¿En qué consisten los puntos de referencia del CIS?
Los puntos de referencia del Centro de Seguridad en Internet (CIS) son un conjunto de prácticas recomendadas reconocidas y consensuadas a nivel mundial para ayudar a los profesionales de la seguridad a aplicar y administrar las medidas de seguridad cibernética. Desarrolladas en colaboración con una comunidad mundial de expertos en seguridad, estas directrices ayudan a las organizaciones a protegerse de forma proactiva contra los riesgos emergentes. Las empresas aplican las directrices de los puntos de referencia del CIS para limitar las vulnerabilidades de seguridad basadas en la configuración de los activos digitales.
¿Por qué son importantes los puntos de referencia del CIS?
Herramientas como los puntos de referencia del CIS son importantes porque describen las prácticas recomendadas de seguridad, desarrolladas por profesionales en seguridad y expertos en la materia, para la implementación de más de 25 productos de diferentes proveedores. Estas prácticas recomendadas representan un buen punto de partida para crear un nuevo plan de implementación de productos o servicios, así como para verificar que las implementaciones existentes son seguras.
Al implementar los puntos de referencia del CIS, es posible proteger mejor los sistemas heredados contra los riesgos comunes y emergentes mediante la adopción de medidas como las siguientes:
- Desactivar los puertos que no se utilizan
- Eliminar los permisos innecesarios de las aplicaciones
- Limitar los privilegios administrativos
Los sistemas y aplicaciones de TI también tienen un mejor rendimiento cuando se desactivan los servicios innecesarios.
Ejemplo de los puntos de referencia del CIS
Por ejemplo, los administradores pueden seguir las directrices paso a paso del punto de referencia fundamental del CIS para AWS para facilitar la configuración de una política de contraseñas sólida para AWS Identity and Access Management (IAM). La aplicación de la política de contraseñas, el uso de la autenticación multifactor (MFA), la desactivación de la raíz, el hecho de garantizar que las claves de acceso se roten cada 90 días y otras tácticas constituyen pautas de identidad distintas, pero relacionadas, para mejorar la seguridad de una cuenta de AWS.
Al adoptar los puntos de referencia del CIS, las organizaciones pueden obtener varios beneficios en materia de seguridad cibernética, como los siguientes:
Directrices de seguridad cibernética elaboradas por expertos
Los puntos de referencia del CIS proporcionan a las organizaciones un marco de configuraciones de seguridad avalado por expertos y probado. Las empresas pueden evitar situaciones en las que se experimenta y se pone en riesgo la seguridad, ya que pueden aprovechar la experticia de una comunidad de TI y seguridad cibernética diversa.
Estándares de seguridad reconocidos a nivel mundial
Los puntos de referencia del CIS son las únicas guías de prácticas recomendadas reconocidas y aceptadas en todo el mundo por los gobiernos, las empresas, las instituciones de investigación y las académicas. Gracias a una comunidad global y diversa que trabaja en un modelo de toma de decisiones basado en el consenso, los puntos de referencia del CIS tienen una aplicabilidad y una aceptación mucho más amplias que las leyes y los estándares de seguridad regionales.
Prevención de amenazas de manera rentable
La documentación de los puntos de referencia del CIS se encuentra disponible de forma gratuita y cualquiera puede descargarla y ponerla en práctica. Su empresa puede obtener instrucciones actualizadas, paso a paso, para todo tipo de sistemas de TI sin costo alguno. Puede lograr la gobernanza de las TI y evitar los daños financieros y de reputación derivados de amenazas cibernéticas evitables.
Cumplimiento regulatorio
Los puntos de referencia del CIS son acordes con los principales marcos de seguridad y privacidad de datos, como estos:
- Marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST)
- Ley de portabilidad y responsabilidad de seguros de salud (HIPAA)
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS)
La implementación de los puntos de referencia del CIS es un importante paso para lograr que las organizaciones que operan en sectores fuertemente regulados cumplan con las normas. Estos pueden evitar incumplimientos derivados de sistemas de TI mal configurados.
¿Qué tipos de sistemas de TI cubren los puntos de referencia del CIS?
