¿Qué son CIS Benchmarks?

CIS Benchmarks se desarrollan a través de un proceso basado en el consenso en el que participan comunidades de profesionales de la ciberseguridad de todo el mundo. Estos expertos identifican, refinan y validan continuamente las buenas prácticas dentro de sus áreas de enfoque para ayudar a las organizaciones a proteger sus recursos digitales de los riesgos cibernéticos.

CIS ha publicado más de 100 CIS Benchmarks, que abarcan ocho categorías y cubren más de 25 familias de productos de proveedores¹. Están disponibles mediante descarga gratuita en PDF para uso no comercial.

CIS Benchmarks ayudan a las organizaciones a mejorar su posición de seguridad siguiendo estándares de seguridad prescriptivos y reconocidos mundialmente y directrices de ciberdefensa. CIS Benchmarks también respaldan casos de uso como el cumplimiento normativo, el gobierno de TI y la política de seguridad.

Fundado en octubre de 2000, el CIS es una organización sin ánimo de lucro cuya misión es "hacer del mundo conectado un lugar más seguro mediante el desarrollo, la validación y la promoción de soluciones oportunas de buenas prácticas que ayuden a las personas, las empresas y los gobiernos a protegerse contra las ciberamenazas generalizadas"².

Las comunidades de CIS Benchmarks, un grupo de más de 12 000 profesionales de seguridad de TI que contribuyen al desarrollo de las buenas prácticas de CIS Benchmarks, están abiertas a cualquiera que quiera contribuir. Las comunidades están formadas por voluntarios e incluyen expertos en la materia, proveedores, redactores técnicos, evaluadores y otros miembros del CIS de todo el mundo.

El CIS también alberga el Multi-State Information Sharing and Analysis Center (MS-ISAC), que proporciona recursos de prevención, protección, respuesta y recuperación de ciberamenazas para las entidades de gobierno estatales, locales, tribales y territoriales (SLTT) de EE. UU. También es la sede del Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), que respalda las necesidades de ciberseguridad de las oficinas electorales estadounidenses³.

Los niveles de perfil CIS se refieren a diferentes niveles de recomendación de seguridad y contienen múltiples configuraciones para diferentes productos.

El nivel 1 cubre las configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad empresarial.

El nivel 2 se aplica a entornos de alta seguridad que requieren una mayor coordinación y planificación para implementarse con una interrupción mínima del negocio.

STIG es un conjunto de líneas base de configuración que tratan la Guía de implementación técnica de seguridad (STIG), estándares de seguridad publicados y mantenidos por el Departamento de Defensa de EE. UU. (DOD) para cumplir con los requisitos del gobierno de EE. UU.

El perfil STIG del CIS ayuda a las organizaciones a cumplir con STIG. Los sistemas de seguridad configurados con STIG cumplen los requisitos de conformidad de CIS y STIG.

Como se mencionó anteriormente, hay más de 100 CIS Benchmarks agrupadas en ocho categorías tecnológicas de TI, que incluyen:

• Sistemas operativos

• Software de servidor

• Proveedor de nube

• Dispositivo móvil

• Dispositivo de red

• Software de escritorio

• Dispositivo de impresión multifunción

• Herramientas DevSecOps

Esta categoría cubre las configuraciones de seguridad de los sistemas operativos principales, como Microsoft Windows, Linux y macOS de Apple. Estas incluyen directrices de buenas prácticas para restricciones de acceso local y acceso remoto, perfiles de usuario, autenticación, protocolos de instalación de controlador y configuraciones de navegadores de Internet.

Esta categoría cubre las configuraciones de seguridad del software de servidor ampliamente utilizado, incluidos Microsoft Windows Server, SQL Server y VMware. También es compatible con plataformas de código abierto de contenerización, como Docker y Kubernetes.

Las referencias incluyen recomendaciones para configurar los certificados PKI (infraestructura de clave pública) de Kubernetes, la configuración del servidor de la interfaz de programación de aplicaciones (API), los controles de administración del servidor, las políticas de vNetwork y las restricciones de almacenamiento.

