Los puntos de referencia de CIS son una recopilación de prácticas recomendadas para configurar de forma segura sistemas de TI, software, redes e infraestructura de nube.
El Center for Internet Security (CIS) publica los puntos de referencia de CIS. A la fecha de esta publicación, existen más de 140 puntos de referencia de CIS en total, distribuidos en siete categorías de tecnología básicas. Los puntos de referencia de CIS se desarrollan a través de un proceso único basado en consenso que involucra a comunidades de profesionales de ciberseguridad y expertos en la materia de todo el mundo, cada uno de los cuales identifica, refina y valida continuamente las mejores prácticas de seguridad dentro de sus áreas de enfoque.
El CIS (enlace externo a ibm.com) es una organización sin fines de lucro establecida en octubre de 2000. El CIS está impulsado por una comunidad de TI global con el objetivo común de identificar, desarrollar, validar, promover y mantener soluciones de mejores prácticas para la defensa cibernética. A lo largo de los años, el CIS ha producido y distribuido varias herramientas y soluciones gratuitas para empresas de todos los tamaños, diseñadas para fortalecer su preparación para la ciberseguridad.
El CIS es más conocido por su lanzamiento de CIS Controls (enlace externo a ibm.com), una guía completa de 20 medidas de seguridad y contramedidas para una defensa cibernética eficaz. Los controles de CIS proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque. Los puntos de referencia de CIS hacen referencia a estos controles al crear recomendaciones para configuraciones de sistema mejor aseguradas.
Cada punto de referencia de CIS incluye varias recomendaciones de configuración basadas en uno de los dos niveles de perfil. Los perfiles de punto de referencia de Nivel 1 cubren configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad del negocio. Los perfiles de punto de referencia de Nivel 2 están destinados a entornos de alta seguridad y requieren más coordinación y planificación para implementarse con la mínima disrupción del negocio.
Hay siete (7) categorías básicas de puntos de referencia de CIS:
- Los puntos de referencia de sistemas operativos cubren configuraciones de seguridad de los sistemas operativos centrales, como Microsoft Windows, Linux y Apple OSX. Incluyen directrices de prácticas recomendadas para restricciones de acceso local y remoto, perfiles de usuario, protocolos de instalación de controladores y configuraciones de navegador de Internet.
- Los puntos de referencia de software de servidor cubren configuraciones de seguridad de software de servidor ampliamente utilizado, incluido Microsoft Windows Server, SQL Server, VMware, Docker y Kubernetes. Estos puntos de referencia incluyen recomendaciones para configurar certificados PKI de Kubernetes, ajustes de servidores de API, controles de administración del servidor, políticas de vNetwork y restricciones de almacenamiento.
- Los puntos de referencia de proveedor de nube abordan configuraciones de seguridad por Servicios web de Amazon (AWS), Microsoft Azure, Google, IBM y otras nubes publicas populares. Incluyen pautas para configurar la gestión de identidades y accesos (IAM), protocolos de registro del sistema, configuraciones de red y medidas de seguridad de conformidad normativa.
- Los puntos de referencia de dispositivos móviles abordan los sistemas operativos móviles, incluidos iOS y Android, y se centran en áreas como las opciones y configuraciones del desarrollador, las configuraciones de privacidad del sistema operativo, la configuración del navegador y los permisos de las aplicaciones.
- Los puntos de referencia de dispositivos de red ofrecen guías de configuración de seguridad generales y específicas del proveedor para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.
- Los puntos de referencia de software de desktop cubren configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y Safari Browser. Estos puntos de referencia se centran en la privacidad del e-mail y la configuración del servidor, la administración de dispositivos móviles, la configuración predeterminada del navegador y el bloqueo de software de terceros.
- Los puntos de referencia de dispositivo de impresión multifunción describen las mejores prácticas de seguridad para configurar impresoras multifunción en entornos de oficina y cubre temas como actualización de firmware, configuraciones de TCP / IP, configuración de acceso inalámbrico, gestión de usuarios y uso compartido de archivos.
El CIS también ofrece imágenes reforzadas (Hardened Images) que permiten a las empresas realizar operaciones informáticas rentables sin necesidad de invertir en hardware o software adicional. Las imágenes reforzadas son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.
Las imágenes reforzadas de CIS (enlace externo a ibm.com) se diseñaron y configuraron de acuerdo con los puntos de referencia y controles de CIS y se ha reconocido que cumplen plenamente con varias organizaciones de conformidad normativa. Las imágenes reforzadas CIS están disponibles para su uso en casi todas las plataformas de computación en la nube y son fáciles de implementar y gestionar.
Los puntos de referencia de CIS se alinean estrechamente con los marcos regulatorios de seguridad y privacidad de los datos, o se "asignan" a ellos, incluido el Marco de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) (PCI DSS), HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) e ISO/EIC 2700. Como resultado, cualquier organización que opere en una industria regida por este tipo de regulaciones puede lograr un progreso significativo hacia la conformidad si se adhiere a los puntos de referencia de CIS. Además, los controles de CIS y las imágenes reforzadas de CIS pueden ayudar a respaldar el cumplimiento de una organización con el GDPR (el Reglamento general de protección de datos de la UE).
Si bien las empresas siempre son libres de tomar sus propias decisiones sobre las configuraciones de seguridad, los puntos de referencia de CIS ofrecen:
- La experiencia recopilada de una comunidad global de profesionales de TI y ciberseguridad
- Orientación paso a paso actualizada regularmente para proteger cada área de la infraestructura de TI
- Consistencia en la gestión de conformidad
- Una plantilla de flexibilidad para adoptar de forma segura nuevos servicios en la nube y ejecutar estrategias de transformación digital
- Configuraciones fáciles de implementar para mejorar la eficiencia operativa y la sustentabilidad.
Migre a la multinube híbrida con total confianza e integre la seguridad en cada fase de su ruta hacia la nube.Proteja y supervise sus datos, aplicaciones y entornos con los servicios de seguridad de IBM.
Controle la configuración de recursos en la nube y gestione de forma centralizada la conformidad con las directrices normativas y de la organización.
La tecnología y las mejores prácticas de ciberseguridad protegen los sistemas importantes y la información confidencial de una cantidad cada vez mayor de amenazas en constante evolución.
Kubernetes es una plataforma de orquestación de contenedores de código abierto que automatiza la implementación, la gestión y el escalamiento de aplicaciones en contenedores.