El Center for Internet Security Critical Security Controls for Effective Cyber Defense es una publicación de pautas de mejores prácticas para la seguridad informática . El proyecto se inició a principios de 2008 en respuesta a las pérdidas extremas de datos experimentadas por las organizaciones en la base industrial de defensa de EE. UU. [1] La publicación fue desarrollada inicialmente por el Instituto SANS . Luego, la propiedad se transfirió al Council on Cyber Security (CCS) en 2013, y luego al Center for Internet Security (CIS) en 2015. Originalmente se conocía como Consensus Audit Guidelines y también se conoce como CIS CSC, CIS 20, CCS CSC, SANS Top 20 o CAG 20.
Metas
Las pautas constan de 20 acciones clave, denominadas controles de seguridad críticos (CSC), que las organizaciones deben implementar para bloquear o mitigar los ataques conocidos. Los controles están diseñados de manera que se puedan utilizar medios principalmente automatizados para implementarlos, hacerlos cumplir y monitorear. [2] Los controles de seguridad brindan recomendaciones prácticas y sensatas para la seguridad cibernética, escritas en un lenguaje que el personal de TI entienda fácilmente . [3] Los objetivos de las Directrices de auditoría de consenso incluyen
- Aprovechar el ciberdelito para informar la ciberdefensa, centrándose en áreas de alta rentabilidad
- Garantizar que las inversiones en seguridad se centren en contrarrestar las mayores amenazas
- Maximizar el uso de la automatización para hacer cumplir los controles de seguridad, negando así los errores humanos.
- Uso del proceso de consenso para recopilar las mejores ideas [4]
Control S
La versión 8 se lanzó el 18 de mayo de 2021 https://www.cisecurity.org/media-mention/center-for-internet-security-updates-cis-controls-with-focus-on-cloud-mobile-and-remote- trabaja/
Los Grupos de Implementación (GI) son la guía recomendada para priorizar la implementación de los Controles CIS.
CIS Controls v8 define el Grupo de implementación 1 (IG1) como higiene cibernética básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas.
IG1 es la vía de acceso a los controles CIS y consta de un conjunto fundamental de 56 salvaguardias de defensa cibernética. Las Salvaguardas incluidas en IG1 son las que toda empresa debe aplicar para defenderse de los ataques más comunes. https://www.cisecurity.org/controls/cis-controls-list/
El IG2 comprende 74 Salvaguardas adicionales y se basa en las 56 Salvaguardas identificadas en el IG1.
Las 74 salvaguardas seleccionadas para IG2 pueden ayudar a los equipos de seguridad a hacer frente a una mayor complejidad operativa. Algunas salvaguardas dependerán de la tecnología de nivel empresarial y la experiencia especializada para instalarlas y configurarlas correctamente.
Una empresa IG2 emplea a personas que son responsables de administrar y proteger la infraestructura de TI. Por lo general, estas empresas apoyan a varios departamentos con diferentes perfiles de riesgo según la función y la misión del trabajo. Las unidades de pequeñas empresas pueden tener cargas de cumplimiento normativo. Las empresas IG2 a menudo almacenan y procesan información confidencial de clientes o empresas y pueden soportar breves interrupciones del servicio. Una de las principales preocupaciones es la pérdida de confianza del público si se produce una infracción.
Los Grupos de Implementación (GI) son la guía recomendada para priorizar la implementación de los Controles CIS.
IG3 comprende 23 salvaguardias adicionales. Se basa en las Salvaguardas identificadas en IG1 (56) e IG2 (74) que totalizan las 153 Salvaguardas en CIS Controls v8.
Una empresa IG3 comúnmente emplea expertos en seguridad que se especializan en las diferentes facetas de la ciberseguridad (por ejemplo, gestión de riesgos, pruebas de penetración, seguridad de aplicaciones). Los activos y datos de IG3 contienen información o funciones sensibles que están sujetas a supervisión regulatoria y de cumplimiento. Una empresa IG3 debe abordar la disponibilidad de servicios y la confidencialidad e integridad de los datos sensibles. Los ataques exitosos pueden causar un daño significativo al bienestar público.
Las salvaguardas seleccionadas para IG3 deben abatir los ataques dirigidos de un adversario sofisticado y reducir el impacto de los ataques de día cero.