Esta categoría se dirige a las configuraciones de seguridad para Amazon Web Services (AWS), Microsoft Azure, Google, IBM y otros entornos de nube pública populares. Las referencias incluyen directrices de seguridad en la nube para configurar la gestión de identidades y accesos (IAM), los protocolos de registro del sistema, las configuraciones de red y las garantías de cumplimiento normativo.

Esta categoría trata de los sistemas operativos móviles, incluidos iOS y Android, y se centra en áreas como las opciones y ajustes del desarrollador, las configuraciones de privacidad del sistema operativo, la configuración del navegador y los permisos de las aplicaciones.

Esta categoría ofrece pautas de configuración de seguridad generales y específicas del proveedor para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.

Esta categoría cubre las configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y el navegador Safari. Estas referencias se centran en la privacidad del correo electrónico y la configuración del servidor, la gestión de dispositivos móviles, la configuración predeterminada del navegador y el bloqueo de software de terceros.

Esta categoría describe las buenas prácticas de seguridad para configurar impresoras multifunción en entornos de oficina. Abarca la actualización del firmware, las configuraciones TCP/IP, la configuración del acceso inalámbrico, la gestión de usuarios, el uso compartido de archivos y mucho más.

Esta categoría cubre la cadena de suministro de software y ayuda a los equipos a proteger los pipelines de DevSecOps. Ofrece buenas prácticas para los controles de seguridad a lo largo del ciclo de vida del desarrollo de software, desde el diseño inicial hasta la integración, las pruebas, la entrega y la implementación.

A lo largo de los años, CIS ha producido y distribuido otras herramientas gratuitas y soluciones de pago que respaldan las CIS Benchmarks. Estos recursos ayudan a las organizaciones a reforzar aún más su preparación para la ciberseguridad.

Anteriormente conocidos como SANS Critical Security Controls (SANS Top 20 Controls), CIS Critical Security Controls (CSC) es una guía completa de 18 salvaguardas y contramedidas para una defensa ciber crítica eficaz. También conocidos como controles CIS, son de uso gratuito y proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque.

Las CIS Benchmarks hacen referencia a estas buenas prácticas de ciberseguridad cuando se refieren a recomendaciones para configuraciones de sistemas más seguras.

CIS también ofrece imágenes reforzadas preconfiguradas que permiten a las empresas realizar operaciones informáticas de forma rentable sin necesidad de invertir en hardware o software adicional. Las imágenes reforzadas son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.

CIS Hardened Images están diseñadas y configuradas de acuerdo con CIS Benchmarks y CIS Controls, y se reconoce que cumplen plenamente con varias organizaciones de cumplimiento normativo. Las imágenes reforzadas de CIS están disponibles en casi todas las principales plataformas de cloud computing y son fáciles de implementar y gestionar.

El programa de membresía CIS SecureSuite proporciona a las organizaciones herramientas y recursos de ciberseguridad. La membresía es gratuita para las instituciones gubernamentales y académicas estadounidenses SLTT (estatales, locales, tribales y territoriales), mientras que las opciones de pago varían para los usuarios comerciales y las entidades gubernamentales extranjeras.

CIS WorkBench es una plataforma centralizada que reúne a CIS Controls y comunidades de CIS Benchmarks, lo que permite la colaboración para el desarrollo continuo de las CIS Benchmarks.

Disponible para los miembros de CIS SecureSuite, el kit de compilación CIS SecureSuite consta de recursos que proporcionan automatización de seguridad y corrección de sistemas a las CIS Benchmarks.

La herramienta de evaluación de la configuración (CAT) de CIS proporciona escaneos automatizados de los ajustes de configuración de un sistema en comparación con CIS Benchmarks. Está disponible para los miembros de CIS SecureSuite.

El CIS-CAT Lite es una herramienta gratuita para evaluar sistemas de TI. En comparación con el CIS-Cat Pro, esta versión limitada ofrece evaluaciones de nivel básico frente a menos CIS Benchmarks.

