¿Qué son los controles CIS?

Center for Internet Security (CIS) es una organización sin ánimo de lucro que proporciona mejores prácticas, herramientas y recursos de ciberseguridad para ayudar a las organizaciones a mejorar su nivel de seguridad de los elementos IT. Las herramientas más conocidas que proporciona son los CIS Controls y los CIS Benchmarks.

CIS CONTROLS

Es una guía que define como implementar controles de seguridad desde distintos ámbitos de actuación. Como cualquier otro framework, ayuda tanto a definir los procesos de seguridad, como documentarlos en procedimientos, implementarlos y medir su eficacia. Los 18 controles del CIS son:

Control 1: Inventory and Control of Enterprise Assets Control 2: Inventory and Control of Software Assets Control 3: Data Protection Control 4: Secure Configuration of Enterprise Assets and Software Control 5: Account Management Control 6: Access Control Management Control 7: Continuous Vulnerability Management Control 8: Audit Log Management Control 9: Email and Web Browser Protections Control 10: Malware Defenses Control 11: Data Recovery Control 12: Network Infrastructure Management Control 13: Network Monitoring and Defense Control 14: Security Awareness and Skills Training Control 15: Service Provider Management Control 16: Application Software Security Control 17: Incident Response Management Control 18: Penetration Testing

CIS Benchmarks

Son guías de bastionado que indican las configuraciones seguridad de distintos elementos IT, se suelen organizar por sistema operativo y versión, pero tienen guías para proveedores concretos de seguridad como pueden ser proveedores de red o de nube. Estas guías son muy buenas referencias para tener una línea base de seguridad.