Controles del CIS para asegurar la infraestructura de TI

La ciberseguridad es uno de los temas que más preocupan a a las empresas en la actualidad. En su afán por demostrar estos esfuerzos, muchas recurren a certificaciones del tipo ISO27001 e ISO27002, marcos excelentes para mostrar el cumplimiento, pero que no son adecuados para priorizar, medir e implementar iniciativas prácticas de seguridad de TI. El Center for Internet Security (CIS), plantea un conjunto de 20 controles, conocidos de manera coloquial como Controles del CIS que nos ayudarán, de manera gradual, a conseguir mayor seguridad para nuestras infraestructuras.
Qué son los Controles del CIS
Se trata de un marco basado en el consenso y que incluye consejos prácticos y priorizados detallados sobre cómo implementar la seguridad en nuestro parque informático. Los controles del CIS incluyen instrucciones detalladas sobre qué hacer, cómo medir, cómo priorizar y cómo auditar la infraestructura y así segurizarla.
La ciberseguridad en las empresas, en jaque por los nuevos modelos de trabajo
Empecemos con un ejemplo. Una empresa facilita a un empleado un equipo corporativo con Windows 7 (no creas que es tan extraño, ya que aún hay muchos) que está conectado a la red corporativa mediante VPN a través de una red doméstica. En dicha red además se conecta otro equipo (quizá sin antivirus ni firewall) en el que el usuario se descarga “archivos” de internet desde páginas y redes P2P de más que dudosa seguridad, como música o películas. La probabilidad de que ese equipo doméstico acabe infectado es elevadísima. Y ese equipo está “en la IP de al lado” a la del corporativo, que hay que recordar tiene un sistema operativo que ya está fuera del ciclo de vida de Microsoft, y que por lo tanto, no recibe parches de seguridad. Y además ¿cómo tendrá de actualizado el antivirus? ¿Y el firewall estará activo? ¿Y el escritorio remoto lo tendrá desactivado o seguirá activado desde que se configuró a modo de emergencia durante el confinamiento de marzo y abril de 2020?
Con este ejemplo demostramos que no es posible controlar del todo la seguridad de las redes domésticas de los usuarios TI corporativos. Pero lo que sí podemos (y debemos) hacer, es poner todo lo que esté en nuestra mano para que los equipos corporativos, que se conectan cada día a esas redes potencialmente inseguras, sí sean lo más seguros posible.
Con esta idea, el Center for Internet Security (CIS) plantea un conjunto de 20 controles que nos ayudarán, de manera gradual, a conseguir mayor seguridad para nuestras infraestructuras y que se agrupan en tres niveles de madurez:
Lo que no se conoce no se puede hacer más seguro
Llegado a este punto tal vez te estés preguntando ¿cómo puedo aplicar estos controles a mi empresa? Y lo que es más ¿cómo cumplir con los dos primeros puntos de inventariar y controlar los activos de hardware e inventariar y controlar los activos de software?
La Gestión de Activos TI es el punto de partida para seguir implementando controles de seguridad. Y es que ese “simple” inventario ya genera información detallada sobre la situación actual, e incluso podríamos plantearnos a partir de ello las primeras líneas de actuación imprescindibles.
¿Cuáles son, entre otras muchas, estas 10 grandes aportaciones que un sistema de Gestión de Activos TI como Proactivanet ofrece de manera inmediata para ayudar a mejorar la seguridad de la infraestructura?
- Un inventario completo al 110 %.
- Conocerás los sistemas operativos fuera del ciclo de vida al detalle.
- También, los sistemas operativos más modernos pero sin parchear.
- Qué equipos no cuentan con firewall o antivirus.
- Los equipos que tienen un software obsoleto.
- Las bases de datos antiguas.
- Los equipos con servicios sensibles.
- Los dispositivos de red con firmware sin actualizar.
- Los dispositivos móviles corporativos y BYOD conectados a la red.
- Los usuarios que están activos y el histórico de los accesos de cada uno de ellos.
Te habrás dado cuenta del potencial de la herramienta para la seguridad en la empresa. ¿Quieres seguir mejorando en esta materia? Descárgate ya nuestro whitepaper y descubre cómo estas 10 acciones del sistema de Gestión de Activos TI te ayudan a segurizar tu infraestructura de manera inmediata.
Esperamos que lo disfrutéis, un saludo
Equipo de marketing de Proactivanet


4 Desafíos Clave para los CISOs en 2025

5 beneficios de integrar ITAM y Ciberseguridad en una sola herramienta
