¿Qué son los CIS Benchmarks?

Los CIS Benchmarks se desarrollan a través de un proceso basado en el consenso que involucra a comunidades de profesionales de ciberseguridad de todo el mundo. Estos expertos identifican, refinan y validan continuamente las mejores prácticas dentro de sus áreas de enfoque para ayudar a las organizaciones a proteger sus materiales digitales de los riesgos cibernéticos.

CIS ha publicado más de 100 puntos de referencia de CIS, que abarcan 8 categorías principales de tecnología y cubren más de 25 familias de productos de proveedores.¹ Están disponibles mediante descarga gratuita en PDF para uso no comercial.

Los CIS Benchmarks ayudan a las organizaciones a mejorar su postura de seguridad siguiendo estándares de seguridad prescriptivos y reconocidos mundialmente, y pautas de defensa cibernética. Los CIS Benchmarks también respaldan casos de uso empresarial, como el cumplimiento normativo, la gobernanza de TI y la política de seguridad.

Fundada en octubre de 2000, CIS es una organización sin fines de lucro cuya misión es "hacer del mundo conectado un lugar más seguro mediante el desarrollo, la validación y la promoción de soluciones oportunas de mejores prácticas que ayuden a las personas, las empresas y los gobiernos a protegerse contra las amenazas cibernéticas generalizadas".²

Las comunidades de CIS Benchmarks, un grupo de más de 12 000 profesionales de seguridad de TI que contribuyen al desarrollo de las mejores prácticas de CIS Benchmarks, están abiertas a cualquier persona que quiera contribuir. Las comunidades están formadas por voluntarios e incluyen expertos en la materia, proveedores, redactores técnicos, evaluadores y otros miembros de CIS de todo el mundo.

El CIS también alberga el Multi-State Information Sharing and Analysis Center (MS-ISAC), que proporciona recursos de prevención, protección, respuesta y recuperación de ciberamenazas para entidades del gobierno estatales, locales, tribales y territoriales (SLTT) de Estados Unidos. También es la sede del Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC), que respalda las necesidades de ciberseguridad de las oficinas electorales de Estados Unidos.³

Los niveles de perfil de CIS se refieren a diferentes niveles de recomendación de seguridad y contienen múltiples configuraciones para diferentes productos.

El nivel 1 cubre las configuraciones de nivel básico que son más fáciles de implementar y tienen un impacto mínimo en la funcionalidad del negocio.

El nivel 2 se aplica a entornos de alta seguridad que requieren más coordinación y planificación para implementar con una interrupción mínima del negocio.

STIG es un conjunto de líneas base de configuración que tratan la Guía de implementación técnica de seguridad (STIG), estándares de seguridad publicados y mantenidos por el Departamento de Defensa de EE. UU. (DOD) para cumplir con los requisitos del gobierno de ese país.

El perfil STIG de CIS ayuda a las organizaciones a cumplir con STIG. Los sistemas de seguridad configurados con STIG cumplen con los requisitos de CIS y STIG.

Como se mencionó anteriormente, hay más de 100 CIS Benchmarks agrupados en 8 categorías de tecnología de TI, que incluyen:

• Sistemas operativos

• Software de servidor

• Proveedor de la nube

• Dispositivo móvil

• Dispositivo de red

• Software de escritorio

• Dispositivo de impresión multifunción

• Herramientas de DevSecOps

Esta categoría cubre las configuraciones de seguridad de los sistemas operativos centrales, como Microsoft Windows, Linux® y macOS de Apple. Estos incluyen pautas de mejores prácticas para restricciones de acceso local y acceso remoto, perfiles de usuario, autenticación, protocolos de instalación de controlador y configuraciones de navegador de Internet.

Esta categoría cubre configuraciones de seguridad de software de servidor ampliamente utilizado, incluidos Microsoft Windows Server, SQL Server y VMware. También es compatible con plataformas de contenerización de de código abierto, como Docker y Kubernetes.

Los CIS Benchmarks incluyen recomendaciones para configurar los certificados PKI (Public Key Infrastructure) de Kubernetes, la configuración del servidor de la interfaz de programación de aplicaciones (API), los controles de administración del servidor, las políticas de vNetwork y las restricciones de almacenamiento de información.

