Los puntos de referencia de CIS son una recopilación de prácticas recomendadas para configurar de forma segura sistemas de TI, software, redes e infraestructura de nube.

El Center for Internet Security (CIS) publica los puntos de referencia de CIS. A la fecha de esta publicación, existen más de 140 puntos de referencia de CIS en total, distribuidos en siete categorías de tecnología básicas. Los puntos de referencia de CIS se desarrollan a través de un proceso exclusivo basado en el consenso que involucra a comunidades de profesionales de ciberseguridad y expertos en la materia de todo el mundo, cada uno de los cuales identifica, refina y valida continuamente las prácticas recomendadas de seguridad dentro de sus áreas de especialización.

El CIS (enlace externo a ibm.com) es una organización sin fines de lucro establecida en octubre de 2000. El CIS está promovido por una comunidad global de TI con el objetivo común de identificar, desarrollar, validar, promover y mantener soluciones de prácticas recomendadas para la ciberdefensa. Desde su creación, el CIS ha producido y distribuido varias herramientas y soluciones gratuitas para empresas de todos los tamaños, diseñadas para reforzar su ciberseguridad.

El CIS es más conocido por su publicación de los Controles de CIS (enlace externo a ibm.com), un manual completo de 20 medidas de seguridad y contramedidas para una ciberdefensa efectiva. Los controles de CIS proporcionan una lista de comprobación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque. Los puntos de referencia de CIS hacen referencia a estos controles cuando crean recomendaciones para configuraciones de sistema más seguras.

Cada punto de referencia de CIS incluye varias recomendaciones de configuración basadas en uno de los dos niveles de perfil. Los perfiles de punto de referencia de Nivel 1 cubren configuraciones de nivel base que son más fáciles de implementar y con impacto mínimo sobre la funcionalidad del negocio. Los perfiles de punto de referencia de Nivel 2 están destinados a entornos de alta seguridad y requieren más coordinación y planificación para implementarse con la mínima disrupción del negocio.

Hay siete (7) categorías básicas de puntos de referencia de CIS:

1. Los puntos de referencia de sistemas operativos cubren configuraciones de seguridad de los sistemas operativos principales, tales como Microsoft Windows, Linux y Apple OSX. Incluyen directrices de prácticas recomendadas para restricciones de acceso local y remoto, perfiles de usuario, protocolos de instalación de controladores y configuraciones de navegador de Internet.
   
   
2. Los puntos de referencia de software de servidor  cubren configuraciones de seguridad de software de servidor ampliamente utilizado, como Microsoft Windows Server, SQL Server, VMware, Docker y Kubernetes. Estos puntos de referencia incluyen recomendaciones para configurar certificados PKI de Kubernetes, ajustes de servidores de API, controles de administración del servidor, políticas de vNetwork y restricciones de almacenamiento.
   
   
3. Los puntos de referencia de proveedor de nube abordan configuraciones de seguridad para Amazon Web Services (AWS), Microsoft Azure, Google, IBM y otras nubes públicas conocidas. Incluyen directrices para configurar la gestión de accesos e identidades (IAM, por sus siglas en inglés), protocolos del registro de sistemas, configuraciones de red y protecciones para garantizar la conformidad con la normativa.
   
   
4. Los puntos de referencia de dispositivo móvil tratan los sistemas operativos móviles, incluidos iOS y Android, y se centran en áreas como las opciones y ajustes de desarrollador, las configuraciones de privacidad del sistema operativo, los ajustes del navegador y los permisos de las aplicaciones.
   
   
5. Los puntos de referencia de dispositivo de red ofrecen directrices para la configuración de seguridad general y específica del proveedor para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.
   
   
6. Los puntos de referencia de software de escritorio cubren configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y Safari Browser. Estos puntos de referencia se centran en los ajustes del servidor y la privacidad del correo electrónico, la gestión de dispositivos móviles, los ajustes del navegador predeterminado y el bloqueo de software de terceros.
   
   
7. Los puntos de referencia de dispositivos de impresión multifunción describen las prácticas de seguridad recomendadas para configurar impresoras multifunción en entornos de oficina y cubren temas como la actualización de firmware, configuraciones de TCP/IP, configuración de acceso sin cables, gestión de usuarios y uso compartido de archivos.

CIS también ofrece imágenes endurecidas (Hardened Images) que permiten a las empresas realizar operaciones informáticas rentables sin necesidad de invertir en hardware o software adicional. Las imágenes endurecidas son mucho más seguras que las imágenes virtuales estándar y limitan de forma significativa las vulnerabilidades de seguridad que pueden facilitar un ciberataque.

Las imágenes endurecidas de CIS (enlace externo de ibm.com) se diseñaron y configuraron de conformidad con los puntos de referencia y controles de CIS y se ha reconocido su valor por cumplir totalmente con varias organizaciones de conformidad con la normativa. Las imágenes endurecidas de CIS están disponibles para su uso en casi todas las principales plataformas de cloud computing y son fáciles de desplegar y gestionar.

Los puntos de referencia de CIS se alinean estrechamente con los marcos regulatorios de seguridad y protección de datos, incluido el marco de ciberseguridad del NIST (National Institute of Standards and Technology: Instituto Nacional de Estándares y Tecnología), el PCI DSS (Payment Card Industry Data Security Standard), la HIPAA (Health Insurance Portability and Accountability Act) y la ISO/EIC 2700. Como resultado, cualquier organización que opere en un sector regido por este tipo de regulaciones puede lograr un progreso significativo hacia la conformidad si se adhiere a los puntos de referencia de CIS. Además, los controles y las imágenes endurecidas de CIS pueden facilitar la conformidad de una organización con el RGPD (Reglamento General de Protección de Datos de la UE).

Si bien las empresas son libres de tomar sus propias decisiones en torno a las configuraciones de seguridad, los puntos de referencia de CIS ofrecen:

• La experiencia recopilada de una comunidad global de profesionales de TI y ciberseguridad.
  
  
• Directrices paso a paso actualizadas periódicamente para proteger todas las áreas de la infraestructura de TI.
  
  
• Consistencia en la gestión de la conformidad.
  
  
• Una plantilla flexible para adoptar nuevos servicios de nube forma segura y ejecutar estrategias de transformación digital.
  
  
• Configuraciones de fácil despliegue para mejorar la eficiencia operativa y la sostenibilidad.