by drmunozcl
Share
Por drmunozcl
Compartir
Son 18 controles de seguridad priorizados, basados en amenazas reales y prácticas comprobadas, diseñados para:
-
Proteger contra ataques cibernéticos comunes.
-
Establecer una postura de seguridad básica sólida.
-
Facilitar la mejora continua en ciberseguridad.
Estos controles están divididos en tres grupos:
-
Controles Básicos (IG1 – Implementation Group 1): Lo esencial para todas las organizaciones, especialmente pymes.
-
Controles Fundamentales (IG2): Dirigidos a organizaciones con datos sensibles o regulaciones específicas.
-
Controles Avanzados (IG3): Para organizaciones con riesgos muy elevados y capacidades técnicas avanzadas.
Lista de los 18 CIS Controls (v8 actualizada)
Desde la versión 8 (2021), los controles fueron reorganizados y reducidos de 20 a 18 controles principales:
-
Inventory and Control of Enterprise Assets
-
Inventory and Control of Software Assets
-
Data Protection
-
Secure Configuration of Enterprise Assets and Software
-
Account Management
-
Access Control Management
-
Continuous Vulnerability Management
-
Audit Log Management
-
Email and Web Browser Protections
-
Malware Defenses
-
Data Recovery
-
Network Infrastructure Management
-
Security Awareness and Skills Training
-
Security Operations Center (SOC) Capabilities
-
Incident Response Management
-
Application Software Security
-
Penetration Testing
-
Security of Service Providers (Supply Chain)
Cada control está compuesto por salvaguardas específicas (subcontroles) que indican qué hacer y cómo medir el cumplimiento.
¿Por qué son importantes?
-
Son reconocidos globalmente como una guía práctica.
-
Ayudan a cumplir con regulaciones como ISO/IEC 27001, NIST, HIPAA, GDPR, entre otras.
-
Son utilizados por gobiernos, instituciones financieras, universidades, y empresas de todos los tamaños.
Ejemplo práctico
Si una empresa aplica el Control 7 (Gestión continua de vulnerabilidades), esto podría incluir:
-
Escanear regularmente los sistemas en busca de vulnerabilidades.
-
Corregir rápidamente las vulnerabilidades detectadas.
-
Priorizar parches según el nivel de riesgo.
Recursos útiles
-
Sitio oficial: https://www.cisecurity.org/controls
-
Guías por IG (Implementation Groups)
-
Herramientas como CIS-CAT (para evaluar cumplimiento)
MANTENTE INFORMADO
Suscríbete a nuestro newsletter gratuito.
La superficie de ataque crece más rápido que los presupuestos. Entre nubes híbridas, SaaS, teletrabajo y terceros, cada decisión técnica añade vectores potenciales. En este contexto, entender y aplicar con rigor el papel evaluación de riesgos ciberseguridad marca la diferencia entre reaccionar a incidentes o prevenirlos con prioridad y método. Sin una evaluación de riesgos,
Las aplicaciones modernas se construyen con librerías open source y paquetes de terceros. Software Composition Analysis (SCA) permite identificar, evaluar y mitigar riesgos derivados de esas dependencias: vulnerabilidades conocidas, problemas de licenciamiento y componentes obsoletos. Para equipos de TI y seguridad, SCA aporta visibilidad accionable y acelera la respuesta ante incidentes. ¿Qué es Software Composition
En gestión de vulnerabilidades, el ruido de falsos positivos frena la respuesta. Vulnerability Exploitability eXchange (VEX) resuelve ese problema al indicar si una CVE es explotable en un producto y versión específicos, con base en declaraciones formales del proveedor. Así, VEX complementa el SBOM y acelera la priorización. Definición de Vulnerability Exploitability eXchange (VEX) VEX
El SBOM en desarrollo seguro es la base para gestionar riesgos en la cadena de suministro de software. Un SBOM (Software Bill of Materials) cataloga de forma estructurada todos los componentes, dependencias y sus versiones presentes en un artefacto. Con esta visibilidad, los equipos de TI y seguridad reducen la superficie de ataque, aceleran la
