Los CIS Critical Security Controls proporcionan 18 salvaguardas priorizadas para proteger a las organizaciones de amenazas cibernéticas. Ya sea que esté implementando los esenciales de IG1 o las protecciones avanzadas de IG3, le ayudamos a construir defensas de ciberseguridad efectivas con acciones claras y evidencia.
Los CIS Critical Security Controls (Controles CIS) son un conjunto priorizado de acciones desarrollado por el Center for Internet Security para proteger a las organizaciones de vectores de ataque cibernético conocidos. La versión 8 incluye 18 controles con 153 salvaguardas organizadas en tres Grupos de Implementación.
Por qué esto importa: Los Controles CIS se construyen a partir de patrones de ataque reales y estrategias de defensa. Son independientes de proveedores, accionables y ampliamente reconocidos por proveedores de seguros cibernéticos y auditores como evidencia de diligencia debida en seguridad.
Enfocado en defensas de mayor impacto primero
Salvaguardas técnicas específicas para implementar
Pequeñas y medianas empresas
Organizaciones que buscan higiene cibernética esencial con IG1
Organizaciones empresariales
Empresas con departamentos de TI implementando IG2 o IG3
Infraestructura crítica
Organizaciones que protegen servicios y sistemas esenciales
Industrias reguladas
Servicios financieros, salud cumpliendo requisitos de cumplimiento
Proveedores de servicios gestionados
MSP implementando Controles CIS para clientes
Agencias gubernamentales
Organizaciones del sector público asegurando datos sensibles
Capacidades concretas que abordan la implementación en todas las salvaguardas
Mantenga inventarios completos de activos de hardware, software y datos con descubrimiento automatizado. La plataforma rastrea todos los dispositivos, aplicaciones e información sensible en su entorno, abordando los requisitos de los Controles CIS 1 y 2.
Aborda: Controles 1, 2: Inventario y control de activos empresariales
Identifique, rastree y remedie vulnerabilidades de seguridad en los sistemas. La plataforma monitorea el estado de los parches, prioriza actualizaciones críticas y mantiene pistas de auditoría para la gestión de vulnerabilidades alineada con el Control 7.
Aborda: Control 7: Gestión continua de vulnerabilidades
Gestione cuentas de usuario, privilegios y políticas de autenticación. La plataforma aplica principios de menor privilegio, rastrea el ciclo de vida de cuentas y monitorea el acceso privilegiado en línea con los Controles 5 y 6.
Aborda: Controles 5, 6: Gestión de cuentas y control de acceso
Recopile, analice y retenga registros de seguridad de sistemas críticos. La plataforma centraliza la gestión de registros, habilita la detección de amenazas y mantiene evidencia para la investigación de incidentes según los Controles 8 y 13.
Aborda: Controles 8, 13: Gestión de registros de auditoría y monitoreo de red
Gestione incidentes de seguridad con flujos de trabajo estructurados y procedimientos de recuperación. La plataforma documenta el manejo de incidentes, rastrea la remediación y habilita el análisis post-incidente alineado con el Control 17.
Aborda: Control 17: Gestión de respuesta a incidentes
Mantenga políticas de seguridad, estándares y evidencia de cumplimiento. La plataforma proporciona plantillas para políticas alineadas con CIS, rastrea la implementación de controles y genera informes para auditorías según el Control 1.
Aborda: Control 1: Gestión del programa y políticas de seguridad
Todas las actividades de seguridad se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobación. Esta pista de auditoría demuestra implementación sistemática de controles para revisiones de seguros cibernéticos y auditorías de cumplimiento.
VerifyWise proporciona herramientas dedicadas para las 153 salvaguardas en tres Grupos de Implementación
Controles CIS
Salvaguardas con herramientas dedicadas
Grupos de Implementación
Higiene cibernética esencial para todas las organizaciones
Organizaciones con personal y recursos de TI
Organizaciones con equipos de seguridad dedicados
Descubrimiento y gestión automatizados para Controles 1-2
Escaneo continuo y seguimiento de parches para Control 7
Paquetes de evidencia para solicitudes de seguros cibernéticos
Correlación con NIST CSF, ISO 27001 y SOC 2
Salvaguardas priorizadas para defenderse contra vectores de ataque cibernético conocidos
Gestionar activamente todos los activos empresariales conectados a la infraestructura, asegurando que solo dispositivos autorizados puedan acceder a la red.
Gestionar activamente todo el software en la red para que solo software autorizado esté instalado y pueda ejecutarse.
Desarrollar procesos y controles técnicos para identificar, clasificar, manejar de forma segura, retener y eliminar datos.
Establecer y mantener configuraciones seguras para activos y software empresariales.
Usar procesos y herramientas para asignar y gestionar la autorización de credenciales para cuentas de usuario, incluyendo cuentas de administrador.
Usar procesos y herramientas para crear, asignar, gestionar y revocar credenciales de acceso y privilegios para cuentas de usuario, administrador y servicio.
