Publicados por el Centro para la Seguridad de Internet (CIS), CIS Benchmarks son buenas prácticas para configurar de forma segura los sistemas de TI, el software, las redes y la nube.
CIS Benchmarks se desarrollan a través de un proceso basado en el consenso en el que participan comunidades de profesionales de la ciberseguridad de todo el mundo. Estos expertos identifican, refinan y validan continuamente las buenas prácticas dentro de sus áreas de enfoque para ayudar a las organizaciones a proteger sus recursos digitales de los riesgos cibernéticos.
CIS ha publicado más de 100 CIS Benchmarks, que abarcan ocho categorías y cubren más de 25 familias de productos de proveedores1. Están disponibles mediante descarga gratuita en PDF para uso no comercial.
CIS Benchmarks ayudan a las organizaciones a mejorar su posición de seguridad siguiendo estándares de seguridad prescriptivos y reconocidos mundialmente y directrices de ciberdefensa. CIS Benchmarks también respaldan casos de uso como el cumplimiento normativo, el gobierno de TI y la política de seguridad.
Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.
Fundado en octubre de 2000, el CIS es una organización sin ánimo de lucro cuya misión es "hacer del mundo conectado un lugar más seguro mediante el desarrollo, la validación y la promoción de soluciones oportunas de buenas prácticas que ayuden a las personas, las empresas y los gobiernos a protegerse contra las ciberamenazas generalizadas"2.
Las comunidades de CIS Benchmarks, un grupo de más de 12 000 profesionales de seguridad de TI que contribuyen al desarrollo de las buenas prácticas de CIS Benchmarks, están abiertas a cualquiera que quiera contribuir. Las comunidades están formadas por voluntarios e incluyen expertos en la materia, proveedores, redactores técnicos, evaluadores y otros miembros del CIS de todo el mundo.
El CIS también alberga el Multi-State Information Sharing and Analysis Center (MS-ISAC), que proporciona recursos de prevención, protección, respuesta y recuperación de ciberamenazas para las entidades de gobierno estatales, locales, tribales y territoriales (SLTT) de EE. UU. También es la sede del Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), que respalda las necesidades de ciberseguridad de las oficinas electorales estadounidenses3.
Los niveles de perfil CIS se refieren a diferentes niveles de recomendación de seguridad y contienen múltiples configuraciones para diferentes productos.
El nivel 1 cubre las configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad empresarial.
El nivel 2 se aplica a entornos de alta seguridad que requieren una mayor coordinación y planificación para implementarse con una interrupción mínima del negocio.
STIG es un conjunto de líneas base de configuración que tratan la Guía de implementación técnica de seguridad (STIG), estándares de seguridad publicados y mantenidos por el Departamento de Defensa de EE. UU. (DOD) para cumplir con los requisitos del gobierno de EE. UU.
El perfil STIG del CIS ayuda a las organizaciones a cumplir con STIG. Los sistemas de seguridad configurados con STIG cumplen los requisitos de conformidad de CIS y STIG.
Como se mencionó anteriormente, hay más de 100 CIS Benchmarks agrupadas en ocho categorías tecnológicas de TI, que incluyen:
Esta categoría cubre las configuraciones de seguridad de los sistemas operativos principales, como Microsoft Windows, Linux y macOS de Apple. Estas incluyen directrices de buenas prácticas para restricciones de acceso local y acceso remoto, perfiles de usuario, autenticación, protocolos de instalación de controlador y configuraciones de navegadores de Internet.
Esta categoría cubre las configuraciones de seguridad del software de servidor ampliamente utilizado, incluidos Microsoft Windows Server, SQL Server y VMware. También es compatible con plataformas de código abierto de contenerización, como Docker y Kubernetes.
Las referencias incluyen recomendaciones para configurar los certificados PKI (infraestructura de clave pública) de Kubernetes, la configuración del servidor de la interfaz de programación de aplicaciones (API), los controles de administración del servidor, las políticas de vNetwork y las restricciones de almacenamiento.
Esta categoría se dirige a las configuraciones de seguridad para Amazon Web Services (AWS), Microsoft Azure, Google, IBM y otros entornos de nube pública populares. Las referencias incluyen directrices de seguridad en la nube para configurar la gestión de identidades y accesos (IAM), los protocolos de registro del sistema, las configuraciones de red y las garantías de cumplimiento normativo.
Esta categoría trata de los sistemas operativos móviles, incluidos iOS y Android, y se centra en áreas como las opciones y ajustes del desarrollador, las configuraciones de privacidad del sistema operativo, la configuración del navegador y los permisos de las aplicaciones.
