Controles CIS: las mejores prácticas en ciberseguridad

Los benchmarks y controles CIS ofrecen al personal de IT y a los analistas de seguridad de todo el mundo un conjunto de consejos y metodologías para garantizar las buenas prácticas en ciberseguridad y reducir los riesgos en Internet

La fusión del mundo físico con el mundo digital es un proceso que no tiene vuelta atrás. Nuestras vidas se desarrollan simultáneamente en ambas dimensiones. De tal forma que un problema en una de ellas tiene repercusiones en la otra. Por ello, la seguridad en internet, la gran ágora de nuestro tiempo, es tan importante como en la calle. Los benchmarks y controles CIS ofrecen un conjunto de buenas prácticas en ciberseguridad para ayudar a los responsables de los sistemas a proteger a las organizaciones.

Estándares consensuados para lidiar con los cíber riesgos

Empecemos por el inicio: ¿Qué significa CIS? Son las siglas del Center for Internet Security, una organización sin ánimo de lucro cuya misión consiste en contribuir a que el cibermundo sea más seguro para todos, reduciendo los ciberriesgos.

Para cumplir con ese objetivo, la entidad conecta a los mejores expertos en el área a nivel global, fortaleciendo el intercambio de experiencias y fomentando la creación de sinergias entre profesionales e investigadores, y por empresas, instituciones y universidades.

Todo el trabajo y la sabiduría de la mente colectiva, nacida de estos intercambios, se vuelca en las dos grandes herramientas que componen las guías CIS: los controles y los benchmarks.

Unos y otros conforman una suerte de gran nodo de información y conocimiento tecnológico que permite a las organizaciones controlar la resiliencia de sus sistemas y priorizar unas áreas sobre otras. Lo cual redunda en una optimización de los recursos humanos y técnicos.

Asimismo, controles y benchmarks facilitan la puesta en marcha de acciones que ya se han mostrado exitosas en otros casos. Configurando así la seguridad de los sistemas siguiendo las recomendaciones de los mejores expertos.

Por todo ello, las guías CIS son usadas por reponsables de sistemas de todo el mundo y son reconocidas por las principales instituciones. Así, en lo relativo a la Unión Europea, el Instituto Europeo de Normas de Telecomunicaciones (ETSI en sus siglas en inglés) las ha adoptado, consagrando su consolidación como estándares en materia de ciberseguridad, al igual que la metodología OWASP.

A continuación, abordaremos sucintamente en qué consisten y cómo funcionan.

Controles CIS: actividades clave para prevenir ataques

Los controles de seguridad críticos del CIS son 18 (antaño eran 20) acciones clave que las organizaciones deben ejecutar para fortalecer su ciberdefensa y protegerse de potenciales ataques. Conforman un conjunto de acciones defensivas y contramedidas que contribuyen a que los sistemas estén optimizados en materia de seguridad.

En la actualidad se encuentra vigente la versión 8 de los controles CIS, publicada en mayo del 2021 y que puso el foco en las soluciones Cloud, el móvil y el trabajo en remoto. Cuestiones especialmente sensibles en la era pandémica.

La lista completa de los 18 controles CIS incluye diversas actividades que van desde el inventario y control de los activos de la empresa y del software, hasta defensas frente al malware, pasando por una gestión continua de las vulnerabilidades, el desarrollo de pruebas de intrusión o la protección de datos.

Un conglomerado de acciones que cubren los principales ámbitos de la ciberseguridad y que permiten a las entidades preparar sus sistemas frente a las potenciales agresiones.

A partir de la versión 7.1, los controles se dividieron en tres grupos, para facilitar su implementación por todo tipo de organizaciones.

• Grupo 1: controles aplicables a todas las compañías, sean grandes o pequeñas.
• Grupo 2: controles adicionales para el almacenamiento de información sensible.
• Grupo 3: controles adicionales para el almacenamiento de información muy sensible.

