Los puntos de referencia de CIS son una recopilación de prácticas recomendadas para configurar de forma segura sistemas de TI, software, redes e infraestructura de nube.
El Center for Internet Security (CIS) publica los puntos de referencia de CIS. A la fecha de esta publicación, existen más de 140 puntos de referencia de CIS en total, distribuidos en siete categorías de tecnología básicas. Los puntos de referencia de CIS se desarrollan a través de un proceso exclusivo basado en el consenso que involucra a comunidades de profesionales de ciberseguridad y expertos en la materia de todo el mundo, cada uno de los cuales identifica, refina y valida continuamente las prácticas recomendadas de seguridad dentro de sus áreas de especialización.
El CIS (enlace externo a ibm.com) es una organización sin fines de lucro establecida en octubre de 2000. El CIS está promovido por una comunidad global de TI con el objetivo común de identificar, desarrollar, validar, promover y mantener soluciones de prácticas recomendadas para la ciberdefensa. Desde su creación, el CIS ha producido y distribuido varias herramientas y soluciones gratuitas para empresas de todos los tamaños, diseñadas para reforzar su ciberseguridad.
El CIS es más conocido por su publicación de los Controles de CIS (enlace externo a ibm.com), un manual completo de 20 medidas de seguridad y contramedidas para una ciberdefensa efectiva. Los controles de CIS proporcionan una lista de comprobación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque. Los puntos de referencia de CIS hacen referencia a estos controles cuando crean recomendaciones para configuraciones de sistema más seguras.
Cada punto de referencia de CIS incluye varias recomendaciones de configuración basadas en uno de los dos niveles de perfil. Los perfiles de punto de referencia de Nivel 1 cubren configuraciones de nivel base que son más fáciles de implementar y con impacto mínimo sobre la funcionalidad del negocio. Los perfiles de punto de referencia de Nivel 2 están destinados a entornos de alta seguridad y requieren más coordinación y planificación para implementarse con la mínima disrupción del negocio.
Hay siete (7) categorías básicas de puntos de referencia de CIS:
CIS también ofrece imágenes endurecidas (Hardened Images) que permiten a las empresas realizar operaciones informáticas rentables sin necesidad de invertir en hardware o software adicional. Las imágenes endurecidas son mucho más seguras que las imágenes virtuales estándar y limitan de forma significativa las vulnerabilidades de seguridad que pueden facilitar un ciberataque.
Las imágenes endurecidas de CIS (enlace externo de ibm.com) se diseñaron y configuraron de conformidad con los puntos de referencia y controles de CIS y se ha reconocido su valor por cumplir totalmente con varias organizaciones de conformidad con la normativa. Las imágenes endurecidas de CIS están disponibles para su uso en casi todas las principales plataformas de cloud computing y son fáciles de desplegar y gestionar.
Los puntos de referencia de CIS se alinean estrechamente con los marcos regulatorios de seguridad y protección de datos, incluido el marco de ciberseguridad del NIST (National Institute of Standards and Technology: Instituto Nacional de Estándares y Tecnología), el PCI DSS (Payment Card Industry Data Security Standard), la HIPAA (Health Insurance Portability and Accountability Act) y la ISO/EIC 2700. Como resultado, cualquier organización que opere en un sector regido por este tipo de regulaciones puede lograr un progreso significativo hacia la conformidad si se adhiere a los puntos de referencia de CIS. Además, los controles y las imágenes endurecidas de CIS pueden facilitar la conformidad de una organización con el RGPD (Reglamento General de Protección de Datos de la UE).
Si bien las empresas son libres de tomar sus propias decisiones en torno a las configuraciones de seguridad, los puntos de referencia de CIS ofrecen:
Migre al multicloud híbrido con total confianza e integre la seguridad en cada fase de la transición a la nube.Proteja y supervise sus datos, aplicaciones y entornos con los servicios de seguridad de IBM.
Controle la configuración de recursos en la nube y gestione de forma centralizada la conformidad con las directrices normativas y de la organización.
La tecnología de ciberseguridad y las mejores prácticas protegen los sistemas más importantes y la información confidencial ante un volumen cada vez mayor de amenazas en constante evolución.
Kubernetes es una plataforma de orquestación de contenedores de código abierto que automatiza el despliegue, la gestión y la escalada de aplicaciones en contenedores.