Las CIS Benchmarks ayudan a las organizaciones con estrategias de gobierno, riesgo y cumplimiento (GRC) para gestionar el gobierno y los riesgos, manteniendo al mismo tiempo el cumplimiento con las normativas de sectores y gobierno.

Las CIS Benchmarks se alinean estrechamente con los marcos normativos de seguridad y privacidad de datos, o "se corresponden con ellos". Como resultado, cualquier organización que opere en un sector regido por este tipo de normativas puede avanzar significativamente hacia el cumplimiento si se adhiere a CIS Benchmarks. Estos organismos reguladores incluyen:

• El marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) proporciona una guía completa y buenas prácticas que las organizaciones del sector privado pueden seguir para mejorar la seguridad de la información (InfoSec) y la gestión de riesgos de ciberseguridad.

• El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un conjunto de requisitos de seguridad para proteger los datos de los titulares de tarjetas, números de cuenta principales (PAN), nombres, fechas de caducidad, códigos de servicio, y otra información sensible de los titulares a lo largo de su ciclo de vida.

• La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece los requisitos para el uso, la divulgación y el almacenamiento seguro de la información médica protegida (PHI).

• ISO/IEC 27001, también conocida como ISO 27001, es la principal norma de seguridad de la información reconocida a nivel mundial, desarrollada conjuntamente por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Proporciona un enfoque sistemático, estructurado y basado en el riesgo para gestionar y proteger los activos de información confidencial.

• El RGPD (Reglamento General de Protección de Datos) es la ley de la Unión Europea (UE) que rige cómo las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE.

Aunque las empresas siempre son libres de tomar sus propias decisiones en torno a las configuraciones de seguridad, CIS Benchmarks ofrecen una serie de beneficios:

• Estándares reconocidos por el sector: desarrollados por una comunidad global de profesionales de TI y ciberseguridad, las CIS Benchmarks ayudan a las empresas a establecer un fuerte compromiso con la ciberseguridad y aumentar la confianza de los clientes y los stakeholders.

• Orientación actualizada periódicamente: CIS Benchmarks ofrecen orientación actualizada periódicamente, paso a paso para ayudar a las organizaciones a proteger todos los aspectos de la infraestructura de TI. Por ejemplo, las CIS Benchmarks relacionadas con Windows se actualizan periódicamente a la última versión dentro de los 90 días posteriores a su lanzamiento. Además, las CIS Hardened Images se actualizan cada mes para mantenerlas al día con las buenas prácticas de seguridad más recientes.

• Soporte para gobierno, riesgo y cumplimiento (GRC): CIS Benchmarks proporcionan un marco para ayudar a las organizaciones a abordar el gobierno, el riesgo y el cumplimiento (GRC), una estrategia organizacional para gestionar el gobierno y los riesgos mientras se mantiene el cumplimiento de las regulaciones gubernamentales y de la industria.

• Personalización: las CIS Benchmarks proporcionan una plantilla flexible para adoptar de forma segura nuevos servicios cloud y cargas de trabajo y ejecutar estrategias de transformación digital. Por ejemplo, los miembros de CIS SecureSuite pueden adaptar las CIS Benchmarks dentro de la plataforma CIS WorkBench para satisfacer sus requisitos específicos de negocio y tecnología.

• Flexibilidad: las CIS Benchmarks proporcionan una recomendación de referencia para la configuración de seguridad, incluidos firewalls, enrutadores y servidores. También ofrecen directrices específicas del proveedor para ayudar a configurar y gestionar sistemas y dispositivos. Esta combinación de características neutrales y específicas del proveedor respalda la flexibilidad para que los sistemas puedan adaptarse a las necesidades cambiantes.

• Facilidad de implementación: DevSecOps y otros equipos confían en CIS Benchmarks para configuraciones de seguridad fáciles de implementar para mejorar la eficiencia operativa y la sostenibilidad.