CIS (el enlace se encuentra fuera de ibm.com) es una organización sin fines de lucro establecida en octubre de 2000. CIS está impulsado por una comunidad de TI global con el objetivo común de identificar, desarrollar, validar, promover y mantener soluciones de mejores prácticas para la defensa cibernética. A lo largo de los años, CIS ha producido y distribuido varias herramientas y soluciones gratuitas para empresas de todos los tamaños, diseñadas para fortalecer su preparación para la ciberseguridad.

CIS es más conocido por su lanzamiento de CIS Controls (el enlace se encuentra fuera de ibm.com), una guía completa de 20 protecciones y contramedidas para una defensa cibernética eficaz. Los controles CIS proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ataque cibernético. Los puntos de referencia de CIS hacen referencia a estos controles al crear recomendaciones para configuraciones de sistema mejor aseguradas.

Cada CIS Benchmark incluye varias recomendaciones de configuración basadas en uno de dos niveles de perfil. Los perfiles de referencia de nivel 1 cubren configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad de negocios. Los perfiles de referencia de nivel 2 están pensados para entornos de alta seguridad y requieren más coordinación y planificación para implementarlos con una interrupción mínima del negocio.

Hay siete (7) categorías principales de puntos de referencia de CIS:

1. Los puntos de referencia de sistemas operativos cubren  configuraciones de seguridad de los sistemas operativos centrales, como  Microsoft Windows, Linux y Apple OSX. Estos incluyen pautas de mejores prácticas para restricciones de acceso local y remoto, perfiles de usuario, protocolos de instalación de controladores y configuraciones de navegador de Internet.
2. Los puntos de referencia de software de servidor cubren configuraciones de seguridad de software de servidor ampliamente utilizado, incluido Microsoft Windows Server, SQL Server, VMware, Docker y Kubernetes. Estos puntos de referencia incluyen recomendaciones para configurar  Certificados PKI de Kubernetes, configuración del servidor API, controles de administración del servidor, políticas de vNetwork y restricciones de almacenamiento.
3. Los puntos de referencia de proveedor de nube abordan configuraciones de seguridad por Servicios web de Amazon (AWS), Microsoft Azure, Google, IBM y otras nubes publicas populares. Incluyen pautas para configurar la administración de identidad y acceso (IAM), protocolos de registro del sistema, configuraciones de red y protecciones de cumplimiento normativo.
4. Los puntos de referencia de dispositivo móvil abordan los sistemas operativos móviles, incluidos iOS y Android, y se centran en áreas como las opciones y configuraciones del desarrollador, las configuraciones de privacidad del sistema operativo, la configuración del navegador y los permisos de las aplicaciones.
5. Los puntos de referencia de dispositivos de red ofrecen guías de configuración de seguridad general y específica del proveedor  para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.
6. Los puntos de referencia de software de escritorio cubren configuraciones de seguridad  para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y Safari Browser. Estos puntos de referencia se centran en la privacidad del e-mail y la configuración del servidor, la administración de dispositivos móviles, la configuración predeterminada del navegador y el bloqueo de software de terceros.
7. Los puntos de referencia de dispositivo de impresión multifunción describen las mejores prácticas de seguridad  para configurar impresoras multifunción en entornos de oficina y cubre temas como actualización de firmware, configuraciones de TCP / IP, configuración de acceso inalámbrico, administración de usuarios y uso compartido de archivos.

CIS también ofrece imágenes reforzadas preconfiguradas que permiten a las empresas realizar operaciones informáticas de forma rentable sin necesidad de invertir en hardware o software adicional. Las imágenes reforzadas son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.

Las imágenes reforzadas CIS (el enlace se encuentra fuera de ibm.com) se diseñaron y configuraron de conformidad con los controles y parámetros de referencia de CIS y se ha reconocido que cumplen plenamente con varias organizaciones de cumplimiento normativo. Las imágenes reforzadas CIS están disponibles para su uso en casi todas las plataformas de computación en la nube y son fáciles de implementar y administrar.

Los puntos de referencia de CIS se alinean estrechamente con los marcos regulatorios de seguridad y privacidad de los datos, o se "asignan" a ellos, incluido el Marco de ciberseguridad del NIST (Instituto Nacional de Estándares y Tecnología), la PCI DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) (PCI DSS), HIPAA (Ley de portabilidad y responsabilidad de seguros médicos) e ISO / EIC 2700. Como resultado, cualquier organización que opere en una industria regida por este tipo de regulaciones puede lograr un progreso significativo hacia el cumplimiento al adherirse a los puntos de referencia de CIS. Además, los controles CIS y las imágenes reforzadas CIS pueden ayudar a respaldar el cumplimiento de una organización con el RGPD (el Reglamento general de protección de datos de la UE).

Si bien las empresas siempre tienen la libertad de tomar sus propias decisiones en torno a las configuraciones de seguridad, las recomendaciones de CIS Benchmarks ofrecen lo siguiente:

• La experiencia acumulada de una comunidad global de profesionales de TI y ciberseguridad.
• Orientaciones paso a paso que se actualizan periódicamente para proteger todas las áreas de la infraestructura de TI.
• Consistencia en la gestión de conformidad.
• Una plantilla de flexibilidad para adoptar de forma segura nuevos servicios en la nube y para ejecutar estrategias de transformación digital.
• Configuraciones fáciles de implementar para mejorar la eficiencia operativa y la sostenibilidad.

Algunos de los principales obstáculos a los que se enfrentan las organizaciones al escalar su negocio y avanzar hacia la adopción de la nube pública están relacionados con la preparación para la ciberseguridad. IBM se ha asociado con el Center of Internet Security (CIS) durante años para establecer el mejor proceso de seguridad para los clientes que utilizan sus servicios en la nube y tecnologías de soporte.

En colaboración con CIS, IBM ha sido galardonada con los puntos de referencia de certificación de software de seguridad CIS (el enlace reside fuera de ibm.com) en una variedad de productos IBM. El punto de referencia más reciente, IBM Cloud Foundations, incluye Gestión de identidades y accesos (IAM), registro y monitoreo, cómputo, redes, almacenamiento, base de datos como servicio (DBaaS), Kubernetes, cifrado de claves e IBM Cloud Security and Compliance Center.

Para obtener más información sobre los puntos de referencia de CIS y orientación sobre cómo configurar y proteger mejor su entorno de nube, explore la suite de servicios de seguridad en la nube de IBM. Regístrese para obtener un ID de IBM (IBMid) y crear su cuenta de IBM Cloud.