Esta categoría ofrece pautas de configuración de seguridad generales y específicas del proveedor para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.
Esta categoría cubre las configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y el navegador Safari. Estas referencias se centran en la privacidad del correo electrónico y la configuración del servidor, la gestión de dispositivos móviles, la configuración predeterminada del navegador y el bloqueo de software de terceros.
Esta categoría describe las buenas prácticas de seguridad para configurar impresoras multifunción en entornos de oficina. Abarca la actualización del firmware, las configuraciones TCP/IP, la configuración del acceso inalámbrico, la gestión de usuarios, el uso compartido de archivos y mucho más.
Esta categoría cubre la cadena de suministro de software y ayuda a los equipos a proteger los pipelines de DevSecOps. Ofrece buenas prácticas para los controles de seguridad a lo largo del ciclo de vida del desarrollo de software, desde el diseño inicial hasta la integración, las pruebas, la entrega y la implementación.
A lo largo de los años, CIS ha producido y distribuido otras herramientas gratuitas y soluciones de pago que respaldan las CIS Benchmarks. Estos recursos ayudan a las organizaciones a reforzar aún más su preparación para la ciberseguridad.
Anteriormente conocidos como SANS Critical Security Controls (SANS Top 20 Controls), CIS Critical Security Controls (CSC) es una guía completa de 18 salvaguardas y contramedidas para una defensa ciber crítica eficaz. También conocidos como controles CIS, son de uso gratuito y proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque.
Las CIS Benchmarks hacen referencia a estas buenas prácticas de ciberseguridad cuando se refieren a recomendaciones para configuraciones de sistemas más seguras.
CIS también ofrece imágenes reforzadas preconfiguradas que permiten a las empresas realizar operaciones informáticas de forma rentable sin necesidad de invertir en hardware o software adicional. Las imágenes reforzadas son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.
CIS Hardened Images están diseñadas y configuradas de acuerdo con CIS Benchmarks y CIS Controls, y se reconoce que cumplen plenamente con varias organizaciones de cumplimiento normativo. Las imágenes reforzadas de CIS están disponibles en casi todas las principales plataformas de cloud computing y son fáciles de implementar y gestionar.
El programa de membresía CIS SecureSuite proporciona a las organizaciones herramientas y recursos de ciberseguridad. La membresía es gratuita para las instituciones gubernamentales y académicas estadounidenses SLTT (estatales, locales, tribales y territoriales), mientras que las opciones de pago varían para los usuarios comerciales y las entidades gubernamentales extranjeras.
CIS WorkBench es una plataforma centralizada que reúne a CIS Controls y comunidades de CIS Benchmarks, lo que permite la colaboración para el desarrollo continuo de las CIS Benchmarks.
Disponible para los miembros de CIS SecureSuite, el kit de compilación CIS SecureSuite consta de recursos que proporcionan automatización de seguridad y corrección de sistemas a las CIS Benchmarks.
La herramienta de evaluación de la configuración (CAT) de CIS proporciona escaneos automatizados de los ajustes de configuración de un sistema en comparación con CIS Benchmarks. Está disponible para los miembros de CIS SecureSuite.
El CIS-CAT Lite es una herramienta gratuita para evaluar sistemas de TI. En comparación con el CIS-Cat Pro, esta versión limitada ofrece evaluaciones de nivel básico frente a menos CIS Benchmarks.
Las CIS Benchmarks ayudan a las organizaciones con estrategias de gobierno, riesgo y cumplimiento (GRC) para gestionar el gobierno y los riesgos, manteniendo al mismo tiempo el cumplimiento con las normativas de sectores y gobierno.
Las CIS Benchmarks se alinean estrechamente con los marcos normativos de seguridad y privacidad de datos, o "se corresponden con ellos". Como resultado, cualquier organización que opere en un sector regido por este tipo de normativas puede avanzar significativamente hacia el cumplimiento si se adhiere a CIS Benchmarks. Estos organismos reguladores incluyen:
Aunque las empresas siempre son libres de tomar sus propias decisiones en torno a las configuraciones de seguridad, CIS Benchmarks ofrecen una serie de beneficios:
1 CIS Benchmarks List. Center for Internet Security Inc. (CIS)
2 Getting to know the CIS Benchmarks. Center for Internet Security, Inc. (CIS)
3 About us. Center for Internet Security, Inc. (CIS)