Controles del CIS para asegurar la infraestructura de TI

29 de junio de 2022

La ciberseguridad es uno de los temas que más preocupan a a las empresas en la actualidad. En su afán por demostrar estos esfuerzos, muchas recurren a certificaciones del tipo ISO27001 e ISO27002, marcos excelentes para mostrar el cumplimiento, pero que no son adecuados para priorizar, medir e implementar iniciativas prácticas de seguridad de TI. El Center for Internet Security (CIS), plantea un conjunto de 20 controles, conocidos de manera coloquial como Controles del CIS que nos ayudarán, de manera gradual, a conseguir mayor seguridad para nuestras infraestructuras.

Qué son los Controles del CIS

Se trata de un marco basado en el consenso y que incluye consejos prácticos y priorizados detallados sobre cómo implementar la seguridad en nuestro parque informático. Los controles del CIS incluyen instrucciones detalladas sobre qué hacer, cómo medir, cómo priorizar y cómo auditar la infraestructura y así segurizarla.

La ciberseguridad en las empresas, en jaque por los nuevos modelos de trabajo

Empecemos con un ejemplo. Una empresa facilita a un empleado un equipo corporativo con Windows 7 (no creas que es tan extraño, ya que aún hay muchos) que está conectado a la red corporativa mediante VPN a través de una red doméstica. En dicha red además se conecta otro equipo (quizá sin antivirus ni firewall) en el que el usuario se descarga “archivos” de internet desde páginas y redes P2P de más que dudosa seguridad, como música o películas. La probabilidad de que ese equipo doméstico acabe infectado es elevadísima. Y ese equipo está “en la IP de al lado” a la del corporativo, que hay que recordar tiene un sistema operativo que ya está fuera del ciclo de vida de Microsoft, y que por lo tanto, no recibe parches de seguridad. Y además ¿cómo tendrá de actualizado el antivirus? ¿Y el firewall estará activo? ¿Y el escritorio remoto lo tendrá desactivado o seguirá activado desde que se configuró a modo de emergencia durante el confinamiento de marzo y abril de 2020?

Con este ejemplo demostramos que no es posible controlar del todo la seguridad de las redes domésticas de los usuarios TI corporativos. Pero lo que sí podemos (y debemos) hacer, es poner todo lo que esté en nuestra mano para que los equipos corporativos, que se conectan cada día a esas redes potencialmente inseguras, sí sean lo más seguros posible.

Con esta idea, el Center for Internet Security (CIS) plantea un conjunto de 20 controles que nos ayudarán, de manera gradual, a conseguir mayor seguridad para nuestras infraestructuras y que se agrupan en tres niveles de madurez:

Lo que no se conoce no se puede hacer más seguro

Llegado a este punto tal vez te estés preguntando ¿cómo puedo aplicar estos controles a mi empresa? Y lo que es más ¿cómo cumplir con los dos primeros puntos de inventariar y controlar los activos de hardware e inventariar y controlar los activos de software?

La Gestión de Activos TI es el punto de partida para seguir implementando controles de seguridad. Y es que ese “simple” inventario ya genera información detallada sobre la situación actual, e incluso podríamos plantearnos a partir de ello las primeras líneas de actuación imprescindibles.

¿Cuáles son, entre otras muchas, estas 10 grandes aportaciones que un sistema de Gestión de Activos TI como Proactivanet ofrece de manera inmediata para ayudar a mejorar la seguridad de la infraestructura?

Un inventario completo al 110 %.
Conocerás los sistemas operativos fuera del ciclo de vida al detalle.
También, los sistemas operativos más modernos pero sin parchear.
Qué equipos no cuentan con firewall o antivirus.
Los equipos que tienen un software obsoleto.
Las bases de datos antiguas.
Los equipos con servicios sensibles.
Los dispositivos de red con firmware sin actualizar.
Los dispositivos móviles corporativos y BYOD conectados a la red.
Los usuarios que están activos y el histórico de los accesos de cada uno de ellos.

Te habrás dado cuenta del potencial de la herramienta para la seguridad en la empresa. ¿Quieres seguir mejorando en esta materia? Descárgate ya nuestro whitepaper y descubre cómo estas 10 acciones del sistema de Gestión de Activos TI te ayudan a segurizar tu infraestructura de manera inmediata.

Esperamos que lo disfrutéis, un saludo

Equipo de marketing de Proactivanet

Volver al Blog

Suscríbete a nuestro Blog

Securiza tu infraestructura TI Ahorra y optimiza costes Compliance

“La combinación perfecta entre agilidad y potencia”

Gestión de Activos

Cookie	Duración	Descripción
__utma	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
_utma	2 años	Permite conocer el comportamiento del visitante, medir el rendimiento de nuestro sitio y generar estadísticas de visitas a nuestra web. Se actualiza cada vez que los datos se envían a Google Analytics.
_utmb	30 minutos	Permite conocer el comportamiento del visitante, medir el rendimiento de nuestro sitio y determinar nuevas sesiones de visitas. Se actualiza cada vez que los datos se envían a Google Analytics.
_utmc	sesión	Permite la interoperabilidad con la versión anterior del código de Google Analytics conocido como Urchin; tiene la misma finalidad que la _utmb.
_utmv	Instantánea	Permite conocer el comportamiento del visitante, medir el rendimiento del nuestro sitio y generar estadísticas de visitas a nuestra web. Se trata de una variable personalizada.
_utmz	6 meses	Permite conocer el comportamiento del visitante, medir el rendimiento del nuestro sitio y generar estadísticas de visitas a nuestra web. Identifica la fuente de donde procede la visita (otro website o un buscador) y se actualiza cada vez que los datos se envían a Google Analytics.
ACTIVITY	sesión	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
APISID	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
demographics	18 meses	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
dkv	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
HSID	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
LOGIN_INFO	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
PREF	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
SID	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
user_locale	14 días	Almacena el idioma en el que navega el usuario por la página web y la zona horaria donde se encuentra.
VISITOR_INFO1_LIVE	8 meses	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/
YSC	2 años	Usadas por Youtube para medir las visualizaciones de videos que realiza el usuario, registrar eventos como "Me gusta" o comparticiones, y así mejorar la experiencia de navegación del mismo. Más información sobre la política de cookies de Youtube en http://www.google.co.uk/intl/en/policies/privacy/

