19 may 2021

Controles CIS v8 - 18 es el nuevo 20

El Center for Internet Security (CIS) lanzó oficialmente CIS Controls v8, que se mejoró para mantenerse al día con la tecnología, las amenazas en evolución e incluso el lugar de trabajo en evolución. La pandemia cambió muchas cosas y también provocó cambios en los controles CIS. La versión más reciente de los controles ahora incluye tecnologías móviles y en la nube. Incluso hay un nuevo CIS Control: "Service Provider Management", que brinda orientación sobre cómo las empresas pueden administrar sus servicios en la nube.

Enfoque basado en tareas independientemente de quién ejecute el control

Dado que las redes básicamente no tienen fronteras, lo que significa que ya no hay una red cerrada y centralizada donde residen todos los puntos finales, los controles ahora están organizados por actividad frente a cómo se administran las cosas.

Los esfuerzos para simplificar los controles y organizarlos por actividad dieron como resultado menos controles y menos salvaguardas (anteriormente subcontroles). Ahora hay 18 controles de nivel superior y 153 salvaguardas, distribuidos entre los tres Grupos de Implementación (GI).

IG1 = Higiene cibernética básica

CIS Controls v8 define oficialmente IG1 como Higiene Cibernética Básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 (56 salvaguardas) es un conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más frecuentes. 

El IG2 (74 salvaguardas adicionales) y el IG3 (23 salvaguardas) se basan en IG anteriores, siendo el IG1 la vía de acceso a los controles y el IG3 que incluye todas las salvaguardas para un total de 153.

El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2021 publicado recientemente ya menciona a CIS Controls v8 y los nuevos grupos de implementación. Verizon identificó un conjunto básico de controles que toda empresa debería implementar independientemente de su tamaño y presupuesto:

  • Control 4: Configuración segura de activos y software empresariales
  • Control 5: Gestión de cuentas
  • Control 6: Gestión del control de acceso
  • Control 14: Concientización sobre seguridad y capacitación en habilidades

El ecosistema de controles CIS: no se trata de la lista

La versión v8 no es solo una actualización de los controles; todo el ecosistema que rodea a los controles también se ha actualizado (o pronto se actualizará). Esto incluye:

  • Herramienta de autoevaluación de controles CIS CSAT (alojada y profesional): una forma para que las empresas realicen, rastreen y evalúen su implementación de los controles CIS a lo largo del tiempo y midan la implementación en comparación con sus pares de la industria; CIS CSAT alojado es gratuito para su uso en una capacidad no comercial
  • Modelo de defensa comunitaria (CDM): enfoque riguroso, transparente y basado en datos que ayuda a priorizar los controles en función de la amenaza en evolución; CDM v1.0 utilizó el Informe de Investigaciones de Violación de Datos (DBIR) de Verizon 2019 para determinar los principales ataques y el Marco MITRE ATT&CK (Tácticas Adversarias, Técnicas y Conocimiento Común) v6.3
  • Método de evaluación de riesgos CIS CIS RAM: ayuda a una empresa a justificar las inversiones para la implementación razonable de los controles CIS, definir su nivel aceptable de riesgo, priorizar e implementar los controles CIS de manera razonable y ayudar a demostrar el "debido cuidado" CIS RAM 2.0: incluye una hoja de trabajo CIS RAM simplificada para IG1 y módulos adicionales diseñados para desarrollar indicadores clave de riesgo mediante análisis cuantitativo
  • CIS Controls Mobile Companion Guide: ayuda a las empresas a implementar las mejores prácticas desarrolladas por consenso utilizando CIS Controls v8 para teléfonos, tabletas y aplicaciones móviles.
  • Guía complementaria de CIS Controls Cloud: orientación sobre cómo aplicar las mejores prácticas de seguridad que se encuentran en CIS Controls v8 a cualquier entorno de nube desde la perspectiva del consumidor / cliente
  • CIS Control Navigator
  • Asignaciones a otros marcos regulatorios: las empresas que implementan los controles CIS pueden demostrar el cumplimiento de otros marcos. A medida que se actualicen recursos adicionales, se agregarán a la página v8, así que asegúrese de ver ese espacio.

Qué hay de nuevo

Como ya se ha hecho con ocasión de versiones anteriores, los expertos han realizado su trabajo sobre la base de unos principios de diseño que han servido de guía a la hora de determinar qué es lo realmente importante y cuáles son los objetivos de los Controles CIS:

  • El Ataque como referencia para la Defensa.
  • Foco en la identificación y priorización de los aspectos más críticos para detener los ataques más relevantes.
  • Salvaguardas viables y aplicables.
  • Controles medibles.

Alineamiento con otros esquemas y marcos regulatorios, de gobierno o de gestión.

Naturalmente, las nuevas tendencias, articuladas sobre servicios en la nube, la virtualización, la movilidad, la externalización o el teletrabajo, así como las cambiantes técnicas del atacante, han modificado el ecosistema de la ciberseguridad y han ocupado un lugar preferente en los trabajos de desarrollo de la nueva versión. Como consecuencia de ello, los enfoques basados fundamentalmente en los dispositivos físicos y los perímetros definidos han perdido parte de su protagonismo.

En primer lugar, la versión 8 introduce un glosario de definiciones, acrónimos y abreviaturas que busca eliminar cualquier ambigüedad desde la perspectiva de la terminología.

Por otra parte, el verdadero valor de los Controles CIS no consiste en construir la mejor lista, sino en el aprovechamiento y la reutilización de la experiencia de una comunidad de individuos y empresas para mejorar la seguridad. Es decir, CIS constituye un punto de encuentro donde compartir información.

Resultado de todo ello es que la estructura y el contenido de los controles se han reorganizado, reduciéndose en dos unidades el número de controles, que ahora ha pasado a ser de dieciocho; además, aparece un nuevo control, el de la "Gestión de Proveedores de Servicios". La relación de controles queda de la siguiente forma:

  1. Inventario y control de Activos corporativos hardware
  2. Inventario y control de Activos software
  3. Protección de datos
  4. Configuración segura de los Activos hardware y software
  5. Gestión de cuentas
  6. Gestión del control de acceso
  7. Gestión continua de vulnerabilidades
  8. Gestión de logs de auditoría
  9. Protección del correo electrónico y de la navegación web
  10. Defensa contra malware
  11. Recuperación de datos
  12. Gestión de la infraestructura de red
  13. Defensa y monitorización de red
  14. Concienciación y adiestramiento en habilidades de seguridad
  15. Gestión de proveedores de servicio
  16. Seguridad del software de aplicación
  17. Gestión de la respuesta a incidentes
  18. Pruebas de penetración

CIS Controls v8 Mappings

Así como la tecnología y el panorama de amenazas evolucionaron, también lo hicieron los controles CIS v8.

Fuente: CIS | Security Art Works

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!