CIS Critical Security Controls v8

Guía de cumplimiento de CIS Controls v8

Los CIS Critical Security Controls proporcionan 18 salvaguardas priorizadas para proteger a las organizaciones de amenazas cibernéticas. Ya sea que esté implementando los esenciales de IG1 o las protecciones avanzadas de IG3, le ayudamos a construir defensas de ciberseguridad efectivas con acciones claras y evidencia.

Iniciar evaluación de seguridadReservar llamada de implementación

¿Qué son los Controles CIS?

Los CIS Critical Security Controls (Controles CIS) son un conjunto priorizado de acciones desarrollado por el Center for Internet Security para proteger a las organizaciones de vectores de ataque cibernético conocidos. La versión 8 incluye 18 controles con 153 salvaguardas organizadas en tres Grupos de Implementación.

Por qué esto importa: Los Controles CIS se construyen a partir de patrones de ataque reales y estrategias de defensa. Son independientes de proveedores, accionables y ampliamente reconocidos por proveedores de seguros cibernéticos y auditores como evidencia de diligencia debida en seguridad.

Priorizado

Enfocado en defensas de mayor impacto primero

Accionable

Salvaguardas técnicas específicas para implementar

Se mapea a NIST CSF, ISO 27001 y requisitos de SOC 2.

¿Quién debería implementar los Controles CIS?

Pequeñas y medianas empresas

Organizaciones que buscan higiene cibernética esencial con IG1

Organizaciones empresariales

Empresas con departamentos de TI implementando IG2 o IG3

Infraestructura crítica

Organizaciones que protegen servicios y sistemas esenciales

Industrias reguladas

Servicios financieros, salud cumpliendo requisitos de cumplimiento

Proveedores de servicios gestionados

MSP implementando Controles CIS para clientes

Agencias gubernamentales

Organizaciones del sector público asegurando datos sensibles

Cómo VerifyWise apoya el cumplimiento de los Controles CIS

Capacidades concretas que abordan la implementación en todas las salvaguardas

Inventario y gestión de activos

Mantenga inventarios completos de activos de hardware, software y datos con descubrimiento automatizado. La plataforma rastrea todos los dispositivos, aplicaciones e información sensible en su entorno, abordando los requisitos de los Controles CIS 1 y 2.

Aborda: Controles 1, 2: Inventario y control de activos empresariales

Gestión de vulnerabilidades y parches

Identifique, rastree y remedie vulnerabilidades de seguridad en los sistemas. La plataforma monitorea el estado de los parches, prioriza actualizaciones críticas y mantiene pistas de auditoría para la gestión de vulnerabilidades alineada con el Control 7.

Aborda: Control 7: Gestión continua de vulnerabilidades

Control de acceso y autenticación

Gestione cuentas de usuario, privilegios y políticas de autenticación. La plataforma aplica principios de menor privilegio, rastrea el ciclo de vida de cuentas y monitorea el acceso privilegiado en línea con los Controles 5 y 6.

Aborda: Controles 5, 6: Gestión de cuentas y control de acceso

Monitoreo de seguridad y registros

Recopile, analice y retenga registros de seguridad de sistemas críticos. La plataforma centraliza la gestión de registros, habilita la detección de amenazas y mantiene evidencia para la investigación de incidentes según los Controles 8 y 13.

Aborda: Controles 8, 13: Gestión de registros de auditoría y monitoreo de red

Respuesta a incidentes y recuperación

Gestione incidentes de seguridad con flujos de trabajo estructurados y procedimientos de recuperación. La plataforma documenta el manejo de incidentes, rastrea la remediación y habilita el análisis post-incidente alineado con el Control 17.

Aborda: Control 17: Gestión de respuesta a incidentes

Seguimiento de políticas y cumplimiento

Mantenga políticas de seguridad, estándares y evidencia de cumplimiento. La plataforma proporciona plantillas para políticas alineadas con CIS, rastrea la implementación de controles y genera informes para auditorías según el Control 1.

Aborda: Control 1: Gestión del programa y políticas de seguridad

Todas las actividades de seguridad se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobación. Esta pista de auditoría demuestra implementación sistemática de controles para revisiones de seguros cibernéticos y auditorías de cumplimiento.