El CIS ha publicado más de 100 puntos de referencia que abarcan más de 25 familias de productos de proveedores. Cuando se aplican y supervisan los puntos de referencia del CIS en todos los tipos de sistemas de TI, se crea un entorno de TI intrínsecamente seguro que se puede proteger aún más con soluciones de seguridad. Las tecnologías cubiertas por los puntos de referencia del CIS se pueden agrupar a grandes rasgos en las siete categorías que se indican a continuación.
Sistemas operativos
Los puntos de referencia del CIS para sistemas operativos proporcionan configuraciones de seguridad estándar para sistemas operativos conocidos, incluido Amazon Linux. Estos puntos de referencia incluyen las prácticas recomendadas para características como las siguientes:
- Control de acceso al sistema operativo
- Políticas de grupos
- Configuración del navegador web
- Administración de parches
Infraestructura y servicios en la nube
Los puntos de referencia del CIS para la infraestructura en la nube proporcionan estándares de seguridad que las empresas pueden utilizar para configurar de forma segura los entornos en la nube, como los que proporciona AWS. Las directrices incluyen lineamientos de prácticas recomendadas para la configuración de redes virtuales, configuraciones de AWS Identity and Access Management (IAM), controles de cumplimiento y seguridad, y más.
Software para servidores
Los puntos de referencia del CIS para el software para servidores proporcionan referencias de configuración y recomendaciones para los ajustes del servidor, los controles de administración del servidor, los ajustes de almacenamiento y el software para servidores de los proveedores más conocidos.
Software de escritorio
Los puntos de referencia del CIS cubren la mayor parte del software de escritorio que las organizaciones utilizan habitualmente. Las directrices incluyen las prácticas recomendadas para la administración de las características del software de escritorio, como las siguientes:
- Software de escritorio de terceros
- Configuración del navegador
- Privilegios de acceso
- Cuentas de usuario
- Administración de los dispositivos de los clientes
Dispositivos móviles
Los puntos de referencia del CIS para dispositivos móviles cubren las configuraciones de seguridad para los sistemas operativos que se ejecutan en teléfonos móviles, tabletas y otros dispositivos de mano. Proporcionan recomendaciones para la configuración del navegador móvil, los permisos de las aplicaciones, la configuración de la privacidad y mucho más.
Dispositivos de red
Los puntos de referencia del CIS también proporcionan configuraciones de seguridad para dispositivos de red, como firewalls, enrutadores, conmutadores y redes privadas virtuales (VPN). Contienen recomendaciones tanto neutrales respecto al proveedor como específicas según el proveedor para garantizar que estos dispositivos de red se configuren y administren de forma segura.
Dispositivos de impresión de múltiples funciones
Los puntos de referencia del CIS para los periféricos de red, como las impresoras de múltiples funciones, los escáneres y las fotocopiadoras, abarcan las prácticas recomendadas de configuración segura, como los ajustes para compartir archivos, las restricciones de acceso y las actualizaciones de firmware.
¿En qué consisten los niveles de los puntos de referencia del CIS?
Para ayudar a las organizaciones a alcanzar sus objetivos de seguridad únicos, el CIS asigna un nivel de perfil a cada directriz de los puntos de referencia del CIS. Cada perfil del CIS incluye recomendaciones que proporcionan un nivel de seguridad diferente. Las organizaciones pueden elegir un perfil basado en sus necesidades de seguridad y cumplimiento.
Perfil del nivel 1
Las recomendaciones de configuración correspondientes al perfil de nivel 1 consisten en recomendaciones básicas de seguridad para la configuración de los sistemas de TI. Son fáciles de seguir y no afectan a la funcionalidad del negocio ni al tiempo de actividad. Estas recomendaciones reducen el número de puntos de entrada en los sistemas de TI, con lo que se reducen los riesgos de seguridad cibernética.
Perfil del nivel 2
Las recomendaciones de configuración correspondientes al perfil de nivel 2 funcionan mejor para los datos altamente confidenciales en los que la seguridad es una prioridad. La aplicación de estas recomendaciones requiere una experticia profesional y una planificación diligente para lograr una seguridad integral con mínimas interrupciones. La aplicación de las recomendaciones correspondientes al perfil de nivel 2 también ayuda a cumplir con las regulaciones.