Desarrollar un plan para evaluar y rastrear continuamente vulnerabilidades en todos los activos empresariales dentro de la infraestructura.
Recopilar, alertar, revisar y retener registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.
Mejorar las protecciones y detecciones de amenazas de vectores de correo electrónico y web, ya que son oportunidades para que los atacantes manipulen el comportamiento humano.
Prevenir o controlar la instalación, propagación y ejecución de aplicaciones, código o scripts maliciosos en activos empresariales.
Establecer y mantener prácticas de recuperación de datos suficientes para restaurar activos empresariales en ámbito a un estado previo al incidente y confiable.
Establecer, implementar y gestionar activamente la configuración de seguridad de la infraestructura de red, incluyendo controles de seguridad de red.
Operar procesos y herramientas para establecer y mantener monitoreo integral de red y defensa contra amenazas de seguridad.
Establecer y mantener un programa de conciencia de seguridad para influir en el comportamiento de la fuerza laboral para que sea consciente de la seguridad.
Desarrollar un proceso para evaluar proveedores de servicios que manejan datos sensibles o son responsables de plataformas de TI críticas de una empresa.
Gestionar el ciclo de vida de seguridad del software desarrollado internamente, alojado o adquirido para prevenir, detectar y remediar debilidades de seguridad.
Establecer un programa para desarrollar y mantener una capacidad de respuesta a incidentes para descubrir, contener y recuperarse de ataques.
Probar la efectividad y resiliencia de los activos empresariales identificando y explotando debilidades en los controles.
Elija las salvaguardas adecuadas para los recursos y perfil de riesgo de su organización
56 salvaguardas
Higiene cibernética esencial para todas las organizaciones
Audiencia objetivo
Organizaciones pequeñas a medianas con experiencia y recursos limitados de ciberseguridad
Características
Incluye
Controles 1-11, 14, 17
131 salvaguardas
Organizaciones con personal y recursos de TI
Audiencia objetivo
Organizaciones que gestionan múltiples departamentos, sistemas o ubicaciones con recursos de TI dedicados
Características
Incluye
Todos los controles IG1 + Controles 12, 13, 15, 16
153 salvaguardas
Organizaciones con equipos de seguridad dedicados
Audiencia objetivo
Organizaciones con experiencia significativa en ciberseguridad, protegiendo datos sensibles o infraestructura crítica
Características
Incluye
Todos los controles IG1 + IG2 + Control 18
Mejoras clave y cambios en la última versión
| Aspecto | v7.1 | v8 | Cambio |
|---|---|---|---|
Total de controles | 20 Controles | 18 Controles (consolidados) | Simplificado |
Salvaguardas | 171 Sub-Controles | 153 Salvaguardas | Refinado y priorizado |
Grupos de Implementación | 3 IGs (IG1, IG2, IG3) | 3 IGs mantenidos | Orientación clarificada |
Tipos de activos | Enfoque en TI tradicional | Incluye nube, móvil, IoT | Cobertura modernizada |
Protección de datos | Control 13 | Control 3 (prioridad elevada) | Mayor énfasis |
Cadena de suministro | Orientación limitada | Control 15 (mejorado) | Alcance ampliado |
Enfoque de amenazas | Amenazas generales | Ransomware y ataques modernos | Prioridades actualizadas |
Métricas | Medición básica | Orientación de medición mejorada | Seguimiento mejorado |
Consejo de migración: Las organizaciones en v7.1 deben priorizar controles actualizados como el Control 3 (Protección de Datos), Control 15 (Gestión de Proveedores de Servicios) e inventario de activos modernizado para entornos de nube y móviles.
Ver guía completa de migración v8Un camino práctico hacia la adopción de los Controles CIS con hitos claros
Complemente los Controles CIS con orientación de configuración específica para su stack tecnológico
Mientras que los Controles CIS definen qué proteger (18 controles de seguridad), los CIS Benchmarks proporcionan guías de configuración detalladas sobre cómo asegurar sistemas específicos. Juntos, entregan cobertura integral de ciberseguridad desde la estrategia hasta la implementación.
Mejores prácticas y salvaguardas de seguridad de alto nivel
Configuraciones detalladas para tecnologías específicas
Benchmarks de configuración segura para sistemas Windows, Linux, macOS y Unix
Ejemplos
Directrices de configuración de seguridad para los principales proveedores de servicios en la nube
Ejemplos
Estándares de hardening para componentes de infraestructura de red
Ejemplos
Benchmarks de seguridad para sistemas de gestión de bases de datos
Ejemplos
Estándares de configuración para aplicaciones empresariales
Ejemplos
Líneas base de seguridad para sistemas operativos móviles
Ejemplos
Acceda a plantillas de políticas de seguridad listas para usar alineadas con los Controles CIS, NIST CSF y requisitos de ISO 27001
Preguntas comunes sobre la implementación de los Controles CIS
Inicie su camino de ciberseguridad con nuestra evaluación guiada y herramientas de implementación.