Grupos de implementación de los controles CIS: Cómo proteger a cualquier empresa

Cada día que pasa estamos más expuestos a los ciberdelitos. Ordenadores, smartphones y dispositivos IoT forman parte del día a día de todos los hogares y empresas. A lo que hay que sumar la irrupción de tecnologías punteras como la inteligencia artificial, los servicios en la nube, las ciudades inteligentes o el 5G. Todo ello redunda en un sinfín de oportunidades y ventajas para personas, profesionales y compañías. Pero también implica un aumento de la ciberexposición. Por ello es fundamental que todas las empresas, no solo las de mayor tamaño, sitúen la ciberseguridad en el centro de su estrategia. Precisamente, ese es el objetivo de los grupos de implementación de los controles CIS.

El Center for Internet Security (CIS) es una entidad sin ánimo de lucro cuya misión es generar confianza en el mundo digital. Para ello, ha desarrollado diversas soluciones y un marco metodológico basados en las mejores prácticas en ciberseguridad a nivel global. Dentro de esta labor destaca, sobre todo, la creación y actualización de los controles de seguridad críticos CIS.

La última versión de esta guía está conformada por 18 controles de seguridad y 153 salvaguardas. Es decir, acciones concretas que deben ejecutarse para implementar con eficacia cada uno de los controles.

¿Todas las empresas deben realizar estas 153 acciones? ¿Sería viable para una empresa de tamaño medio? La guía resuelve estas cuestiones definiendo tres grupos de implementación de los controles CIS, en función del tamaño de las empresas, sus recursos y su nivel de madurez en lo que respecta a la ciberseguridad.

A continuación, vamos a explorar las claves de los grupos de implementación de los controles CIS y su relevancia a la hora de ayudar a las pequeñas y medianas empresas a armarse frente a los ciberdelincuentes.

1. Digitalización y ciberseguridad

La digitalización se ha extendido a todos los ámbitos de nuestra vida y, también, al conjunto del tejido empresarial. Hoy en día, la mayoría de las empresas emplean software, dispositivos digitales o redes WiFi y cuentan con webs y otros elementos expuestos a internet y, por ende, a los ciberataques.

La transformación digital de las empresas debe ir acompañada de una estrategia de ciberseguridad acorde con la superficie de exposición de la compañía y los datos que almacena.

De lo contrario, las empresas se exponen a ser víctimas de fraudes o sustracción de datos. Así como a las consecuencias de estos incidentes de seguridad: menoscabo de la reputación de la compañía, pérdidas económicas ligadas al ataque, repercusiones legales y posibles multas…

Las grandes compañías emprendieron su transformación digital hace años, lo que ha repercutido en que tengan un nivel de concienciación mayor sobre la importancia de la ciberseguridad. Ello, junto a su capacidad de movilizar recursos económicos y la necesidad de cumplir con una normativa cada vez más exigente, ha facilitado que dichas organizaciones cuenten con departamentos especializados o que contraten servicios de ciberseguridad avanzados para optimizar sus medidas, controles y políticas de seguridad.

Por la contra, las pymes se han sumado a la revolución digital más tarde, carecen de la misma capacidad de recursos económicos, tienen que hacer frente a unos requisitos legales menos exigentes y, ante todo, presentan un nivel de concienciación sobre la importancia de la ciberseguridad sensiblemente menor.

A ello contribuye, también, que muchos incidentes de ciberseguridad sufridos por este tipo de empresas no son notificados, mientras que los ciberataques a los que tienen que enfrentarse las grandes empresas se hacen públicos y son incorporados por los medios de comunicación a la opinión pública.

2. Pymes, en la diana de los ciberataques

Habida cuenta del contexto que venimos de dibujar y de la creciente ciberexposición a la que se enfrentan, las pymes y las empresas medianas se han convertido en un objetivo ideal para los delincuentes. Puesto que resulta más sencillo detectar brechas de seguridad en esta clase de organizaciones que en compañías que emplean servicios de ciberseguridad para defenderse.

Según el ministerio del Interior, en España se produjeron más de 200.000 ciberdelitos entre enero y septiembre de 2022. A falta de saber la cifra del último trimestre y de incorporar los datos de Cataluña y el País Vasco, este titular da buena cuenta del número actuaciones delictivas que se llevan a cabo a través de internet. Una cifra que crece año tras año.

A pesar de ello, muchas empresas y ciudadanos no perciben los ciberataques como una amenaza de primer orden, que puede exfiltrar sus datos y tener un impacto trascendental en la actividad empresarial y la vida personal.

