CIS Controls v8

20 de octubre de 2021
CIS Controls v8

El CIS (Center for Internet Security) ha lanzado recientemente la nueva versión (v8) de los “CIS Controls”, una colección de controles que tratan de ayudar a las organizaciones a dar sus primeros pasos en el mundo de la ciberseguridad. En Mayo de 2021 el CIS los ha actualizado estos, liberando la nueva versión CIS Controls v8, en la que todo y nada cambia. Veamos por qué...

El CIS se encarga de monitorizar en tiempo real los ciberataques reales (no potenciales) que ocurren a nivel mundial, para, a partir de su análisis, generar conocimiento y experiencia que ayude a los profesionales de la ciberseguridad a proteger mejor a sus organizaciones. Básicamente, consiguen generar algo positivo de una situación negativa, convirtiéndola en conocimiento.

Los CIS Controls son parte de ese conocimiento, y establecen una serie de “controles” o “cosas que deberíamos hacer” para conseguir que nuestra infraestructura sea un poco más segura. No se meten tanto en el “cómo”, pero sí establecen un “qué” bastante claro (y a mi parecer acertado). No quiere decir que haya que hacerlo todo al pie de la letra, ni tampoco exactamente en ese orden, pero sí plantean una hoja de ruta muy razonable. 

Lo nuevo de CIS Controls v8

En su versión anterior v7.1, se organizaban los controles en tres niveles (“basic”, “foundational” y “organizational”), pero eso ha cambiado en la nueva versión v8, que los clasifica según el nivel de madurez y tamaño de la organización. En el fondo, si me lo permitís, es la misma idea pero enunciada de otra forma, y no deja de seguir planteando un camino desde lo más básico a lo más avanzado.

Lo que no ha cambiado (ni creo que lo haga nunca), son los dos primeros controles, que aunque enunciados ligeramente distintos, vuelven a ser los mismos:

cis-control-01-Inventory-and-control-of-enterprise-assets


cis-control-02-inventory-and-control-of-software-assets

Lo que viene siendo en castellano, tener un inventario completo, preciso y actualizado de todo su hardware y software.

Más adelante profundizaremos en estos dos controles, entrando el algo más de detalle para cada uno de ellos, pero no quiero dejar de compartir con vosotros la frase con la que el CIS comienza la explicación del CIS Control 1:

“Enterprises cannot defend what they do not know they have.”

Fuente: CIS Control v8. Control v01: Inventory and control of Enterprise Assets.

Se puede decir más alto, pero no más claro, ¿verdad?

A la espera de seguir profundizando en estos controles (y alguno más, como el dedicado a la Gestión de Incidencias de Seguridad), os dejo un par de enlaces para que podáis ir conociendo más los CIS Controls v8:

 

Espero que lo hayáis disfrutado, un saludo

Alejandro Castro, director técnico de Proactivanet

 

Suscríbete a nuestro Blog
Loading
“La combinación perfecta entre agilidad y potencia”
ENISE

Proactivanet en 18ENISE: Ciberseguridad y conexiones en un evento de récord

La 18ª edición del Encuentro Internacional de Seguridad de la Información...
ENISE18

Innovación, ITAM y Relax en el próximo evento ENISE18

Proactivanet estará presente en el Encuentro Internacional de Seguridad de la...
sostenibilidad

Proactivanet se une al Pacto por la Ciberseguridad Sostenible

En un mundo cada vez más digital, la seguridad de nuestros...