Perfil del STIG
La Guía de implementación técnica de seguridad (STIG) es un conjunto de referencias de configuración de la Agencia de Sistemas de Información de Defensa (DISA). El Departamento de Defensa de Estados Unidos publica y mantiene estos estándares de seguridad. La STIG se escribió específicamente para cumplir con los requisitos establecidos por el gobierno de los Estados Unidos.
Los puntos de referencia del CIS también especifican un perfil STIG de nivel 3 que pretende ayudar a las organizaciones a cumplir con la STIG. El perfil de STIG contiene recomendaciones de perfil de nivel 1 y nivel 2 que son específicas de STIG y proporciona a su vez recomendaciones adicionales que los otros dos perfiles no cubren pero que son requeridas por la STIG de la DISA.
Cuando se configuran los sistemas de acuerdo con los puntos de referencia STIG del CIS, el entorno de TI cumple tanto con el CIS como con el STIG.
¿Cómo se desarrollan los puntos de referencia del CIS?
Las comunidades del CIS siguen un proceso único basado en el consenso para desarrollar, aprobar y mantener los puntos de referencia del CIS para los diferentes sistemas objetivo. En términos generales, el proceso de desarrollo de los puntos de referencia del CIS es el siguiente:
- La comunidad identifica la necesidad de un punto de referencia específico.
- Establecen el alcance del punto de referencia.
- Los voluntarios crean temas de conversación en el sitio web de la comunidad de WorkBench del CIS.
- Los expertos de la comunidad de CIS del sistema de TI específico dedican tiempo a revisar y debatir el proyecto de trabajo.
- Los expertos crean, debaten y prueban las recomendaciones hasta llegar a un consenso.
- Finalizan el punto de referencia y lo publican en la página web del CIS.
- Más voluntarios de la comunidad se unen al debate sobre los puntos de referencia del CIS.
- El equipo de consenso tiene en cuenta los comentarios de quienes aplican el punto de referencia.
- Realizan revisiones y actualizaciones en las nuevas versiones del punto de referencia del CIS.
La publicación de nuevas versiones de los puntos de referencia del CIS también depende de los cambios o actualizaciones de los sistemas de TI correspondientes.
¿Cómo se pueden aplicar los puntos de referencia del CIS?
Cada punto de referencia del CIS incluye una descripción de la recomendación, las razones que la justifican y las instrucciones que los administradores del sistema pueden seguir para aplicar la recomendación correctamente. Cada punto de referencia puede constar de varios cientos de páginas, puesto que abarca cada área del sistema de TI objetivo.
Aplicar los puntos de referencia del CIS y mantenerse al día con todos los lanzamientos de versiones resulta complicado si se hace manualmente. Por ello, muchas organizaciones utilizan herramientas automatizadas para supervisar el cumplimiento en materia de CIS. El CIS también ofrece herramientas gratuitas y premium que puede utilizar para analizar los sistemas de TI y generar informes de cumplimiento de CIS. Estas herramientas alertan a los administradores del sistema si las configuraciones existentes no cumplen con las recomendaciones de los puntos de referencia del CIS.
¿Qué otros recursos de seguridad se incluyen con los puntos de referencia del CIS?
El CIS también publica recursos adicionales para mejorar la seguridad de una organización en Internet, entre los que se incluyen los siguientes dos recursos principales.
Controles del CIS
Los controles del CIS (antes llamados controles críticos de seguridad del CIS) constituyen otro recurso que el CIS publica como una guía integral de prácticas recomendadas para la seguridad de sistemas y redes. La guía contiene una lista de comprobación de 20 medidas de protección y acciones de alta prioridad que han demostrado su eficacia contra las amenazas de seguridad cibernética más generalizadas y destructivas que afectan a los sistemas de TI.
