by drmunozcl
Share
Por drmunozcl
Compartir
Son 18 controles de seguridad priorizados, basados en amenazas reales y prácticas comprobadas, diseñados para:
-
Proteger contra ataques cibernéticos comunes.
-
Establecer una postura de seguridad básica sólida.
-
Facilitar la mejora continua en ciberseguridad.
Estos controles están divididos en tres grupos:
-
Controles Básicos (IG1 – Implementation Group 1): Lo esencial para todas las organizaciones, especialmente pymes.
-
Controles Fundamentales (IG2): Dirigidos a organizaciones con datos sensibles o regulaciones específicas.
-
Controles Avanzados (IG3): Para organizaciones con riesgos muy elevados y capacidades técnicas avanzadas.
Lista de los 18 CIS Controls (v8 actualizada)
Desde la versión 8 (2021), los controles fueron reorganizados y reducidos de 20 a 18 controles principales:
-
Inventory and Control of Enterprise Assets
-
Inventory and Control of Software Assets
-
Data Protection
-
Secure Configuration of Enterprise Assets and Software
-
Account Management
-
Access Control Management
-
Continuous Vulnerability Management
-
Audit Log Management
-
Email and Web Browser Protections
-
Malware Defenses
-
Data Recovery
-
Network Infrastructure Management
-
Security Awareness and Skills Training
-
Security Operations Center (SOC) Capabilities
-
Incident Response Management
-
Application Software Security
-
Penetration Testing
-
Security of Service Providers (Supply Chain)
Cada control está compuesto por salvaguardas específicas (subcontroles) que indican qué hacer y cómo medir el cumplimiento.
¿Por qué son importantes?
-
Son reconocidos globalmente como una guía práctica.
-
Ayudan a cumplir con regulaciones como ISO/IEC 27001, NIST, HIPAA, GDPR, entre otras.
-
Son utilizados por gobiernos, instituciones financieras, universidades, y empresas de todos los tamaños.
Ejemplo práctico
Si una empresa aplica el Control 7 (Gestión continua de vulnerabilidades), esto podría incluir:
-
Escanear regularmente los sistemas en busca de vulnerabilidades.
-
Corregir rápidamente las vulnerabilidades detectadas.
-
Priorizar parches según el nivel de riesgo.
Recursos útiles
-
Sitio oficial: https://www.cisecurity.org/controls
-
Guías por IG (Implementation Groups)
-
Herramientas como CIS-CAT (para evaluar cumplimiento)
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La nueva normativa de incidentes de ciberseguridad en China se perfila como uno de los movimientos regulatorios más relevantes para 2025. Para cualquier equipo TI o pyme con operaciones, clientes o proveedores en el mercado chino, el mensaje es claro: se avecinan plazos de reporte más agresivos, más obligaciones de respuesta y un escrutinio mayor
La información de identificación personal (PII) es el combustible que impulsa procesos de negocio, analítica y personalización. También es el objetivo preferido de actores malintencionados y el foco de reguladores en todo el mundo. Si trabajas en TI o seguridad, proteger la PII no es solo una buena práctica: es una obligación estratégica para la
Si gestionar privacidad te parece un laberinto de regulaciones, multas y hojas de cálculo, respira: la ISO/IEC 27701 es la guía práctica para implantar un sistema de gestión de la privacidad que funcione de verdad. Más aún, con la última actualización, la ISO/IEC 27701 es certificable por sí sola, por lo que ya no necesitas
La superficie de ataque crece más rápido que los presupuestos. Entre nubes híbridas, SaaS, teletrabajo y terceros, cada decisión técnica añade vectores potenciales. En este contexto, entender y aplicar con rigor el papel evaluación de riesgos ciberseguridad marca la diferencia entre reaccionar a incidentes o prevenirlos con prioridad y método. Sin una evaluación de riesgos,