De esta forma, las guías CIS se convierten en herramientas útiles no solo para las grandes organizaciones, sino también para las pequeñas empresas que necesitan salvaguardar su negocio frente a los ciberataques.

Así, el grupo 1 está compuesto por los controles más básicos, que el CIS considera de «cíber higiene básica» y fundamentales para la defensa de cualquier sistema.

Por su parte, el grupo 2, está conformado por controles pensados para organizaciones que tienen necesidades de seguridad y riesgos más complejos.

Mientras que el grupo 3 consistiría en la totalidad de los controles ideados y desarrollados.

Las ventajas de la automatización

A nadie se le escapa, en pleno 2022, que la automatización de procesos es una cuestión clave para cualquier empresa. En lo que respecta a los controles CIS, la automatización trae consigo múltiples ventajas, tanto en términos de productividad como de ciberseguridad.

Los controles de seguridad críticos proporcionan a cualquier entidad una base excelente para proceder a proteger sus sistemas.

A la vez, se mejora la productividad y se reducen los recursos humanos y temporales empleados en materia de ciberseguridad. Gracias a que los controles permiten definir rápidamente el punto de partida de las defensas de cada organización.

Además, mediante la automatización se puede llevar a cabo una precisa gestión de los cambios. Todas las empresas realizan cambios en sus sistemas para mantenerlos plenamente actualizados y protegidos. Los errores pueden suceder, por lo que es fundamental estar preparados para ellos. De ahí que la gestión de las desconfiguraciones sea clave.

Mediante la automatización se pueden planificar y programar los cambios que se vayan a implementar, así como llevar a cabo un control exhaustivo de su puesta en marcha y de sus resultados. Salvaguardando, de esta forma, el cumplimiento de los controles CIS y, en definitiva, la defensa del sistema.

Precisamente, la clave de bóveda de las guías CIS es la mejora de la ciberseguridad. La automatización de la comprobación de los controles contribuye a ello. El hardening o bastionado de sistemas y la detección y análisis de vulnerabilidades automáticos contribuyen a la reducción de las áreas que pueden sufrir ataques.

Benchmarks, guías de configuración de software y hardware

Los benchmarks son guías para facilitar la configuración de seguridad de sistemas IT, software y redes. Constituyen un conjunto de buenas prácticas fruto de la experiencia de los mejores profesionales del mundo. De hecho, su elaboración es el resultado del consenso al que llegan expertos de cada área.

Así, las más de 140 guías estipulan numerosas recomendaciones en diferentes tecnologías, probadas y testeadas en el día a día, que permiten a los administradores configurar los sistemas con las máximas garantías de ciberseguridad. Asimismo, cada una de estas recomendaciones hacen referencia a alguno de los controles CIS.

De tal forma que frente a las acciones generales que estipulan los controles de seguridad críticos, los benchmarks son un conjunto de directrices precisas para la implementación de un sistema de seguridad en hardware y software específicos, en consonancia con los primeros.

Niveles y categorías principales

Todas las guías que existen en la actualidad proporcionan dos niveles de configuración de seguridad y se dividen en siete categorías principales, que conforman una panorámica amplia del software y hardware existente.

Niveles de seguridad CIS

En cuanto a los niveles tenemos:

• Nivel 1: configuración de seguridad mínima recomendada. Debería configurarse en cualquier sistema, sin importar su tamaño. Causa poco o ningún impacto en el servicio o en una funcionalidad reducida.
• Nivel 2: configuración de seguridad recomendada para entornos de alta seguridad. Podría dar lugar a una cierta reducción de la funcionalidad.

