Los puntos de referencia de CIS son una recopilación de prácticas recomendadas para configurar de forma segura sistemas de TI, software, redes e infraestructura de nube.
El Center for Internet Security (CIS) publica los puntos de referencia de CIS. A la fecha de esta publicación, existen más de 140 puntos de referencia de CIS en total, distribuidos en siete categorías de tecnología básicas. Los puntos de referencia de CIS se desarrollan a través de un proceso único basado en consenso que involucra a comunidades de profesionales de ciberseguridad y expertos en la materia de todo el mundo, cada uno de los cuales identifica, refina y valida continuamente las mejores prácticas de seguridad dentro de sus áreas de enfoque.
El CIS (enlace externo a ibm.com) es una organización sin fines de lucro establecida en octubre de 2000. El CIS está impulsado por una comunidad de TI global con el objetivo común de identificar, desarrollar, validar, promover y mantener soluciones de mejores prácticas para la defensa cibernética. A lo largo de los años, el CIS ha producido y distribuido varias herramientas y soluciones gratuitas para empresas de todos los tamaños, diseñadas para fortalecer su preparación para la ciberseguridad.
El CIS es más conocido por su lanzamiento de CIS Controls (enlace externo a ibm.com), una guía completa de 20 medidas de seguridad y contramedidas para una defensa cibernética eficaz. Los controles de CIS proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque. Los puntos de referencia de CIS hacen referencia a estos controles al crear recomendaciones para configuraciones de sistema mejor aseguradas.
Cada punto de referencia de CIS incluye varias recomendaciones de configuración basadas en uno de los dos niveles de perfil. Los perfiles de punto de referencia de Nivel 1 cubren configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad del negocio. Los perfiles de punto de referencia de Nivel 2 están destinados a entornos de alta seguridad y requieren más coordinación y planificación para implementarse con la mínima disrupción del negocio.
Hay siete (7) categorías básicas de puntos de referencia de CIS:
El CIS también ofrece imágenes reforzadas (Hardened Images) que permiten a las empresas realizar operaciones informáticas rentables sin necesidad de invertir en hardware o software adicional. Las imágenes reforzadas son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.
Las imágenes reforzadas de CIS (enlace externo a ibm.com) se diseñaron y configuraron de acuerdo con los puntos de referencia y controles de CIS y se ha reconocido que cumplen plenamente con varias organizaciones de conformidad normativa. Las imágenes reforzadas CIS están disponibles para su uso en casi todas las plataformas de computación en la nube y son fáciles de implementar y gestionar.
Los puntos de referencia de CIS se alinean estrechamente con los marcos regulatorios de seguridad y privacidad de los datos, o se "asignan" a ellos, incluido el Marco de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) (PCI DSS), HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) e ISO/EIC 2700. Como resultado, cualquier organización que opere en una industria regida por este tipo de regulaciones puede lograr un progreso significativo hacia la conformidad si se adhiere a los puntos de referencia de CIS. Además, los controles de CIS y las imágenes reforzadas de CIS pueden ayudar a respaldar el cumplimiento de una organización con el GDPR (el Reglamento general de protección de datos de la UE).
Si bien las empresas siempre son libres de tomar sus propias decisiones sobre las configuraciones de seguridad, los puntos de referencia de CIS ofrecen:
Migre a la multinube híbrida con total confianza e integre la seguridad en cada fase de su ruta hacia la nube.Proteja y supervise sus datos, aplicaciones y entornos con los servicios de seguridad de IBM.
Controle la configuración de recursos en la nube y gestione de forma centralizada la conformidad con las directrices normativas y de la organización.
La tecnología y las mejores prácticas de ciberseguridad protegen los sistemas importantes y la información confidencial de una cantidad cada vez mayor de amenazas en constante evolución.
Kubernetes es una plataforma de orquestación de contenedores de código abierto que automatiza la implementación, la gestión y el escalamiento de aplicaciones en contenedores.