Esta categoría aborda las configuraciones de seguridad para Amazon Web Services (AWS), Microsoft Azure, Google, IBM y otros entornos populares de nube pública. Los CIS Benchmarks incluyen pautas de seguridad en la nube para configurar la gestión de identidad y acceso (IAM), protocolos de registro del sistema, configuraciones de red y garantías de cumplimiento normativo.

Esta categoría aborda los sistemas operativos móviles, incluidos iOS y Android, y se centra en áreas como las opciones y configuraciones del desarrollador, las configuraciones de privacidad del sistema operativo, la configuración del navegador y las permisos de la aplicación.

Esta categoría ofrece pautas de configuración de seguridad generales y específicas del proveedor para dispositivos de red y hardware aplicable de Cisco, Palo Alto Networks, Juniper y otros.

Esta categoría cubre las configuraciones de seguridad para algunas de las aplicaciones de software de escritorio más utilizadas, como Microsoft Office y Exchange Server, Google Chrome, Mozilla Firefox y el navegador Safari. Estos CIS Benchmarks se centran en la privacidad del correo electrónico y la configuración del servidor, la gestión de dispositivos móviles, la configuración predeterminada del navegador y el bloqueo de software de terceros.

Esta categoría describe las mejores prácticas de seguridad para configurar las impresoras multifuncionales en entornos de oficina. Abarca la actualización de firmware, las configuraciones de TCP/IP, la configuración de acceso inalámbrico, la gestión de usuarios, el uso compartido de archivos y más.

Esta categoría cubre la cadena de suministro de software y ayuda a los equipos a proteger los pipelines de DevSecOps. Ofrece las mejores prácticas para los controles de seguridad a lo largo del ciclo de vida del desarrollo de software, desde el diseño inicial hasta la integración, las pruebas, la entrega y el despliegue.

A lo largo de los años, CIS ha producido y distribuido otras herramientas gratuitas y soluciones de pago que respaldan los CIS Benchmarks. Estos recursos ayudan a las organizaciones a fortalecer aún más su preparación para la ciberseguridad.

Anteriormente conocidos como SANS Critical Security Controls (SANS Top 20 Controls), CIS Critical Security Controls (CSC) es una guía completa de 18 medidas de seguridad y contramedidas para una defensa cibernética eficaz. También denominados CIS Controls, son de uso gratuito y proporcionan una lista de verificación priorizada que las organizaciones pueden implementar para reducir significativamente su superficie de ciberataque.

Los CIS Benchmarks hacen mención a estas mejores prácticas de ciberseguridad cuando se refieren a recomendaciones para configuraciones de sistemas mejor aseguradas.

CIS también ofrece Hardened Images preconfiguradas que permiten a las empresas realizar operaciones informáticas de manera rentable sin necesidad de invertir en hardware o software adicional. Hardened Images son mucho más seguras que las imágenes virtuales estándar y limitan significativamente las vulnerabilidades de seguridad que pueden conducir a un ciberataque.

CIS Hardened Images están diseñadas y configuradas de conformidad con CIS Benchmarks y CIS Controls, y se reconoce que cumplen plenamente con varias organizaciones normativas. CIS Hardened Images están disponibles en casi todas las principales plataformas de computación en la nube y son fáciles de desplegar y administrar.

El programa de membresía CIS SecureSuite proporciona a las organizaciones herramientas y recursos de ciberseguridad. La membresía es gratuita para las instituciones académicas y el gobierno SLTT (estatales, locales, tribales y territoriales) de EE. UU., mientras que las opciones de pago varían para los usuarios comerciales y entidades de gobierno en el extranjero.

CIS WorkBench es una plataforma centralizada que reúne a CIS Controls y CIS Benchmarks Communities, lo que permite la colaboración para el desarrollo continuo de los CIS Benchmarks.

Disponible para los miembros de CIS SecureSuite, CIS SecureSuite Build Kit consta de recursos que proporcionan automatización de la seguridad y la corrección de sistemas a los CIS Benchmarks.

La CIS Configuration Assessment Tool (CAT) proporciona análisis automatizados de los ajustes de configuración de un sistema en comparación con los CIS Benchmarks. Está disponible para los miembros de CIS SecureSuite.

CIS-CAT Lite es una herramienta gratuita para evaluar sistemas de TI. En comparación con CIS-Cat Pro, esta versión limitada ofrece evaluaciones de nivel básico frente a menos CIS Benchmarks.

Los CIS Benchmarks ayudan a las organizaciones con Estrategias de gobernanza, riesgo y cumplimiento (GRC) para gestionar la gobernanza y los riesgos mientras mantienen el cumplimiento de las regulaciones del gobierno y de las industrias.

Los CIS Benchmarks se alinean estrechamente con los marcos normativos de seguridad y privacidad de datos, o "se asignan a" ellos. Como resultado, cualquier organización que opere en una industria regida por este tipo de regulaciones puede lograr un progreso significativo hacia el cumplimiento si se adhiere a los CIS Benchmarks. Dichos organismos reguladores incluyen:

• El marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU.  proporciona orientación integral y mejores prácticas que las organizaciones del sector privado pueden seguir para mejorar la seguridad de la información (InfoSec) y la gestión de riesgos de ciberseguridad.

• El Payment Card Industry Data Security Standard (PCI DSS) es un conjunto de requisitos de seguridad para proteger los datos de los titulares de tarjetas —números de cuenta principal (PAN), nombres, fechas de vencimiento, códigos de servicio— y otra información confidencial de los titulares a lo largo de su ciclo de vida.

• La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) establece los requisitos para el uso, divulgación y almacenamiento seguro de información de salud protegida (PHI).

• ISO/IEC 27001, también conocida como ISO 27001, es la principal norma de seguridad de la información reconocida a nivel mundial, desarrollada conjuntamente por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). Proporciona un enfoque sistemático, estructurado y basado en riesgos para gestionar y proteger los activos de información confidencial.

• El RGPD (Reglamento General de Protección de Datos) es la ley de la Unión Europea (UE) que rige la forma en que las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE.

Si bien las empresas siempre son libres de tomar sus propias decisiones en torno a las configuraciones de seguridad, los CIS Benchmarks ofrecen una serie de beneficios:

• Estándares reconocidos por la industria: desarrollados por una comunidad global de profesionales de TI y ciberseguridad, los CIS Benchmarks ayudan a las empresas a establecer un fuerte compromiso con la ciberseguridad y aumentar la confianza de los clientes y las partes interesadas.

• Orientación actualizada periódicamente: los CIS Benchmarks ofrecen orientación actualizada periódicamente, paso a paso, para ayudar a las organizaciones a proteger todos los aspectos de la infraestructura de TI. Por ejemplo, los CIS Benchmarks relacionados con Windows se actualizan periódicamente a la última versión dentro de los 90 días posteriores a su lanzamiento. Además, CIS Hardened Images se actualizan cada mes para mantenerlas al día con las mejores prácticas de seguridad más recientes.

• Soporte para gobernanza, riesgo y cumplimiento (GRC): CIS proporciona un marco para ayudar a las organizaciones a abordar la gobernanza, el riesgo y el cumplimiento (GRC), una estrategia organizacional para gestionar la gobernanza y los riesgos mientras se mantiene el cumplimiento de las regulaciones del gobierno y de las industrias.

• Personalización: los CIS Benchmarks proporcionan una plantilla flexible para adoptar de forma segura nuevos servicios en la nube y cargas de trabajo y ejecutar estrategias de transformación digital. Por ejemplo, los miembros de CIS SecureSuite pueden adaptar los CIS Benchmarks dentro de la plataforma CIS WorkBench para cumplir con sus mandatos comerciales y de tecnología específicos.

• Flexibilidad: los CIS Benchmarks proporcionan una recomendación de referencia para la configuración de seguridad, incluidos cortafuegos, enrutadores y servidores. También ofrecen pautas específicas del proveedor para ayudar a configurar y administrar sistemas y dispositivos. Esta combinación de características neutrales y específicas del proveedor respalda la flexibilidad para que los sistemas puedan adaptarse a las necesidades cambiantes.

• Facilidad de despliegue: DevSecOps y otros equipos confían en CIS Benchmarks para configuraciones de seguridad fáciles de desplegar para mejorar la eficiencia operativa y la sustentabilidad.