A continuación se muestra una lista de los controles CIS en v8
Control CIS 1: Inventario y control de activos empresariales
Control CIS 2: Inventario y control de activos de software
Control CIS 3: Protección de datos
CIS Control 4: Configuración segura de activos y software empresariales
Control CIS 5: Gestión de cuentas
CIS Control 6: Gestión del control de acceso
CIS Control 7: Gestión continua de vulnerabilidades
Control CIS 8: Gestión de registros de auditoría
CIS Control 9: Navegador web de correo electrónico y protecciones
CIS Control 10: Defensas contra malware
CIS Control 11: Recuperación de datos
Control CIS 12: Gestión de la infraestructura de red
CIS Control 13: Vigilancia y defensa de la red
CIS Control 14: Concienciación sobre seguridad y capacitación en habilidades
CIS Control 15: Gestión de proveedores de servicios
CIS Control 16: Seguridad del software de aplicación
Control CIS 17: Gestión de respuesta a incidentes
CIS Control 18: Prueba de penetración https://www.cisecurity.org/controls/cis-controls-list/
La versión 7.1 se publicó el 4 de abril de 2019. [5]
CSC 1 : Inventario y control de activos de hardware CSC 2 : Inventario y control de activos de software CSC 3 : Evaluación y remediación de vulnerabilidades continuas CSC 4 : Uso controlado de privilegios administrativos CSC 5 : Configuraciones seguras para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores CSC 6 : Mantenimiento, supervisión y análisis de registros de auditoría CSC 7 : Protecciones de correo electrónico y navegador web CSC 8 : Defensas contra malware CSC 9 : Limitación y control de puertos de red, protocolos y servicios CSC 10 : Capacidades de recuperación de datos CSC 11 : Configuraciones seguras para dispositivos de red como firewalls, enrutadores y conmutadores CSC 12 : Defensa de límites CSC 13 : Protección de datos CSC 14 : Acceso controlado basado en la necesidad de conocer CSC 15 : Control de acceso inalámbrico CSC 16 : Monitoreo y control de cuentas CSC 17 : Implementar un programa de capacitación y concienciación sobre seguridad CSC 18 : Seguridad del software de aplicación CSC 19 : Respuesta y gestión de incidentes CSC 20 : Pruebas de penetración y d Ejercicios en equipo
Grupos de implementación
La versión 7.1 introdujo los grupos de implementación, [6] dividiendo los controles en 3 secciones:
- Grupo de implementación 1: aplicable a todas las empresas (pequeñas a grandes)
- Grupo de implementación 2: Controles adicionales para almacenar información confidencial
- Grupo de implementación 3: Controles adicionales para información muy sensible
Con los grupos de implementación, las empresas más pequeñas no necesitan cumplir con todos los controles CIS.
Versión anterior
La versión 3.0 fue lanzada el 13 de abril de 2011. La versión 5.0 fue lanzada el 2 de febrero de 2014 por el Council on Cyber Security (CCS). [7] La versión 6.0 se publicó el 15 de octubre de 2015 y consta de los controles de seguridad que se indican a continuación. La versión 6.1 se publicó el 31 de agosto de 2016 y tiene la misma prioridad que la versión 6. La versión 7 se publicó el 19 de marzo de 2018. [8]
En comparación con la versión 5, la versión 6 / 6.1 ha vuelto a priorizar los controles y ha cambiado estos dos controles:
- 'Secure Network Engineering' era CSC 19 en la versión 5, pero se ha eliminado en la versión 6 / 6.1.
- 'CSC 7: Protecciones de correo electrónico y navegador web' se ha agregado en la versión 6 / 6.1.
En la Versión 7, [9] los controles 3, 4 y 5 fueron reorganizados. Los controles 1-6 se consideran "Básicos", 7-16 son "Fundamentales" y 17-20 son "Organizacionales". También lanzó CIS RAM, [10] un método de evaluación de riesgos de seguridad de la información para ayudar a implementar los controles CIS.
Colaboradores
Las Pautas de Auditoría de Consenso (CAG) fueron compiladas por un consorcio de más de 100 contribuyentes [11] de agencias gubernamentales de Estados Unidos, expertos en forense comercial y probadores de escritura . [12] Los autores del borrador inicial incluyen miembros de:
- Equipo Rojo y Equipo Azul de la Agencia de Seguridad Nacional de EE. UU.