Así las cosas, el informe de Panorama actual de la ciberseguridad en España de Google arroja datos preocupantes. Por ejemplo, solo el 12% de los responsables de informática de las pymes considera que sus organizaciones tienen un nivel de protección «muy seguro» frente a los ataques. Es más, el 32% de dichos responsables no tienen claro, tan siquiera, el concepto de ciberseguridad. Todo ello se traduce en el hecho de que 2 de cada 3 pymes carecen de medidas de ciberseguridad.

¿Cuál es la consecuencia directa de estos datos? Que los criminales hayan puesto a las pequeñas y medianas empresas en su diana.

De ahí que las pymes no puedan seguir dejando de lado la ciberseguridad a la hora de diseñar su estrategia empresarial. De lo contrario, estarán poniendo en juego su continuidad de negocio y su propia supervivencia.

3. Grupos de implementación de los controles CIS: Ciberseguridad a la carta

Como señalamos antes, el CIS tiene como misión contribuir a que el ecosistema de internet sea más seguro tanto para las empresas como para el conjunto de la ciudadanía.

Por ello, los controles de seguridad críticos no componen una checklist que las compañías o los expertos en ciberseguridad deban realizar. Sino que se trata de un punto de partida para que las organizaciones creen su propio ecosistema de ciberseguridad.

En este sentido, resulta lógico que la implementación de los controles y las salvaguardas se lleve a cabo teniendo en cuenta las características, necesidades y recursos de cada empresa, así como su nivel de exposición frente a los ciberdelitos.

Los grupos de implementación de los controles CIS buscan, precisamente, adaptar esta metodología, reconocida de forma global, a la realidad y complejidad de toda clase de empresa. Desterrando, de esta forma, la idea de que la ciberseguridad solo es una cuestión que atañe a las grandes compañías y a las administraciones públicas.

3.1. ¿Cómo funcionan los grupos de implementación de los controles CIS?

De una forma muy sencilla. Al igual que sucede con la metodología OWASP, se podría decir que cada uno de los grupos de implementación de los controles CIS es una capa de seguridad:

• El primer grupo (IG1) incluye todas las salvaguardas que se deben ejecutar para garantizar un nivel de ciber higiene básico.
• El segundo grupo (IG2) está conformada por salvaguardas pensadas para compañías con un nivel de ciberexposición mayor.
• Mientras que el tercer grupo (IG3), incluiría salvaguardas que contribuyen a securizar a una compañía frente a ciberataques sofisticados.

Así, las empresas pequeñas y medianas con recursos limitados, podrían enfocar estos hacia las cuestiones más importantes en el terreno de la ciberseguridad, implementando las 56 salvaguardas de IG1.

Mientras que las compañías con una ciberexposición mayor y, también, con más recursos para optimizar su estrategia de seguridad, además de ejecutar esas 56 salvaguardas de ciber higiene básica, deben acometer las 74 salvaguardas de IG2 y, de ser el caso, las 23 acciones incluidas en IG3.

3.2. Adaptar los controles a las necesidades de cada empresa

Cabe señalar que, al no tratarse de un listado cerrado, la implementación de los controles CIS se puede adaptar a cada casuística.

Pensemos, por ejemplo, en una pyme que por sus características y recursos entraría dentro del grupo de implementación 1. Sin embargo, de cara a garantizar la continuidad de negocio en caso de que se produzca un incidente de seguridad, está interesada en profundizar en la implementación del control CIS 17: Gestión de respuesta a incidentes.

Así, además de las tres salvaguardas que deben ejecutar las organizaciones IG1, decide poner en marcha tres acciones pensadas para IG2 e IG3:

• Establecer y mantener un proceso de respuesta a incidentes (17.4.)
• Asignar roles claves y responsabilidades (17.5.)
• Definir mecanismos de comunicación durante la respuesta a incidentes (17.6.)

Este ejemplo nos permite observar una cuestión que apuntábamos antes, los controles CIS son un punto de partida. Una herramienta pensada para ayudar a todo tipo de empresas a diseñar y optimizar su estrategia de seguridad y proteger su modelo de negocio, su infraestructura tecnológica y los datos de sus clientes frente a los ciberdelincuentes.

De ahí que los grupos de implementación de los controles CIS estén pensados para guiar a las compañías, en especial a las pequeñas y medianas, en el proceso de emplear los controles CIS para securizarse. Y, sobre todo, ayudarlas a decidir cómo gestionan sus recursos y qué acciones de seguridad deben priorizar.

 

4. Garantizar que las empresas pequeñas y medianas gozan de una ciber higiene básica

Aunque muchas pymes creen que los ciberataques van dirigidos a las grandes compañías que manejan ingentes cantidades de datos sensibles, por ejemplo, las entidades bancarias. La realidad ha demostrado que las pymes también son un objetivo de los delincuentes y que no pueden mirar hacia otro lado.