Los controles del CIS se ajustan a la mayoría de los principales estándares y marcos regulatorios, como estos:
- Marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST)
- NIST 800-53
- Ley de portabilidad y responsabilidad del seguro de salud (HIPAA), Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS), Ley federal de gestión de la seguridad de la información (FISMA) y otras de la serie de estándares ISO 27000
Los controles del CIS ofrecen un punto de partida para seguir cualquiera de estos marcos de cumplimiento.
Los puntos de referencia del CIS frente a los controles del CIS
Los controles del CIS son principalmente directrices genéricas para proteger sistemas y redes enteras, mientras que los puntos de referencia del CIS son recomendaciones bastante específicas para configurar sistemas seguros. Los puntos de referencia del CIS son un paso fundamental para la aplicación de los controles del CIS, ya que cada recomendación del punto de referencia del CIS hace referencia a uno o varios de los controles del CIS.
Por ejemplo, el control 3 del CIS sugiere configuraciones seguras de hardware y software para los sistemas informáticos. Los puntos de referencia del CIS proporcionan una guía neutral respecto al proveedor y otra específica en función del proveedor, junto con instrucciones detalladas que los administradores pueden seguir para implementar el control 3 del CIS.
Imágenes reforzadas del CIS
Una máquina virtual (VM) es un entorno de computación virtual que emula un hardware informático dedicado. Las imágenes de máquinas virtuales son plantillas que los administradores de sistemas utilizan para crear rápidamente varias máquinas virtuales con configuraciones similares del sistema operativo. Sin embargo, si la imagen de máquina virtual se configura incorrectamente, las instancias de máquina virtual creadas a partir de esta también estarán mal configuradas y serán vulnerables.
El CIS ofrece imágenes reforzadas, que son imágenes de máquina virtual que ya han sido configuradas según los estándares de los puntos de referencia del CIS.
Ventajas de utilizar imágenes reforzadas del CIS
Las imágenes reforzadas del CIS son útiles porque ofrecen las siguientes características:
- Se encuentran previamente configurados según las referencias de los puntos de referencia del CIS
- Son fáciles de implementar y administrar
- El CIS las actualiza y revisa
Según sus necesidades de seguridad y cumplimiento, puede elegir imágenes reforzadas del CIS que estén configuradas con un perfil de nivel 1 o de nivel 2.
¿Cómo se utilizan los puntos de referencia del CIS en AWS?
CIS es un socio proveedor de software independiente (ISV) de AWS, a la vez que AWS es una empresa miembro de los puntos de referencia del seguridad de CIS. Los puntos de referencia del CIS incluyen directrices para las configuraciones seguras de un subconjunto de servicios en la nube de AWS y configuraciones a nivel de cuenta.
Por ejemplo, el CIS describe las prácticas recomendadas de configuración para AWS en los puntos de referencia del CIS, como estos:
- Punto de referencia fundamental del CIS para AWS
- Punto de referencia del CIS para Amazon Linux 2
- Punto de referencia del CIS para Amazon Elastic Kubernetes Service (EKS)
- Punto de referencia para la computación para usuarios finales de AWS
También puede acceder a las imágenes de Amazon Elastic Compute Cloud (EC2) reforzadas por el CIS en AWS Marketplace, con lo que podrá estar seguro de que las imágenes de Amazon EC2 cumplen los puntos de referencia del CIS.
Del mismo modo, puede automatizar las comprobaciones para garantizar que la implementación de AWS cumple las recomendaciones establecidas en el estándar del punto de referencia fundamental del CIS para AWS. AWS Security Hub es compatible con el estándar del punto de referencia fundamental del CIS para AWS, que consta de 43 controles y 32 requisitos de la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) en 14 servicios de AWS. Una vez que AWS Security Hub está habilitado, comienza inmediatamente a ejecutar comprobaciones de seguridad continuas y automatizadas respecto a cada control y a cada recurso relevante asociado a este.
Asegúrese de que la infraestructura en la nube cumple con los puntos de referencia y los controles del CIS y comience a utilizar AWS mediante la creación de una cuenta gratuita de AWS hoy mismo.
Siguientes pasos para los putos de referencia del CIS en AWS
Obtenga acceso inmediato al nivel Gratuito de AWS.
Comience a crear con AWS en la consola de administración de AWS.