la seguridad de Internet se ofrecen voluntariamente para contribuir a este consenso, esto reduce los costos para CIS y lo hace rentable. [27]
CIS CyberMarket
CIS CyberMarket es un "programa de compras colaborativas que sirve a organizaciones gubernamentales estatales, locales, tribales y territoriales (SLTT), entidades sin fines de lucro e instituciones de educación y salud pública de EE. UU. Para mejorar la ciberseguridad a través de adquisiciones grupales rentables". [28] La intención del CIS CyberMarket es combinar el poder adquisitivo de los sectores gubernamentales y sin fines de lucro para ayudar a los participantes a mejorar su condición de ciberseguridad a un costo menor del que hubieran podido lograr por sí mismos. El programa ayuda con la tarea "que requiere mucho tiempo, es costosa, compleja y abrumadora" de mantener la seguridad cibernética al trabajar con los sectores público y privado para brindar a sus socios herramientas y servicios rentables. Las oportunidades de compra combinadas son revisadas por expertos en el dominio. [17]
Hay tres objetivos principales del CIS CyberMarket:
- aportar un entorno de confianza para mejorar el estado de la ciberseguridad de las entidades mencionadas anteriormente
- reducir el costo de las necesidades de ciberseguridad
- trabajar con empresas para ofrecer servicios y productos de seguridad a sus socios [17]
CIS CyberMarket, como MS-ISAC, sirve a entidades gubernamentales y organizaciones sin fines de lucro para lograr una mayor seguridad cibernética. En su página de "recursos", hay varios boletines y documentos disponibles de forma gratuita, incluido el "Manual de ciberseguridad para ciudades y condados". [dieciséis]
Comunidades CIS
Las comunidades CIS son "una comunidad global voluntaria de profesionales de TI" [3] que "refinan y verifican continuamente" las mejores prácticas y herramientas de ciberseguridad de CIS. [29] Para desarrollar y estructurar sus puntos de referencia, CIS utiliza una estrategia en la que los miembros de la organización primero se forman en equipos. Luego, estos equipos recopilan sugerencias, consejos, trabajo oficial y recomendaciones de algunas organizaciones participantes. Luego, los equipos analizan sus datos e información para determinar cuáles son los ajustes de configuración más importantes que mejorarían al máximo la seguridad del sistema de Internet en tantos entornos de trabajo como sea posible. Cada miembro de un equipo trabaja constantemente con sus compañeros de equipo y analiza y critica críticamente un borrador hasta que se forma un consenso entre el equipo. Antes de que el índice de referencia se publique al público en general, están disponibles para su descarga y prueba en la comunidad. Después de revisar todos los comentarios de las pruebas y realizar los ajustes o cambios necesarios, el punto de referencia final y otras herramientas de seguridad relevantes se ponen a disposición del público para su descarga a través del sitio web de CIS. Este proceso es tan extenso y se ejecuta con tanto cuidado que miles de profesionales de la seguridad de todo el mundo participan en él. Según ISACA, "durante el desarrollo del CIS Benchmark para Sun Microsystems Solaris , más de 2.500 usuarios descargaron el benchmark y las herramientas de monitoreo". [30]
Organizaciones participantes
Las organizaciones que participaron en la fundación de CIS en octubre de 2000 incluyen ISACA , el Instituto Americano de Contadores Públicos Certificados (AICPA), el Instituto de Auditores Internos (IIA), el Consorcio Internacional de Certificación de Seguridad de Sistemas de Información (ISC2) y el Instituto SANS. (Administración de sistemas, redes y seguridad). Desde entonces, CIS ha crecido hasta tener cientos de miembros con diversos grados de membresía, y coopera y trabaja con una variedad de organizaciones y miembros tanto a nivel nacional como internacional. Algunas de estas organizaciones incluyen las del sector público y privado, el gobierno, las ISAC y las fuerzas del orden. [1]
Referencias
- ^ a b c d e Kreitner, Clint; Miuccio, Bert. "El centro de seguridad de Internet: parámetros de seguridad global para equipos conectados a Internet" . Asociación de Auditoría y Control de Sistemas de Información (ISACA). Archivado desde el original el 12 de marzo de 2014 . Consultado el 25 de julio de 2017 .
