CIS (Critical Security Controls )

Los controles de seguridad críticos de CIS son un conjunto recomendado de acciones para la defensa cibernética que brindan formas específicas y procesables para detener los ataques más generalizados y peligrosos de la actualidad. Un beneficio principal de los Controles es que priorizan y enfocan un número menor de acciones con resultados de alta rentabilidad.
 Los controles son efectivos porque se derivan de los patrones de ataque más comunes que se destacan en los principales informes de amenazas y se examinan en una comunidad muy amplia de profesionales del gobierno y de la industria. Fueron creados por personas que saben cómo funcionan los ataques: los equipos NSA Red y Blue, los laboratorios de energía nuclear del Departamento de Energía de los EE. UU., Las organizaciones encargadas de hacer cumplir la ley y algunas de las principales organizaciones forenses y de respuesta a incidentes de la nación. Tenemos que hacer para detener los ataques conocidos ". Ese grupo de expertos llegó a un consenso y hoy tenemos los controles más actuales. La clave para el valor continuo es que los Controles se actualizan en función de los nuevos ataques identificados y analizados por grupos desde Verizon a Symantec para que los Controles puedan detener o mitigar esos ataques.
Los Controles toman los mejores datos de amenazas de su clase y los transforman en una guía práctica para mejorar la seguridad individual y colectiva en el ciberespacio. Muy a menudo en la ciberseguridad, parece que los "malos" están mejor organizados y colaboran más estrechamente que los "buenos". Los Controles proporcionan un medio para cambiar eso.
 es una publicación de las mejores prácticas para la seguridad informática . El proyecto se inició a principios de 2008 como una respuesta a las pérdidas extremas de datos experimentadas por organizaciones en la base industrial de defensa de EE. UU. Y recientemente.  La publicación fue desarrollada inicialmente por el Instituto SANS , la propiedad se transfirió al Consejo de Seguridad Cibernética (CCS) en 2013 y luego se transfirió al Centro de Seguridad de Internet (CIS) en 2015. Anteriormente se conocía como las Pautas de Auditoría del Consenso. y también se conoce como CIS CSC, CIS 20, CCS CSC, SANS Top 20 o CAG 20.
 Los controles de seguridad ofrecen recomendaciones efectivas para la seguridad cibernética, escritas en un lenguaje que es fácil de entender para el personal de TI .  Los objetivos de las directrices de auditoría de consenso incluyen:
  • Aproveche el delito cibernético para informar a la defensa cibernética, centrándose en áreas de alta rentabilidad,
  • Asegúrese de que las inversiones en seguridad estén enfocadas para contrarrestar las amenazas más altas,
  • Maximice el uso de la automatización para hacer cumplir los controles de seguridad, negando así los errores humanos, y
  • Utilice el proceso de consenso para recoger las mejores ideas. 

Algunos de los controles son:


CSC 1 : Inventario de dispositivos autorizados y no autorizados
 CSC 2 : Inventario de software autorizado y no autorizado
 CSC 3 : Configuraciones seguras para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
 CSC 4 : Evaluación de vulnerabilidad continua y corrección
 CSC 5 : Uso controlado de los privilegios administrativos
 CSC 6 : Mantenimiento, monitoreo y análisis de registros de auditoría
 CSC 7 : Protecciones de correo electrónico y navegador web
 CSC 8 : Defensas de malware
 CSC 9 : Limitación y control de puertos, protocolos y servicios de red
 CSC 10 : Capacidad de recuperación de datos
 CSC 11: Configuraciones seguras para dispositivos de red como cortafuegos, enrutadores y conmutadores
 CSC 12 : Defensa de límites
 CSC 13 : Protección de datos
 CSC 14 : Acceso controlado basado en la necesidad de saber
 CSC 15 : Control de acceso inalámbrico
 CSC 16 : Monitoreo y control de cuentas
 CSC 17 : Evaluación de habilidades de seguridad y capacitación adecuada para llenar los vacíos
 CSC 18 : Seguridad del software de aplicación
 CSC 19 : Respuesta y gestión de incidentes
 CSC 20 : Pruebas de penetración y ejercicios del equipo rojo.
A partir de 2009, el Departamento de Estado de EE. UU. Comenzó a complementar su programa de calificación de riesgo en parte utilizando las Pautas de Auditoría del Consenso. Según las mediciones del Departamento, en el primer año de calificación de sitios utilizando este enfoque, el departamento redujo el riesgo general en su red no clasificada clave en casi un 90 por ciento en sitios en el extranjero, y en un 89 por ciento en sitios nacionales
“Understanding Technology Stakeholders: Their Progress and Challenges” by John M. Gilligan, Software Assurance Forum, November 4, 2009

