Prevención de ataques cibernéticos con controles básicos de CIS

Las organizaciones de nivel empresarial tienen acceso a una amplia gama de herramientas, recursos, estándares y asesoramiento de seguridad. Al utilizar fuentes de amenazas gratuitas y de pago, pueden obtener un nivel sin precedentes de información sobre las últimas tácticas, técnicas y procedimientos de los actores de amenazas.

Incluso las organizaciones pequeñas se encuentran rodeadas por una larga lista de requisitos de cumplimiento, marcos de gestión de riesgos y regulaciones.

Considerándolo todo, puede parecer que las tareas necesarias para que las organizaciones identifiquen formas de protegerse contra los ataques cibernéticos serían fáciles. Sin embargo, gran parte de esta información puede resultar abrumadora. Los presupuestos y la logística pueden hacer que sea un desafío hacer todo, o incluso acercarse, dejando que las organizaciones tomen decisiones difíciles sobre qué acciones / controles priorizar. Aquí es donde entran en juego los controles básicos de CIS.

 

¿Qué son los controles básicos de CIS?

Los controles básicos de CIS son el nivel fundamental del marco de controles de CIS aceptado a nivel mundial: un conjunto de defensa en profundidad de 20 mejores prácticas desarrolladas por una amplia gama de expertos de la industria de TI y ciberseguridad.

Los controles CIS están diseñados para ayudar a las organizaciones a identificar las acciones que deben tomar para defenderse de los ataques más comunes del mundo real. Para desglosar aún más el orden en el que deben implementarse, los 20 controles CIS se dividen en tres categorías:

  • Controles básicos: controles 1-6
  • Controles fundamentales: controles 7-16
  • Controles organizacionales: controles 17-20

El objetivo de los controles de CIS es describir qué pueden hacer las organizaciones para defender eficazmente sus sistemas de información contra los ataques más comunes y proporcionar un enfoque gradual para implementar una defensa de ciberseguridad más sólida. Los controles de CIS deben ser el criterio para que las organizaciones intenten comprender si han cumplido con un estándar de cuidado a la defensiva. Los controles continuarán evolucionando y cambiando para reflejar las amenazas más actuales que enfrentan los sistemas de información.

Se puede lograr una defensa cibernética efectiva, con mucho trabajo y dedicación. Como sabemos, rara vez recompensas y reconocimientos dignos vienen fácilmente. Las organizaciones deben suponer que implementar y mantener estas defensas técnicas será un programa continuo, no un proyecto a corto plazo con una fecha de finalización definida. Al igual que con cualquier programa, los recursos apropiados, como el tiempo, los presupuestos y las personas, deben dedicarse al esfuerzo para garantizar su éxito.

Tags: