18 controles CIS críticos para una estrategia de ciberseguridad

CIS ha diseñado 18 controles de seguridad críticos para ayudar a las empresas a analizar sus estrategias de seguridad y optimizarlas para repeler ataques

A finales de enero, la filial estadounidense de la compañía de telecomunicaciones T-Mobile hizo público que un actor malicioso había accedido de forma fraudulenta a los datos personales de 37 millones de sus clientes el pasado noviembre. Los delincuentes pudieron hacerse con nombres, direcciones de facturación, emails, números de teléfono o fechas de nacimiento. Este incidente sufrido por la multinacional alemana es la enésima demostración de los riesgos a los que tienen que hacer frente las compañías.

Así como la necesidad de que las empresas sitúen a la ciberseguridad en el centro de su estrategia, si no quieren tener que hacer frente a consecuencias económicas, legales y reputaciones de gran calado.

Para ayudarlas en esta tarea, el Center of Internet Security, una organización de referencia a nivel global, ha desarrollado y actualizado a lo largo de los años los controles de seguridad críticos CIS.

Estos controles de seguridad críticos se basan en el conocimiento compartido por expertos en ciberseguridad de todo el mundo, así como en las mejores prácticas del sector. Y su objetivo primordial es convertir toda esa información en medidas implementables por las empresas para protegerse frente a los ciberataques.

A continuación, vamos a analizar en qué consisten estos controles y vamos a diseccionar brevemente cada uno de los 18 controles de seguridad críticos CIS incluidos en la última versión de esta guía. Estos controles ponen en valor la importancia de apostar por los servicios de ciberseguridad para protegerse frente al magma de ciberataques.

1. Los controles CIS: Un punto de partida para abordar la ciberseguridad

Desde el CIS hacen hincapié en que los controles de seguridad críticos no constituyen un mero listado, sino que son la columna vertebral de un ecosistema de ciberseguridad.

Estos controles de seguridad críticos CIS constituyen un punto de partida para que las empresas pongan en marcha una estrategia de seguridad. Así, los controles permiten a las compañías y a los expertos en ciberseguridad priorizar las diferentes áreas, en función del modelo de negocio y los recursos económicos, humanos y tecnológicos de los que se dispongan.

A partir de los controles de seguridad críticos, las organizaciones pueden embeberse de todo el conocimiento del sector, compartir experiencias, aprender de casos de éxito y emplear otras metodologías con las que las guías CIS se encuentran alineadas, como el marco de ciberseguridad del NIST o la metodología de OWASP.

Este enfoque evidencia que los controles de seguridad críticos no constituyen un listado que al aplicarse en una compañía garantice que dicha organización está plenamente protegida frente a los ataques. Cada día surgen nuevas amenazas, emergen técnicas novedosas y se abren camino nuevas tecnologías susceptibles de ser atacadas. La ciberseguridad es un sector en constante movimiento, por lo que es imprescindible estar permanentemente conectado a lo que sucede en este ámbito y aprender de todo el conocimiento que se genera.

2. ¿Cómo se articulan los controles de seguridad críticos?

Entremos de lleno a desgranar cómo operan los controles de seguridad críticos. Dichos controles son, ante todo, categorías que sistematizan las acciones concretas que deben implementar las organizaciones para construir una estrategia de seguridad eficaz.

Así, la guía CIS establece para cada uno de los controles de seguridad críticos, diversas salvaguardas, estipulando a qué activos van dirigidas, cuál es la función de seguridad que cumplen y qué tipo de empresas debe llevarlas a cabo. Veamos esta estructura con más detenimiento.

2.1. Salvaguardas

Las salvaguardas son la clave de bóveda de los controles de seguridad críticos CIS. Cada salvaguarda es una acción específica que la organización debe de llevar a cabo de cara a implementar el control.

Por ejemplo, la salvaguarda 1.1. consiste en «establecer y mantener un detallado inventario de activos empresariales». La guía CIS no se limita a esbozar la acción, sino que establece una serie de consideraciones que los profesionales a cargo de la ciberseguridad deben tener en cuenta para acometer la acción con éxito.

Cada uno de los 18 controles de seguridad críticos cuenta con sus propias salvaguardas. En el caso del primer control (Inventario y control de los activos empresariales), la guía propone cinco salvaguardias o acciones que se deben poner en marcha para lograr una implementación efectiva del control.

En total, los 18 controles de seguridad críticos incluyen 153 salvaguardas.

2.2. Funciones de seguridad

Además de describir cada una de las salvaguardas, la guía facilita su comprensión y ejecución categorizándolas en torno a las funciones que se realizan al ponerlas en marcha. Veámoslo mejor con el ejemplo anterior.

La salvaguardia 1.1. es una acción de identificación. Puesto que consiste en identificar con precisión los activos empresariales que deben ser protegidos frente a los ataques.

Mientras que, por ejemplo, la salvaguardia 4.1. «Establecer y mantener un proceso de configuración seguro» es una acción de protección. Ya que gira en torno a la puesta en marcha y mantenimiento de un proceso seguro de configuración de los diferentes activos de la organización.

¿Cuántas funciones de seguridad incluye la guía de controles de seguridad críticos CIS? Cinco:

• Identificar
• Proteger
• Detectar
• Responder
• Recuperar

Cada una de ellas se da en mayor o menor presencia en función de los objetivos del control de seguridad crítico. Así, por ejemplo, en el control 9 (Protección del correo electrónico y navegador web) las siete salvaguardias consisten en efectuar acciones de protección. Mientras que las salvaguardias del control 17 (Gestión de respuesta a incidentes) son, como es lógico, o bien de respuesta o bien de recuperación.

Estas funciones de seguridad evidencian las acciones centrales que articulan cualquier estrategia de seguridad:

• Identificar los activos a proteger.
• Poner en marcha mecanismos de seguridad y subsanar las vulnerabilidades para proteger a los activos.
• Detectar las amenazas y las debilidades antes de que sean explotadas. Y detectar los ataques de manera temprana para evitar que impacten en la organización.
• Responder ante los ataques de manera ágil y eficaz.
• Recuperar la normalidad y minimizar las consecuencias de un incidente de seguridad.

2.3. Activos

Cada salvaguarda consiste en una acción específica, como ya hemos señalado, y dicha acción se debe llevar a cabo sobre un determinado tipo de activo. Por ejemplo, la salvaguarda 1.1. está centrada en los dispositivos de la empresa que está implementando los controles de seguridad críticos. Mientras que la 4.1. actúa sobre las aplicaciones de la organización.

Así, la guía diferencia cinco tipos de activos:

• Aplicaciones
• Dispositivos
• Usuarios
• Datos
• Red

Cada uno de ellos tiene sus propias características y la forma de securizarlos requiere, por lo tanto, llevar a cabo acciones o salvaguardas diferentes.

2.4. Grupos de implementación

Como indicamos antes, la guía de los controles de seguridad críticos CIS establece hasta 153 salvaguardas que deben implementar las organizaciones para asegurarse de que cumplen con los controles. ¿Quiere decir esto que todas las empresas deben realizar las mismas acciones? No. La guía CIS propone tres grupos de implementación, en función del tamaño y las características de cada compañía:

• IG1. Empresas pequeñas y medianas, sin un amplio bagaje tecnológico que necesitan securizar sus activos y garantizar la continuidad de negocio.
• IG2. Empresas compuestas por diversos departamentos, que disponen de personal para administrar su infraestructura tecnológica y que necesitan salvaguardar información sensible sobre sus clientes y su modelo de negocio.
• IG3. Compañías que contratan servicios de ciberseguridad avanzados (pentesting, auditoría de apps…). Están sujetas a una normativa más estricta y gestionan datos especialmente sensibles.

El primer grupo solo deberá ejecutar las salvaguardas de ciberseguridad básicas. Mientras que los otros dos también tendrán que realizar acciones más avanzadas.

Al igual que sucede, por ejemplo, con los estándares OWASP, las capas de salvaguardias se van sumando. Es decir, el grupo 1 incluye 56 acciones básicas. El grupo 2 suma a esas 56 acciones otras 74. Y, finalmente, el grupo tres, pensado para las compañías que cuentan con expertos en ciberseguridad y están especialmente sensibilizadas sobre la protección de los datos, incluye todas las salvaguardias anteriores y las 23 más avanzadas.

De esta forma, los controles de seguridad críticos CIS se convierten en una herramienta para construir y optimizar una estrategia de seguridad capaz de adaptarse a cualquier tipo de compañía. Y no solo a las grandes empresas, sino también a las pequeñas y medianas compañías que deben tomarse en serio la ciberseguridad para evitar crisis que cercenen su modelo de negocio.

3. Del inventario de activos a las pruebas de penetración. Los 18 controles de seguridad críticos CIS

Además de los elementos que venimos de tratar, los controles de seguridad críticos CIS cuentan con dos aspectos esenciales:

• Una explicación de por qué implementar el control de seguridad es importante para proteger a la empresa y a sus activos.
• Los procedimientos y herramientas que se deben emplear para poder llevar a cabo las diferentes salvaguardas que conforman el control. En este apartado se incluyen, también, otros documentos generados por el propio CIS, así como guías elaboradas por otras instituciones de prestigio como el NIST.

A partir de esta información, las empresas y los expertos en ciberseguridad pueden proceder a ejecutar las salvaguardias de cada uno de los 18 controles de seguridad críticos, en función del tamaño, las características y los recursos de cada compañía.

3.1. Inventario y control de los activos empresariales

Toda empresa cuenta con activos que debe defender frente a los agresores. Tanto en el plano físico como el digital. Como sostiene la guía CIS «las empresas no pueden defender aquello que no saben que tienen».

De ahí que sea tan relevante, a la hora de construir una estrategia de seguridad, comenzar por inventariar todos los activos de la compañía: ordenadores, móviles, dispositivos IoT, dispositivos de red, servidores, aplicaciones, activos en la nube…

Mediante el inventariado, la compañía no solo identifica los activos que se deben proteger y securizar, sino que también se detectan activos no autorizados y que es necesario eliminar para que no se conviertan en una brecha de seguridad.

El inventariado y control de los activos no consiste únicamente en inventariar los activos, sino también en el seguimiento y la subsanación de las debilidades detectadas.

3.2. Inventario y control de los activos de software

Así como se deben inventariar los activos empresariales, también es fundamental, hoy en día, en un mundo plenamente digitalizado, inventariar los software que emplean las compañías. Desde los sistemas operativos de sus equipos hasta las soluciones y aplicaciones que emplean en el día a día.

Las empresas deben asegurarse de que los software con los que trabajan están actualizados y parcheados, así como detectar software no usan pero que, sin embargo, tienen instalados y pueden suponer un riesgo en materia de ciberseguridad.

3.3. Protección de los datos

A estas alturas, todos somos conscientes de que la protección de datos es un tema central en la sociedad y el sistema económico actuales. La aprobación de una normativa cada vez más exigente, como el RGPD, da buena fe de ello.

Las compañías que no cuentan con medidas eficaces para proteger sus datos y los de sus clientes, se exponen a crisis reputacionales, legales y económicas de gran calibre.

Por ello, es de vital importancia que las compañías cuenten con procesos que les permitan almacenar, tratar y securizar los datos de manera eficaz.

La guía CIS hace hincapié en que los controles técnicos de la empresa deben servir para gestionar los datos de manera integral, garantizando su salvaguardia y privacidad. Las acciones a implementar en materia de protección de datos son las siguientes:

• Identificar
• Clasificar
• Manejar
• Retener
• Eliminar de forma segura

3.4. Configuración segura de activos y software empresarial

Los dos primeros controles de seguridad críticos CIS hacían referencia a la necesidad de inventariar los activos y el software de una compañía. Este cuarto control va un paso más allá: la importancia de configurarlos de manera segura. Y darle mantenimiento a dicha configuración.

¿Por qué es importante este control? Porque, como señala el CIS, los dispositivos y software son comercializados con unas configuraciones premeditadas que no están tan focalizadas a garantizar la seguridad y protección de estos activos, sino a facilitar su uso por parte de los usuarios y empresas.

De ahí que sea crucial que las empresas deben configurar de manera segura sus activos y asegurarse de que los controles de seguridad son eficaces no solo en el momento inicial, sino con el paso del tiempo. Puesto que los software se actualizan de forma periódica y los atacantes innovan las técnicas que emplean.

3.5. Administración de cuentas

A la hora de poner en marcha ciberataques, muchos agresores se valen del uso de credenciales de usuario legítimas para acceder al sistema de una empresa y cometer acciones fraudulentas. Por ejemplo, mediante ataques de ingeniería social.

Ello da buena fe de la importancia que tiene la tarea de administración de cuentas hoy en día.

Las empresas deben emplear procesos y herramientas para otorgar y gestionar las credenciales de las cuentas de los múltiples usuarios de una empresa.

3.6. Gestión de control de accesos

Este control viene a complementar al anterior. Puesto que, en este caso, la guía CIS se centra en cómo se gestiona el nivel de acceso que tiene cada una de las cuentas. El objetivo debe ser que cada usuario solo tenga acceso a los datos y documentos que necesita visualizar para llevar a cabo sus funciones.

Para ello, la empresa debe disponer de las herramientas necesarias para asignar y revocar credenciales de usuario. Así como para estipular los privilegios de acceso de las diferentes cuentas, tanto de usuario como de administrador y servicio.

No definir de forma precisa los roles de usuario dentro de la empresa puede desencadenar incidentes de seguridad graves, permitiendo a los actores maliciosos acceder a una mayor cantidad de información al vulnerar las credenciales de un solo usuario.

3.7. Gestión continua de vulnerabilidades

Las vulnerabilidades son uno de los elementos más importantes de una estrategia de ciberseguridad. Los atacantes buscan de manera incansable nuevas vulnerabilidades que puedan explotar.

De ahí que las empresas tengan que disponer de mecanismos para evaluar de manera continua las vulnerabilidades presentes en sus activos y sistemas. Mediante este monitoreo permanente se pueden detectar las debilidades antes que los agentes maliciosos y mitigarlas.

La gestión de vulnerabilidades es esencial para prevenir los ataques, securizar los activos y reducir el riesgo de sufrir incidentes de seguridad, así como el posible impacto de los mismos.

3.8. Gestión de registros de auditoría

¿Qué sucede si una empresa es atacada? ¿Cómo se detecta el ataque? Mediante la gestión de registros de auditoría. La recopilación y el análisis de los registros son clave para:

• Detectar de manera rápida la actividad de los ciberdelincuentes. Evitando que los ataques se puedan desarrollar durante semanas y meses.
• Identificar el nivel de impacto del ataque sobre la empresa y sus activos.
• Recuperarse del ataque de manera eficaz.
• Llevar a cabo una investigación integral sobre lo ocurrido.

3.9. Protección del correo electrónico y navegador web

El correo electrónico es una de las herramientas de trabajo más importantes para la mayoría de empresas. A través del email se comparte información relevante sobre las empresas, sus empleados y sus clientes.

Asimismo, los navegadores web también son empleados por millones de profesionales en su desempeño laboral.

Por ello, la protección del correo electrónico y del navegador web debe ser prioritaria para todas las compañías. De lo contrario, estos vectores de ataque pueden ser empleados por los delincuentes para hacerse con datos confidenciales o, incluso, acceder a los sistemas de las empresas.

Malware, phishing, ransomware… Los atacantes emplean múltiples técnicas para intentar vulnerar la seguridad de los correos y los navegadores web empleados por los usuarios de las empresas.

De ahí que sea esencial que se detecten amenazas ligadas a estas dos clases de activos y se lleven a cabo las acciones necesarias para fortalecer su seguridad.

3.10. Defensas contra malware

En el control anterior mentamos a uno de los grandes enemigos de las empresas y los profesionales de la ciberseguridad: el malware.
Los software maliciosos son los protagonista del décimo control de seguridad crítico. Que se centra en la necesidad de actuar para prevenir la instalación y propagación de este tipo de ciberataques.

Para ello, es indispensable contar con defensas contra el malware en todos los activos empresariales que sean capaces de detectar los ataques, contenerlos y contribuir a remediarlos.

Como en la mayoría de los aspectos abordados por los controles de seguridad críticos CIS, la monitorización y actualización continuas, así como la capacidad de actuar de manera ágil y diligente son claves para proteger a una empresa frente a los virus y troyanos.

3.11. Recuperación de datos

Si el control 3 se centraba en la protección de datos, el 11 lo hace en su recuperación en caso de que tenga lugar un incidente de seguridad.

A la hora de levantar u optimizar una estrategia de seguridad, las empresas deben contar con protocolos y mecanismos para gestionar la recuperación de la normalidad después de que se haya producido un ciberataque.

La recuperación de datos es esencial en este sentido. De ahí que las compañías deban ser capaces de recuperar los datos para restaurar los activos empresariales atacados, garantizando siempre la confidencialidad, integridad y disponibilidad de la información.

Los datos son un activo empresarial de primer nivel. La toma de decisiones en las compañías se cimenta sobre los datos. Así como el tratamiento de la información trae consigo enormes ventajas, también conlleva riesgos, como señalamos a la hora de hablar de la protección de datos.

Este control de seguridad es básico a la hora de garantizar la continuidad de negocio y minimizar el impacto de un ataque sobre el conjunto de la empresa.

Al implementar este control se busca contar con procedimientos de recuperación eficaces que permitan restaurar los datos y los activos a un estado de confianza previo al ataque. Y, así, afrontar con éxito actuaciones fraudulentas como el secuestro de datos.

3.12. Gestión de la infraestructura de red

Firewalls, puntos de acceso inalámbricos, enrutadores… La infraestructura de red está conformada por diversos elementos que deben ser gestionados y securizados para conseguir que dicha infraestructura sea segura y actúe como barrera frente a los ataques.

Como ya señalamos al hablar de los activos empresariales y del software, las configuraciones iniciales de los dispositivos de red priman la usabilidad sobre la seguridad. Por lo que es importante analizar estas configuraciones para evitar que los atacantes exploten posibles brechas de seguridad.

De nuevo, la guía CIS nos recuerda que el monitoreo continuo, la reevaluación y la actualización constante son fundamentales para que la infraestructura de red se mantenga segura con el paso del tiempo.

3.13. Monitoreo y defensa de la red

Precisamente, el control CIS 13 se centra en el monitoreo y defensa de la red. Es decir, va un paso más allá que el control anterior. Lo cual se traduce en el hecho de que a diferencia de los controles que hemos visto hasta ahora no cuenta con salvaguardas pensadas para ser implementadas por las empresas de menor tamaño.

Este control busca ayudar a las empresas a implementar procesos que les permitan supervisar permanentemente la defensa de la red, teniendo en cuenta las innovaciones constantes que se producen en el ámbito de la ciberseguridad.

La guía CIS incide en lo crucial que resulta para las empresas de cierto tamaño contar con mecanismos para detectar de manera temprana cualquier tipo de ataque contra su red. Puesto que cuanto más tiempo se tarde en detectar una vulneración de la seguridad, mayor será el grado de exposición de la empresa y sus activos.

3.14. Concientización en seguridad y formación de habilidades

Cuando pensamos en la estrategia de seguridad de una empresa, es posible que nos detengamos en el software o los dispositivos con los que trabaja. Pero hay otro elemento más importante: los seres humanos que la conforman.

Las personas son, en muchas ocasiones, el eslabón débil de una estrategia de seguridad. Los descuidos o las malas prácticas de los usuarios pueden generar brechas por las que los actores maliciosos son capaz de colarse y desencadenar severos incidentes de seguridad.

Por ello, concienciar a todos los profesionales de la empresa y llevar a cabo actividades formativas en materia de ciberseguridad es de enorme importancia. No solo para las grandes compañías, sino también para las pequeñas.

La acción combinada de la concienciación y la formación permite reducir los riesgos y limitar la ciber exposición.

3.15. Gestión de proveedores de servicios

Decíamos en el anterior control de seguridad crítico que las personas son un punto débil en la estrategia de seguridad. Pues bien, el control CIS 15 pone su foco de atención sobre la cadena de suministros.

De nada sirve que una compañía implemente los controles de seguridad críticos que hemos ido desgranando si sus proveedores IT carecen de un programa de seguridad adecuado.

La mejor forma de conseguir que los proveedores no se conviertan en un vector de ataque es evaluarlos previamente, monitorearlos periódicamente y asegurarse de que protegen los datos y las plataformas de manera adecuada.

3.16. Seguridad en el software de aplicación

El uso de aplicaciones (web, móvil, Cloud…) forma parte del día a día de muchas empresas. Estas herramientas contribuyen a reducir tiempos improductivos, facilitar acciones y sistematizar datos.

Ello las convierte en un objetivo de ataque muy atractivo para los delincuentes. Ya que a través de una aplicación pueden acceder a datos confidenciales, controlar activos e, incluso, instalar malware.

Dada la relevancia de los software en el funcionamiento diario de las empresas, su securización se ha convertido en una cuestión capital. Sobre todo, para las empresas más maduras tecnológicamente, en las que los software juegan un papel de extremado valor.

Este control de seguridad sirve para poner en marcha un programa de seguridad de aplicaciones y situar a la ciberseguridad como un aspecto esencial a la hora de desarrollar software.

3.17. Gestión de respuesta a incidentes

La mayoría de controles de seguridad críticos CIS tienen como misión reducir los riesgos a los que tiene que hacer frente una empresa, securizando sus activos, detectando vulnerabilidades y amenazas y subsanando las debilidades.

Sin embargo, una estrategia de seguridad integral tiene que incluir, también, los mecanismos de respuesta y recuperación de la empresa para lidiar con los ataques.

Así, es fundamental diseñar las políticas y los planes de respuesta y recuperación, establecer qué papel debe jugar cada actor dentro de la organización en caso de que se produzca un ataque y asegurarse de que la compañía puede responder con rapidez a cualquier ataque.

Detectar una agresión de forma temprana, contenerla y erradicarla es fundamental. Para ello, además de controles técnicos, es necesario contar con un canal de comunicación eficaz entre todas las partes involucradas. Así como priorizar los recursos en función de los objetivos y características del negocio.

Por ejemplo, a la hora de poner en marcha un plan de recuperación se debe decidir qué datos o activos se recuperan y restablecen antes.

La ciberseguridad no es un compartimento estanco, separado de la estrategia empresarial de un negocio, sino una dimensión central de ésta.

3.18. Pruebas de intrusión

Los servicios de pentesting son fundamentales a la hora de evaluar una estrategia de seguridad. Puesto que los profesionales que los ejecutan simulan un ataque real, de cara a detectar las vulnerabilidades que pueden ser explotadas por los agentes maliciosos. Así como para comprobar cómo responden las medidas de seguridad en vigor.

Para las empresas más maduras tecnológicamente, en las que la ciberseguridad es un pilar estratégico, las pruebas de intrusión se convierten en un servicio de gran valor, puesto que permiten:

• Observar y analizar qué impacto podría tener un ataque exitoso. Obteniendo una panorámica precisa de los efectos de un incidente de seguridad.
• Comprobar cómo responden las defensas de la empresa ante un ataque. Y, a partir de la información extraída, subsanar las deficiencias y optimizar la estrategia de seguridad en su conjunto.

En definitiva, los controles de seguridad críticos CIS son una guía empleada en todo el mundo para poner los cimientos de una estrategia de seguridad que se adapte a las necesidades, objetivos, características y recursos de una empresa.

Un punto de partida sobre el que construir un ecosistema en el que la ciberseguridad se convierta en una cuestión estratégica para la compañía. Gracias a la implementación de los controles de seguridad críticos y la evaluación continua de la efectividad de las salvaguardas puestas en marcha.