I benchmark CIS sono una raccolta di best practice per la configurazione sicura di sistemi IT, software, reti e infrastruttura cloud.

I benchmark CIS sono pubblicati dal Center for Internet Security (CIS). Al momento della stesura del presente documento, esistono in totale più di 140 benchmark CIS, che coprono sette categorie tecnologiche principali. I benchmark CIS sono sviluppati attraverso un processo basato sul consenso univoco che coinvolge community di professionisti ed esperti in materia di sicurezza informatica in tutto il mondo, ognuno dei quali identifica, perfeziona e convalida continuamente best practice di sicurezza all'interno delle proprie aree di interesse.

CIS (link esterno a ibm.com) è un'organizzazione senza scopo di lucro fondata nel mese di ottobre del 2000. Il CIS è guidato da una community IT globale con l'obiettivo comune di identificare, sviluppare, convalidare, promuovere e sostenere le soluzioni best practice per la difesa informatica. Nel corso degli anni, CIS ha prodotto e distribuito diversi strumenti e soluzioni gratuiti per aziende di tutte le dimensioni, ideati per potenziare la loro preparazione in materia di sicurezza informatica.

Il CIS più comunemente conosciuto per la pubblicazione di CIS Controls (link esterno a ibm.com), una guida completa di 20 misure di sicurezza e contromisure per un'efficace difesa informatica. I controlli CIS forniscono un elenco di controllo ordinato in base alla priorità che le organizzazioni possono implementare per ridurre notevolmente la superficie esposta ad attacchi informatici. I benchmark CIS fanno riferimento a questi controlli quando generano consigli per delle configurazioni di sistema protette meglio.

Ogni benchmark CIS include più consigli di configurazione basati su uno dei due livelli di profilo. I profili benchmark di livello 1 riguardano configurazioni di livello base che sono più facili da implementare e hanno un impatto minimo sulla funzionalità dell'azienda. I profili benchmark di livello 2 sono destinati ad ambienti ad elevati standard di sicurezza e richiedono più coordinamento e pianificazione per l'implementazione con un'interruzione minima dell'attività aziendale.

Esistono sette (7) categorie principali di benchmark CIS:

1. I benchmark dei sistemi operativi riguardano le configurazioni di sicurezza dei principali sistemi operativi, come ad esempio Microsoft Windows, Linux e Apple OSX. Includono linee guida di best practice per restrizioni dell'accesso locale e remoto, profili utente, protocolli di installazione di driver e configurazioni di browser internet
   
   
2. I benchmark di software server riguardano le configurazioni di sicurezza di software server ampiamente utilizzati, inclusi Microsoft Windows Server, SQL Server, VMWare, Docker e Kubernetes. Questi benchmark includono consigli di configurazione di certificati PKI Kubernetes, impostazione di server API, controlli amministrativi dei server, politiche vNetwork e restrizioni di storage.
   
   
3. I benchmark di provider cloud si occupano delle configurazioni di sicurezza per AWS (Amazon Web Services), Microsoft Azure, Google, IBM e altri diffusi cloud pubblici. Includono linee guida per la configurazione di IAM (identity and access management), protocolli di log di sistema, configurazioni di rete e misure per la salvaguardia della conformità normativa.
   
   
4. I benchmark di dispositivi mobili si occupano dei sistemi operativi dei dispositivi mobili, inclusi iOS e Android, e si focalizzano su aree quali opzioni e impostazioni per gli sviluppatori, configurazioni della privacy del sistema operativo, impostazioni del browser e autorizzazioni delle applicazioni.
   
   
5. I benchmark di dispositivi di rete offrono linee guida generali e specifiche per i fornitori per la configurazione della sicurezza dei dispositivi di rete e dell'hardware applicabile di Cisco, Palo Alto Networks, Juniper e altri ancora.
   
   
6. I benchmark di software desktop riguardano le configurazioni di sicurezza per alcune delle applicazioni software desktop più comunemente utilizzate, tra cui Microsoft Office ed Exchange Server, Google Chrome, Mozilla Firefox e Safari Browser. Questi benchmark si focalizzano su privacy delle e-mail e impostazioni dei server, gestione dei dispositivi mobili, impostazioni predefinite dei browser e blocco del software di terze parti.
   
   
7. I benchmark di dispositivi di stampa multifunzione delineano le best practice di sicurezza per la configurazione di stampanti multifunzione in contesti di ufficio e trattano argomenti quali aggiornamento firmware, configurazioni TCP/IP, configurazione dell'accesso wireless, gestione utenti e condivisione di file.

CIS offre anche immagini con protezione avanzata, preconfigurate, che consentono alle aziende di eseguire operazioni di elaborazione a costi contenuti senza dover investire in hardware o software aggiuntivo. Le immagini con protezione avanzata sono molto più sicure delle immagini virtuali standard e limitano in modo significativo le vulnerabilità della sicurezza che possono condurre a un attacco informatico.

Le immagini con protezione avanzata CIS (link esterno a ibm.com) sono state progettate e configurate in conformità con i benchmark e i controlli CIS e sono state riconosciute come pienamente conformi con varie organizzazioni che si occupano di conformità alle normative. Le immagini con protezione avanzata CIS sono disponibili per l'uso in quasi tutte le principali piattaforme di cloud computing e sono facili da implementare e da gestire.

I benchmark CIS sono strettamente allineati - o "associati" - a framework normativi di sicurezza e privacy dei dati, che includono NIST (National Institute of Standards and Technology) Cybersecurity Framework, PCI DSS (Payment Card Industry Data Security Standard) (PCI DSS), HIPAA (Health Insurance Portability and Accountability Act) e ISO/EIC 2700. Di conseguenza, qualsiasi organizzazione che operi in un settore regolamentato da questi tipi di normative può fare significativi progressi verso la conformità aderendo ai benchmark CIS. Inoltre, i controlli CIS e le immagini con protezione avanzata CIS possono contribuire a supportare la conformità di un'organizzazione al Regolamento generale sulla protezione dei dati (GDPR) dell'UE.

Sebbene le aziende siano sempre libere di fare le proprie scelte in merito alle configurazioni di sicurezza, i benchmark CIS offrono:

• Le competenze acquisite da una community globale di professionisti di IT e sicurezza informatica
  
  
• Indicazioni dettagliate, regolarmente aggiornate, per la messa in sicurezza di ogni area dell'infrastruttura IT
  
  
• Coerenza nella gestione della conformità
  
  
• Un modello di flessibilità per adottare in sicurezza nuovi servizi cloud e per eseguire strategie di trasformazione digitale
  
  
• Configurazioni di facile implementazione per una maggiore efficienza operativa e sostenibilità.