- ^ a b c d Rulison, Larry (9 de noviembre de 2016). "El grupo de E. Greenbush supervisó la elección de los piratas informáticos" . Unión de tiempos de Albany .
- ^ a b c d Buonanno, Nicholas (22 de mayo de 2017). "Estudiantes de secundaria participan en prácticas de ciberseguridad" . El registro .
- ^ Ackerman, Robert K .; Pendleton, Breann (28 de junio de 2017). "Más que sus ciberamenazas habituales" . Señal.
- ^ "John M. Gilligan" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ "Junta Directiva del Centro de Seguridad en Internet" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ "Comité Ejecutivo del Centro de Seguridad en Internet" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ a b "Sobre nosotros" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ Nazli Choucri, Stuart Madnick y Priscilla Koepke, Institutions for Cyber Security: International Responses and Data Sharing Initiatives , Documento de trabajo CISL # 2016-10 (agosto de 2016) Laboratorio de sistemas interdisciplinarios de ciberseguridad (CISL), Sloan School of Management, Massachusetts Institute of Tecnología.
- ^ a b "Política y seguridad de la información: sobre el Centro para la seguridad de Internet" . Universidad de California, Berkeley . Consultado el 25 de julio de 2017 .
- ^ a b "Herramientas de referencia de seguridad CIS" . Universidad George Mason . Consultado el 25 de julio de 2017 .
- ^ a b Lohrmann, Dan (30 de mayo de 2015). "Entrevista con el fundador jubilado de MS-ISAC Will Pelgrin y la directora ejecutiva entrante de CIS, Jane Lute" . Tecnología gubernamental .
- ^ "Centro de análisis e intercambio de información de varios estados" . Centro de seguridad en Internet . Consultado el 21 de marzo de 2014 .
- ^ Nakashima, Ellen (29 de agosto de 2016). "Los piratas informáticos rusos atacaron el sistema electoral de Arizona" . The Washington Post .
- ^ Robert M. Clark y Simon Hakim, Protección de la infraestructura crítica a nivel estatal, provincial y local: problemas de seguridad ciberfísica , seguridad ciberfísica (11 de agosto de 2016), p. 11.
- ^ a b "Bienvenidos al MS-ISAC" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ a b c "Centro de seguridad en Internet" . Centro de seguridad en Internet . Consultado el 25 de julio de 2017 .
- ^ "Carta EI-ISAC®" .
- ^ Russell, Brian; Van Duren, Drew (2016). Seguridad práctica en Internet de las cosas . pag. 83. ISBN 978-1785880292.
- ^ Westby, Jody R. (2004). Guía internacional de seguridad cibernética . pag. 213. ISBN 1590313321.
- ^ Shelton, Debbie (diciembre de 2016). "Un par ganador: la gobernanza y los controles automatizados deben trabajar en conjunto para lograr los máximos resultados" . Auditor interno.
- ^ Seals, Tara (26 de mayo de 2017). "Los entornos en la nube sufren una falta generalizada de las mejores prácticas de seguridad" . Revista Infosecurity.
- ^ a b Seals, Tara (25 de marzo de 2015). "Centro de objetivos de seguridad de Internet en AWS" . Revista Infosecurity.
- ^ Seals, Tara (23 de diciembre de 2015). "Center for Internet Security Releases Companion Guides" . Revista Infosecurity.
- ^ "Preguntas frecuentes sobre RAM CIS" . Sitio web de CIS® (Center for Internet Security, Inc.) .
- ^ "Membresía CIS SecureSuite" . Consultado el 25 de julio de 2016 .
- ^ "El centro de seguridad de Internet asume un papel de liderazgo en los esfuerzos de la industria para mejorar la automatización de la seguridad" . Business Wire . 12 de septiembre de 2013.
- ^ "CIS CyberMarket" . Consultado el 25 de julio de 2017 .
- ^ "Comunidades CIS" . Consultado el 29 de julio de 2017 .
- ^ "ISACA: al servicio de los profesionales de gobierno de TI" . Archivado desde el original el 2 de marzo de 2013 . Consultado el 7 de marzo de 2014 .
enlaces externos
- Página web oficial