Cookie	Duración	Descripción
__atuvc	2 años	Su finalidad es la de asegurarse de que el usuario ve el recuento actualizado de veces que se ha compartido la página.
__gads	1 año	Permiten al sitio web recordar opciones que toma el usuario (nombre, idioma o región en la que está) y proporcionar características mejoradas y más personales.
__qca	18 meses	Su finalidad es la de orientar la aparición de anuncios publicitarios en el website.
di	2 años	Se trata de cookies de seguimiento cuya finalidad es determinar la caducidad de otras cookies.
dt	30 días	Se trata de cookies de seguimiento cuya finalidad es determinar la caducidad de otras cookies.
grvinsights	16 meses	Permiten al sitio web recordar opciones que toma el usuario (nombre, idioma o región en la que está) y proporcionar características mejoradas y más personales.
km_ai	5 años	Las usamos para recopilar información acerca de cómo los visitantes usan nuestro sitio. Utilizamos esta información para medir los mecanismos de conversión interna de los usuarios y las estadísticas de uso del nuestro sitio.
km_lv	5 años	Las usamos para recopilar información acerca de cómo los visitantes usan nuestro sitio. Utilizamos esta información para medir los mecanismos de conversión interna de los usuarios y las estadísticas de uso del nuestro sitio.
km_ni	5 años	Las usamos para recopilar información acerca de cómo los visitantes usan nuestro sitio. Utilizamos esta información para medir los mecanismos de conversión interna de los usuarios y las estadísticas de uso del nuestro sitio.
km_uq	5 años	Las usamos para recopilar información acerca de cómo los visitantes usan nuestro sitio. Utilizamos esta información para medir los mecanismos de conversión interna de los usuarios y las estadísticas de uso del nuestro sitio.
loc	2 años	Se trata de una cookie de geolocalización. Con ella es posible conocer, aproximadamente, la localización de los visitantes.
optimizelyBuckets	10 años	Almacena las actualizaciones de la página que un usuario ha visto.
optimizelyEndUserId	sesión	Contiene la identificación del usuario que usa el servicio para saber que es él y no duplicar la información ofrecida.
optimizelySegments	10 años	Almacena la información por segmentos de visitantes, tales como el navegador, campaña, tipo de fuentes móviles, y todos los segmentos personalizados definidos. Su finalidad es la de asegurar que el usuario obtiene una experiencia de navegación consistente.
ssc	2 años	Almacenan la actividad social del visitante.
SSE_DotMe_Domain_Pricing_Test_20130617	1 año
SSE_Visitor_CSS_Only_Select_For_TLD_On_Signup_20130606	2 años	Permiten al sitio web recordar opciones que toma el usuario (nombre, idioma o región en la que está) y proporcionar características mejoradas y más personales.
SSE_Visitor_CSS_Only_Select_For_TLD_On_Signup_20130619	2 años	Permiten al sitio web recordar opciones que toma el usuario (nombre, idioma o región en la que está) y proporcionar características mejoradas y más personales.
ssh	2 años	Almacenan la actividad social del visitante. Se usan para optimizar la configuración para compartir del usuario.
sshs	2 años	Almacenan la actividad social del visitante. Se usan para optimizar la configuración para compartir del usuario.
uid	2 años	Se usan para identificar el tiempo de inicio de sesión del usuario.
wordpress_eli	2 años	Permiten al sitio web recordar opciones que toma el usuario (nombre, idioma o región en la que está) y proporcionar características mejoradas y más personales.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
_proactivanet_session	sesión	Contiene el identificador de sesión con el que se distingue un visitante de otro.
cookielawinfo-checkbox-analisis	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-publicidad	1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Advertising".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
lang	sesión	Almacena el idioma en el que navega el usuario por la página web.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
attributionCookie	session	No description
cookielawinfo-checkbox-necesarias	1 year	No description
i18n	10 years	No description available.
IE-jwt	62 years 8 months 19 days 9 hours 4 minutes	No description
IE-LANG_CODE	62 years 8 months 19 days 9 hours 4 minutes	No description
IE-set_country	62 years 8 months 19 days 9 hours 4 minutes	No description
redirectFacebook	2 minutes	No description

Controles del CIS para asegurar la infraestructura de TI

Qué son los Controles del CIS

La ciberseguridad en las empresas, en jaque por los nuevos modelos de trabajo

Lo que no se conoce no se puede hacer más seguro

Gestión de Activos de TI en tiempos de escasez de equipos

If You’re Not Doing Continuous Asset Management You’re Not Doing Security

Año nuevo, sistemas viejos: adiós CentOS Linux 8