- Departamento de Seguridad Nacional de EE. UU., US-CERT
- Grupo de arquitectura de defensa de redes informáticas del Departamento de Defensa de EE. UU.
- Fuerza de Tarea Conjunta del Departamento de Defensa de los EE. UU. - Operaciones de red global (JTF-GNO)
- Centro de Delitos Cibernéticos de Defensa del Departamento de Defensa de EE. UU. (DC3)
- Laboratorio nacional de Los Alamos del Departamento de Energía de EE. UU. Y otros tres laboratorios nacionales.
- Departamento de Estado de EE. UU., Oficina del CISO
- Fuerza Aérea de EE. UU.
- Laboratorio de Investigación del Ejército de EE. UU.
- Departamento de Transporte de EE. UU., Oficina del CIO
- Departamento de Salud y Servicios Humanos de EE. UU., Oficina del CISO
- Oficina de Responsabilidad del Gobierno de EE. UU. (GAO)
- Corporación MITRE
- El Instituto SANS [1]
Resultados notables
A partir de 2009, el Departamento de Estado de EE. UU. Comenzó a complementar su programa de puntuación de riesgo en parte utilizando las Pautas de auditoría de consenso. Según las mediciones del Departamento, en el primer año de calificación de sitios utilizando este enfoque, el departamento redujo el riesgo general en su red clave no clasificada en casi un 90 por ciento en sitios en el extranjero y en un 89 por ciento en sitios nacionales. [13]
enlaces externos
- Sitio web "Veinte controles de seguridad críticos para una ciberdefensa eficaz" (Centro para la seguridad de Internet)
- Enlace directo a CIS CSC versión 6 pdf (Center for Internet Security)
- Enlace directo a CIS CSC versión 6.1 pdf (Center for Internet Security)
- Informe técnico "Abordar las directrices de auditoría de consenso (CAG) con Symantec ™ Risk Automation Suite" (documento técnico de Symantec Corporation)
- Artículo "Fast Track to Consensus Audit Guidelines # 8 (CAG 8) Compliance" (artículo publicado en un blog patrocinado por Lieberman Software Corporation)
- Documento técnico "Introducción a los controles CIS - SANS Back to Basics" (documento técnico de Tripwire, Inc. )
- "Por qué las agencias rechazan 20 controles críticos"
- "Los 20 controles que no lo son"
- Enlace a la descarga de RAM de CIS (creado por Center for Internet Security y HALOCK Security Labs [14] )
Referencias
- ^ a b "Gilligan Group Inc., antecedentes y participantes del CAG"
- ^ "Comprensión de las partes interesadas de la tecnología: sus avances y desafíos" por John M. Gilligan, Foro de garantía de software, 4 de noviembre de 2009
- ^ "Directrices de auditoría de consenso: descripción general" por Lieberman Software Corporation
- ^ "Directrices de auditoría de consenso: es hora de 'detener el sangrado'" por John M. Gilligan, décimo Foro semestral de garantía de software, 12 de marzo de 2009
- ^ Versión 7.1 en cisecurity.org
- ^ https://www.cisecurity.org/controls/cis-controls-implementation-groups/
- ^ "Copia archivada" . Archivado desde el original el 22 de marzo de 2014 . Consultado el 21 de marzo de 2014 .Mantenimiento de CS1: copia archivada como título ( enlace )
- ^ Versión 7 en cisecurity.org
- ^ "CIS Controls versión 7 - lo viejo, lo nuevo" . CIS® (Centro para la seguridad de Internet, Inc.) .
- ^ "Preguntas frecuentes sobre RAM CIS" . CIS® (Centro para la seguridad de Internet, Inc.) .
- ^ James Tarala y Jennifer Adams, "Las pautas de auditoría de consenso: mejorar drásticamente la seguridad de los sistemas HIT" [ enlace muerto permanente ]
- ^ Sitio web de SANS, "20 controles de seguridad críticos"
- ^ "Audiencia ante el Subcomité de Gestión Gubernamental, Organización y Adquisiciones del Comité de Supervisión y Reforma Gubernamental, Cámara de Representantes, Ciento Undécimo Congreso, Segunda Sesión, 24 de marzo de 2010, 'Seguridad Federal de la Información: Desafíos actuales y política futura Consideraciones '"
- ^ "Laboratorios de seguridad HALOCK: CIS RAM" . RAM CIS .