by drmunozcl
Share
Por drmunozcl
Compartir
Son 18 controles de seguridad priorizados, basados en amenazas reales y prácticas comprobadas, diseñados para:
-
Proteger contra ataques cibernéticos comunes.
-
Establecer una postura de seguridad básica sólida.
-
Facilitar la mejora continua en ciberseguridad.
Estos controles están divididos en tres grupos:
-
Controles Básicos (IG1 – Implementation Group 1): Lo esencial para todas las organizaciones, especialmente pymes.
-
Controles Fundamentales (IG2): Dirigidos a organizaciones con datos sensibles o regulaciones específicas.
-
Controles Avanzados (IG3): Para organizaciones con riesgos muy elevados y capacidades técnicas avanzadas.
Lista de los 18 CIS Controls (v8 actualizada)
Desde la versión 8 (2021), los controles fueron reorganizados y reducidos de 20 a 18 controles principales:
-
Inventory and Control of Enterprise Assets
-
Inventory and Control of Software Assets
-
Data Protection
-
Secure Configuration of Enterprise Assets and Software
-
Account Management
-
Access Control Management
-
Continuous Vulnerability Management
-
Audit Log Management
-
Email and Web Browser Protections
-
Malware Defenses
-
Data Recovery
-
Network Infrastructure Management
-
Security Awareness and Skills Training
-
Security Operations Center (SOC) Capabilities
-
Incident Response Management
-
Application Software Security
-
Penetration Testing
-
Security of Service Providers (Supply Chain)
Cada control está compuesto por salvaguardas específicas (subcontroles) que indican qué hacer y cómo medir el cumplimiento.
¿Por qué son importantes?
-
Son reconocidos globalmente como una guía práctica.
-
Ayudan a cumplir con regulaciones como ISO/IEC 27001, NIST, HIPAA, GDPR, entre otras.
-
Son utilizados por gobiernos, instituciones financieras, universidades, y empresas de todos los tamaños.
Ejemplo práctico
Si una empresa aplica el Control 7 (Gestión continua de vulnerabilidades), esto podría incluir:
-
Escanear regularmente los sistemas en busca de vulnerabilidades.
-
Corregir rápidamente las vulnerabilidades detectadas.
-
Priorizar parches según el nivel de riesgo.
Recursos útiles
-
Sitio oficial: https://www.cisecurity.org/controls
-
Guías por IG (Implementation Groups)
-
Herramientas como CIS-CAT (para evaluar cumplimiento)
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
Cuando ocurre un incidente de ciberseguridad —como una filtración de datos, sabotaje interno o malware en un sistema crítico— es crucial entender qué pasó, cómo ocurrió, quién fue responsable y qué daños se produjeron. Sin un enfoque estructurado, esa información se pierde o se vuelve irrelevante para la respuesta legal, técnica y estratégica. La falta
Las organizaciones, gobiernos y personas están cada vez más expuestas en internet. Cada acción digital —una publicación, un registro de dominio o un documento compartido— puede generar información útil para un atacante o para un profesional de seguridad. La mayoría de las amenazas actuales no comienzan con código malicioso, sino con recolección de información pública.
MITRE ATT&CK es un marco de conocimiento que documenta las tácticas, técnicas y procedimientos (TTPs) utilizados por atacantes reales en el mundo digital. Es mantenido por MITRE Corporation y se ha convertido en una referencia global para entender y analizar el comportamiento de amenazas avanzadas. El modelo ATT&CK se organiza en matrices que representan las
Las organizaciones están constantemente expuestas a ciberataques, pero la mayoría carece de contexto suficiente para comprender quién las amenaza, cómo operan los atacantes o qué activos están en riesgo. Sin esta visibilidad, las defensas se vuelven reactivas e ineficientes. Los equipos de seguridad desperdician tiempo en alertas sin contexto o respondiendo tarde a incidentes que