Controles CIS para gestionar tecnologías

En lo que respecta a las categorías nos podemos encontrar con benchmarks de:

1. Sistemas operativos. Que cubren las configuraciones de seguridad de los principales sistemas: Windows, Linux, OSX…
2. Software de servidores. Sirven para implementar configuraciones de seguridad en los softwares de servidores más usados: Microsoft SQL Server, Nginx, MySQL…
3. Proveedores cloud. Se centran en las configuraciones de seguridad de las nubes más importantes: Amazon Web Services, Microsoft Azure, Google Cloud…
4. Dispositivos móviles. Focalizados en los sistemas operativos móviles, incluyendo, por supuesto, Android e iOS.
5. Dispositivos red. Recogen un conjunto de recomendaciones generales y específicas para los dispositivos red y hardware aplicables como Cisco, F5 o Palo Alto Networks.
6. Software de escritorio. Se ocupan de la configuración de seguridad de los programas de escritorio más usados como Microsoft Office, Google Chrome o Safari Browser.
7. Dispositivos de impresión multifunción. Incluyen recomendaciones para configurar impresoras multifunción en entornos de oficinas.

Al categorizar los benchmarks, se facilita el acceso a los mismos, sistematizándolos de forma altamente intuitiva.

El equipo de Tarlogic Security emplea las guías CIS de forma habitual para verificar los dos niveles de configuración de la seguridad en tecnologías concretas como Windows 10, Microsoft 365, servidores Linux, bases de datos…

Recomendaciones sistematizadas

El grueso de los benchmarks, documentos de gran extensión, dado su nivel de detalle, lo conforman las recomendaciones. Éstas, además de estar ordenadas por áreas de actuación, cuentan con una estructura precisa y funcional.

En primer lugar, figura el perfil en el que puede ser aplicada, es decir, si estamos ante una recomendación de nivel 1 o de nivel 2. A continuación se presenta una sucinta descripción y una justificación de esta.

El siguiente, el de auditoría de seguridad, es fundamental. Puesto que establece cómo se deben efectuar las comprobaciones para constatar si existe algún problema. Para ello se presenta un guion que suele incluir el comando exacto con el que realizar la comprobación. Facilitando sobremanera la tarea.

En el caso de detectarse algún inconveniente tras la auditoría, el benchmark propone posibles soluciones que los responsables de los sistemas deberán evaluar y poner en marcha.

Finalmente, se incluye una sección de notas y se especifican los controles de seguridad críticos relacionados con esta recomendación en sus últimas versiones.

CIS Hardened Images

Si los 18 controles de seguridad críticos necesitan ser automatizados para facilitar su comprobación y cumplimiento, en lo tocante a los benchmarks, la automatización es aún más importante. Puesto que cada una de estas guías incluye, como acabamos de señalar, cientos de recomendaciones y buenas prácticas.

Por ello, la evaluación automatizada es clave para poder llevar a cabo con éxito una implementación más rápida de la configuración segura.

Existe, ya, la posibilidad de desplegar sistemas de seguridad que cumplan con las guías CIS. Estamos hablando de las CIS Hardened Images. Estas imágenes virtuales han sido configuradas de acuerdo a las estipulaciones de los benchmarks, de cara a garantizar un despliegue seguro.

Según el CIS estas imágenes proporcionan a los usuarios un entorno informático seguro, bajo demanda y escalable. Las hardened images están disponibles en las principales plataformas cloud: AWS, Azure, Google Cloud…

Si bien, de partida, estos sistemas de seguridad cumplen con los controles y recomendaciones del CIS, este tipo de solución no asegura que las buenas prácticas del CIS se sigan cumpliendo a lo largo del tiempo, ya que es posible cambiar su configuración.

En definitiva, las guías CIS son herramientas especialmente útiles en el mundo de la ciberseguridad. Puesto que combinan controles generales con especificaciones concretas para las principales soluciones software y hardware del mundo, basados todos ellos en las mejores prácticas.

Como consecuencia de ello, su nivel de usabilidad por parte de cualquier empresa o institución, sin importar sus dimensiones, es inmenso. Y su estandarización en todo el mundo permite que su conocimiento, manejo y automatización sean fundamentales para hacer frente a los ciberriesgos.

Descubre nuestro trabajo y nuestros Servicios de verificación y automatización de las políticas de seguridad en www.tarlogic.com