Conoce los niveles de compliance del CIS
El Centro para la seguridad de Internet o CIS (Center for Internet Security®) se define como una organización sin ánimo de lucro. Reconocida internacionalmente, se dedica efusivamente a promover las mejores prácticas en materia de ciberseguridad para toda organización.
Gracias a distintos profesionales de ciberseguridad y TI, en el CIS se decide de forma consensuada poner en conocimiento de todo aquel interesado unas lineas de base de configuración y mejores prácticas que conocemos como indicadores de CIS para productos o proveedores como Apple, Microsoft o Google. Estos indicadores de CIS lo conforman uno o más controles CIS.
Estos controles, al mismo tiempo facilitan una vía de implementación para ajustes dentro de la organización acorde a metas y objetivos sobre múltiples marcos jurídicos o reglamentarios. A destacar NIST 800-53, NIST 800-171, serie ISO 27000, PCI DSS, HIPAA, NERC CIP y FISMA.
Incurrir en la implementación de los 153 controles o salvaguardas que podemos encontrar en los indicadores que correspondan para nuestra organización puede resultar contraproducente por su nivel de afectación. Es por ello que la guía del CIS se organiza en 3 categorías o perfiles, para ofrecer de manera transversal toda una serie de recomendaciones adaptadas a diferentes tipos de organizaciones. Estas se conocen como grupos de implementación CIS (IG Implementation Group) o Critical Security Controls (Controles de Seguridad Críticos):
Grupos de implementación CIS (IG Implementation Group)
IG1 —> organizaciones pequeñas y medianas con experiencia limitada en TI y ciberseguridad con una tolerancia limitada de inactividad. La sensibilidad de la información que ellas tratan de proteger es baja y principalmente incluye información de empleados e información financiera.
IG2 (incluye IG1) —> organizaciones que emplea a individuos responsables de administrar y proteger la infraestructura de TI. Se almacenan procesos e información sensible sobre el cliente o información empresarial y pueden soportar breves interrupciones de servicios donde la mayor preocupación es la pérdida de la confianza del público si se produce una brecha.
IG3 (incluye IG1 y IG2) —> organizaciones que emplea expertos en seguridad los cuales se especializan en diferentes facetas de la ciberseguridad (por ejemplo, gestión de riesgo, pruebas de penetración, seguridad en las aplicaciones). Los activos e información tratados contienen información sensible o funciones que están sujetas a supervisión regulatoria y de cumplimiento y un posible ataque puede causar un daño significativo al bienestar público.
Áreas específicas de seguridad a abordar por el equipo de TI
Estos 3 grupos conforman toda una serie de controles que aplican a un total de 18 áreas específicas de seguridad a abordar por el equipo de TI de forma genérica:
- Inventario y control de los activos empresariales
- Inventario y control de activos software
- Protección de los datos
- Configuración segura de activos y software empresarial
- Administración de cuentas
- Gestión de control de accesos
- Gestión continua de vulnerabilidades
- Gestión de registros auditoria
- Protección del correo electrónico y navegador web
- Defensas contra malware
- Recuperación de datos
- Gestión de la infraestructura de red
- Monitoreo y defensa de la red
- Concienciación en seguridad y formación de habilidades
- Gestión de proveedores de servicios
- Seguridad en el software de aplicación
- Gestión de respuesta a incidentes
- Pruebas de penetración
CIS para dispositivos Apple
Ahora bien, los controles indicados en la guía CIS se presentan de forma genérica para más de 100 distintos productos presentes en el mercado. Adaptadas para distintas plataformas de Apple como macOS o iOS, tenemos a nuestra disposición estos mismos controles sujetos a una serie de niveles o puntos de referencias CIS que mantienen correlación con los grupos previamente mencionados. Estos se conocen y se caracterizan tal como se indica a continuación:
Perfil Nivel 1 —> configuraciones básicas a implementar diseñadas con el mínimo impacto posible en el rendimiento de los equipos. El propósito es conseguir el mínimo impacto posible sobre ciberataques sin entorpecer el rendimiento de los equipos y el negocio de la organización
Perfil Nivel 2 —> configuraciones recomendadas para entornos que manejen información altamente sensible donde la seguridad es una prioridad. Dichas recomendaciones han de ser ampliamente testadas al mismo tiempo que ayudan alcanzar el cumplimiento normativo
Desde Macnificos podemos ayudar a todas aquellas organizaciones interesadas a alcanzar no solo sus objetivos en materia de seguridad, sino a adherirse a requisitos para certificaciones como la ISO/IEC 27001. Contacta con Macnificos y estaremos encantados de ayudarte.
El mismo CIS pone a disposición de todos los interesados una guía que relaciona los controles o salvaguardas que podemos encontrar en las guías mencionadas con los controles de la ISO/IEC 27001, puedes acceder a la guía desde aquí:
Si tu organización necesita ir un paso más allá y ajustarse a otras normativas, como pueden ser la NIST 800-53 & 800-171, STIG o DISA, desde Macnificos podemos ayudarte a identificar qué puntos tratar, cómo generar reportes y cómo conseguir alcanzar tus objetivos.
Actualmente el CSI tiene publicada su versión número 8 en la que se ha basado esta publicación.
Otros árticulos Mac destacados
Gestión de dispositivos
Conoce los niveles de compliance del CIS
Daniel Tree 28.05.2024
El Centro para la seguridad de Internet o CIS (Center for Internet Security®) se define como una organiza
Hazlo con Mac
Modo Superposición videollamadas macOS Sonoma
Ricky Fernández 29.05.2024
Las videollamadas en FaceTime con macOS Sonoma cobran una nueva dimensión gracias a las últimas novedades, como el Modo Superposición, donde tenemo
Hazlo con Mac
Fotos compartidas en iCloud desde Mac
Ricky Fernández 28.05.2024
El Mac nos permite compartir fotos a través de iCloud desde un único enlace.