Además, la aprobación del RGPD o la directiva NIS2 obliga a miles de empresas, no solo a las de gran tamaño, a fortalecer sus medidas de seguridad, contar con políticas de gestión de incidentes y transferencia de información eficaces y almacenar y tratar los datos de sus clientes y trabajadores con seguridad.

Por todo ello, los controles de seguridad críticos CIS pueden suponer un buen punto de partida para evaluar y optimizar los mecanismos de seguridad de una empresa pequeña o mediana.

En este sentido, las salvaguardas incluidas en el primero de los grupos de implementación son acciones básicas que una compañía debe poner en marcha para proteger sus activos.

La guía CIS sostiene que las empresas pequeñas y medianas, en materia de protección de datos, deben, sobre todo, salvaguardar «información de empleados e información financiera».

Por ello, las acciones seleccionadas para el grupo de implementación 1 están focalizadas en ayudar a las empresas a resistir frente a «ataques generales y no dirigidos». Y se pueden ejecutar empleando hardware y software disponible en el mercado.

4.1. No invertir recursos en los controles de seguridad más avanzados

Cabe destacar que las 56 salvaguardas seleccionadas para IG1 no se distribuyen entre los 18 controles CIS.

Hay tres controles de seguridad críticos que las empresas con menores exigencias y necesidades en materia de ciberseguridad no tienen que implementar:

• Monitoreo y Defensa de la red (13)
• Seguridad en el software de aplicación (16)
• Pruebas de intrusión (18)

Ello se debe a que se trata de controles que requieren contar con recursos y conocimientos de ciberseguridad avanzados. Por ejemplo, los servicios de pentesting deben ser ejecutados por profesionales con una amplia experiencia y un basto conocimiento.

Un tipo de análisis tan exhaustivo no resulta indispensable para empresas pequeñas y medianas cuyo nivel de ciberexposición y sensibilidad de la información es menor.

Como cualquier empresario o profesional sabe, los recursos de una organización son limitados. Por ello, es fundamental priorizar las acciones que se deben realizar y dirigir los recursos económicos a las áreas en las que la relación coste/beneficio sea más ventajosa para la empresa.

4.2. Poner el foco en la recuperación de datos y en la formación

Por la contra, debemos destacar el hecho de que hay dos controles de seguridad críticos, en los que la práctica totalidad de sus salvaguardas deben ser ejecutadas también por las pequeñas y medianas empresas:

• Recuperación de datos (11)
• Concientización en seguridad y formación de habilidades (14)

4.2.1. Recuperación de datos

En lo que respecta a la recuperación de datos, las pymes tienen que ejecutar 4 de las 5 salvaguardas que conforman este control:

• Establecer y mantener un proceso de recuperación de datos (11.1.)
• Realizar copias de seguridad automatizadas (11.2.)
• Proteger los datos de recuperación (11.3.)
• Establecer y mantener una instancia aislada de datos de recuperación (11.4.)

Ello da buena muestra de la importancia que tiene la información hoy en día para la totalidad de las empresas. Así como de las exigencias legales en materia de protección de datos. Todas las organizaciones deben contar con mecanismos eficaces para recuperar sus datos y restablecer la normalidad en caso de sufrir un incidente de seguridad. De lo contrario, la actividad de la empresa puede verse afectada de manera grave e irreparable.

4.2.2. Formación y concienciación en ciberseguridad

Por su parte, las tareas de concienciación y formación en materia de ciberseguridad son fundamentales para evitar que los profesionales cometan descuidos o actos imprudentes que desencadenan incidentes de seguridad.

Además, como hemos sostenido a lo largo de este artículo, uno de los grandes motivos por los que las pequeñas y medianas empresas no le otorgan a la ciberseguridad la relevancia que debe tener es que las personas que toman decisiones no están concienciadas sobre las repercusiones de un ciberataque exitoso.

Teniendo en cuenta estas cuestiones, la guía establece que las empresas de IG1 deben realizar 8 de las 9 salvaguardas seleccionadas para este grupo de implementación de los controles CIS:

• Establecer y mantener un programa de concientización sobre seguridad (14.1.)
• Capacitar a los profesionales y trabajadores de la empresa:
• Para que reconozcan los ataques de ingeniería social (14.2.)
• Sobre las mejores prácticas de autenticación (14.3.)
• En las mejores prácticas de manejo de datos (14.4.)
• Sobre las causas de la exposición involuntaria de datos (14.5.)
• Sobre el reconocimiento y la notificación de incidentes de seguridad (14.6.)
• Para que puedan identificar e informar si los activos empresariales carecen de actualizaciones de seguridad (14.7.)
• Sobre los peligros de conectarse y transmitir datos empresariales a través de redes seguras (14.8.)