 https://www.sans.org/critical-security-controls
https://en.wikipedia.org/wiki/The_CIS_Critical_Security_Controls_for_Effective_Cyber_Defense

Comentarios

Publicar un comentario

Entradas más populares de este blog

ITAF

Imagen
por Palomino Flores Uriel Funciones El Marco de Garantía de la Tecnología de la Información (ITAF, por sus siglas en inglés), publicado por ISACA, es un modelo integral y de establecimiento de buenas prácticas que: Proporciona orientación sobre el diseño, la realización y la presentación de informes de las tareas de auditoría y aseguramiento de TI Define términos y conceptos específicos para el aseguramiento de TI; Establece estándares que abordan las funciones y responsabilidades profesionales de auditoría y aseguramiento de TI; conocimientos y habilidades; y diligencia, conducta y requisitos de información. ITAF proporciona una fuente única a través de la cual los profesionales de auditoria y aseguramiento de TI pueden buscar orientación, investigar políticas y procedimientos, obtener programas de auditoria y aseguramiento y desarrollar informes efectivos. Si bien ITAF incorpora los estándares y la guía de ISACA existentes, se ha diseñado para ser un documento vivo.
Leer más

MOF

Imagen
Definición El Manual de Organización y Funciones (MOF) es un documento técnico normativo de gestión institucional donde se describe y establece la función básica, las funciones específicas, las relaciones de autoridad, dependencia y coordinación, así cómo los requisitos de los cargos o puestos de trabajo.  Utilidad   Determina las funciones específicas de los cargos o puestos de trabajo, cuyo cumplimiento contribuye a lograr que se cumplan los objetivos funcionales de las unidades orgánicas de cada dependencia, así como las responsabilidades y obligaciones asignadas al cargo o puesto de trabajo, en concordancia con el marco legal y normativo correspondiente.   Proporciona información a los directivos y personal sobre sus funciones y ubicación en la estructura orgánica de la entidad.   Ayuda a la simplificación administrativa, proporcionando información sobre las funciones que les corresponde desempeñar al personal, al ocupar los cargos o puestos de trabajo, que constitu
Leer más

SABSA

Imagen
SABSA es un marco de seguridad impulsado por el negocio para empresas que se basa en el riesgo y las oportunidades asociadas con él. SABSA no ofrece ningún control específico y se basa en otros, como la Organización Internacional para la Estandarización (ISO) o los procesos COBIT. Es puramente una metodología para asegurar la alineación del negocio y un marco de "vida útil": se aplica a lo largo de todo el ciclo de vida, desde la ingeniería de requisitos empresariales hasta la gestión de las soluciones entregadas. La metodología SABSA tiene seis capas (cinco horizontales y una vertical). Cada capa tiene un propósito y vista diferente. La capa contextual está en la parte superior e incluye los requisitos y objetivos del negocio. La segunda capa es la capa conceptual, que es la vista de arquitectura. La figura 1 muestra las seis capas de este marco. SABSA se compone de una serie de marcos, modelos, métodos y procesos integrados, que se utilizan de forma
Leer más