5. Securizar a las organizaciones más expuestas a los ciberataques

Tras analizar las características de IG1, es el momento de detenernos levemente en los grupos de implementación de los controles CIS más avanzados: IG2 e IG3.

A las 56 salvaguardas de ciberdefensa básicas de IG1, hay que sumar las 74 acciones adicionales de IG2 y, finalmente, para las compañías más maduras, las 23 salvaguardas de IG3.

5.1. Empresas con responsables de administrar y proteger la infraestructura IT

¿Para qué tipo de organizaciones está pensado el segundo de los grupos de implementación de los controles CIS?

Empresas que disponen de profesionales encargados de gestionar y salvaguardar su infraestructura tecnológica. Estamos hablando, por lo tanto, de compañías con cierto tamaño, conformadas por diversos departamentos, con un perfil de riesgo diferente.

A diferencia de las pequeñas y medianas empresas, estas compañías almacenan y tratan información especialmente sensible, tanto datos empresariales de vital importancia, como información personal de sus clientes.

Por ello, necesitan garantizar la protección de sus datos y la continuidad de negocio, de cara a evitar «la pérdida de la confianza del público si se produce una brecha».

Las 130 salvaguardas que se deben ejecutar, permiten a estas empresas afrontar con éxito los desafíos que conlleva su creciente ciberexposición. Así como las exigencias vinculadas a una infraestructura tecnológica compleja.

Para poder implementar estas salvaguardas, las compañías necesitan contar con profesionales experimentados en la prestación de servicios de ciberseguridad y el manejo de metodologías de referencia como CIS, OWASP o NIST.

Ejecutar las acciones seleccionadas en el IG2 implica poner en marcha los 18 controles de seguridad críticos CIS. Además, cinco de estos controles se implementan en su totalidad en este grupo de implementación:

• Administración de cuentas (5)
• Gestión continua de vulnerabilidades (7)
• Defensas contra malware (10)
• Recuperación de datos (11)
• Concientización en seguridad y formación de habilidades (14)

5.2. Compañías que contratan profesionales de ciberseguridad

Finalmente, nos encontraríamos con el último de los grupos de implementación de los controles CIS: IG3. Este grupo está pensado para las compañías que contratan servicios de ciberseguridad avanzados, de cara a cubrir las principales áreas de la estrategia de seguridad de una compañía plenamente digitalizada: gestión de los riesgos de los activos e infraestructura tecnológica, realización de test de intrusión periódicos para evaluar el funcionamiento de las medidas de seguridad, auditoría de la seguridad de las aplicaciones web y de las apps móviles…

5.2.1. Salvaguardar los datos y cumplir con la normativa

De tal forma que nos encontramos ante compañías que:

• Almacenan, tratan y protegen información extremadamente sensible. Tanto de tipo empresarial como datos privados de sus clientes y trabajadores.
• Deben cumplir con un marco regulatorio muy estricto. RGPD, directiva NIS2, reglamento DORA…

De ahí que deban asegurarse de que su estrategia de seguridad es óptima y se actualiza constantemente para enfrentar las técnicas más punteras desarrolladas por los ciberdelincuentes.

La disponibilidad, confidencialidad, integridad y accesibilidad de los datos es una cuestión capital a la hora de diseñar, evaluar y mejorar sus sistemas de seguridad.

Las repercusiones de un ataque exitoso pueden ser catastróficas: económica, legal y socialmente.

De ahí que las 23 salvaguardas que se añaden a las seleccionadas en el IG2 estén pensadas para que las compañías y sus expertos en ciberseguridad se cercioren de que la organización es capaz de detectar de forma temprana, contener y mitigar ataques sofisticados.

A modo de ejemplo, podemos señalar alguna de estas acciones de ciberdefensa avanzadas: utilizar una herramienta de descubrimiento pasivo de activos (1.5.), registrar el acceso a los datos confidenciales (3.14.), implementar protecciones antimalware del servidor de email (9.7.) o realizar pruebas de penetración interna de manera periódica (18.5.).

En definitiva, los grupos de implementación de los controles CIS son una funcionalidad extra de esta metodología que ayuda a cualquier tipo de empresa a diseñar, evaluar y mejorar su estrategia de seguridad.

De tal manera que, gracias a los grupos de implementación de los controles CIS, no solo las compañías con mayor facturación y recursos pueden protegerse frente a los ciberataques. Sino que las pymes también pueden implementar los controles de seguridad críticos y gestionar sus recursos para proteger sus activos y su modelo de negocio ante los crecientes fraudes y ataques que están experimentando.