Cobertura completa de salvaguardas de CIS Controls v8

VerifyWise proporciona herramientas dedicadas para las 153 salvaguardas en tres Grupos de Implementación

18

Controles CIS

153

Salvaguardas con herramientas dedicadas

3

Grupos de Implementación

IG156/56

Higiene cibernética esencial para todas las organizaciones

IG2131/131

Organizaciones con personal y recursos de TI

IG3153/153

Organizaciones con equipos de seguridad dedicados

Construido para Controles CIS desde cero

Seguimiento de inventario de activos

Descubrimiento y gestión automatizados para Controles 1-2

Gestión de vulnerabilidades

Escaneo continuo y seguimiento de parches para Control 7

Preparación para seguros

Paquetes de evidencia para solicitudes de seguros cibernéticos

Mapeo multi-marco

Correlación con NIST CSF, ISO 27001 y SOC 2

18 CIS Critical Security Controls

Salvaguardas priorizadas para defenderse contra vectores de ataque cibernético conocidos

Control 1

Inventario y control de activos empresariales

Gestionar activamente todos los activos empresariales conectados a la infraestructura, asegurando que solo dispositivos autorizados puedan acceder a la red.

IG1IG2IG3
  • Establecer y mantener inventario de activos
  • Abordar activos no autorizados
  • Utilizar herramientas de gestión de activos
  • Asegurar direccionamiento adecuado de activos

Control 2

Inventario y control de activos de software

Gestionar activamente todo el software en la red para que solo software autorizado esté instalado y pueda ejecutarse.

IG1IG2IG3
  • Establecer y mantener inventario de software
  • Abordar software no autorizado
  • Utilizar herramientas de inventario de software
  • Usar listas blancas y negras

Control 3

Protección de datos

Desarrollar procesos y controles técnicos para identificar, clasificar, manejar de forma segura, retener y eliminar datos.

IG1IG2IG3
  • Establecer proceso de gestión de datos
  • Clasificar datos sensibles
  • Cifrar datos en reposo y en tránsito
  • Aplicar políticas de retención de datos

Control 4

Configuración segura de activos y software empresariales

Establecer y mantener configuraciones seguras para activos y software empresariales.

IG1IG2IG3
  • Establecer proceso de configuración segura
  • Mantener estándares de configuración
  • Desplegar herramientas de gestión de configuración
  • Implementar monitoreo automatizado de configuración

Control 5

Gestión de cuentas

Usar procesos y herramientas para asignar y gestionar la autorización de credenciales para cuentas de usuario, incluyendo cuentas de administrador.

IG1IG2IG3
  • Establecer proceso de concesión de acceso
  • Mantener inventario de cuentas
  • Deshabilitar cuentas inactivas
  • Restringir privilegios de administrador

Control 6

Gestión de control de acceso

Usar procesos y herramientas para crear, asignar, gestionar y revocar credenciales de acceso y privilegios para cuentas de usuario, administrador y servicio.

IG1IG2IG3
  • Establecer proceso de revisión de acceso
  • Centralizar control de acceso
  • Requerir autenticación multifactor
  • Definir y mantener control de acceso basado en roles

Control 7

Gestión continua de vulnerabilidades

Desarrollar un plan para evaluar y rastrear continuamente vulnerabilidades en todos los activos empresariales dentro de la infraestructura.

IG1IG2IG3
  • Establecer proceso de gestión de vulnerabilidades
  • Realizar escaneo automatizado de vulnerabilidades
  • Remediar vulnerabilidades detectadas
  • Gestionar ciclo de vida de remediación de vulnerabilidades

Control 8

Gestión de registros de auditoría

Recopilar, alertar, revisar y retener registros de auditoría de eventos que podrían ayudar a detectar, comprender o recuperarse de un ataque.

IG1IG2IG3
  • Establecer proceso de gestión de registros de auditoría
  • Recopilar registros de auditoría
  • Asegurar almacenamiento adecuado de registros
  • Estandarizar sincronización de tiempo

Control 9

Protecciones de correo electrónico y navegador web

Mejorar las protecciones y detecciones de amenazas de vectores de correo electrónico y web, ya que son oportunidades para que los atacantes manipulen el comportamiento humano.

IG1IG2IG3
  • Asegurar el uso solo de navegadores y clientes de correo soportados
  • Usar servicios de filtrado DNS
  • Mantener y aplicar políticas de seguridad de correo
  • Bloquear tipos de archivos innecesarios

Control 10

Defensas contra malware

Prevenir o controlar la instalación, propagación y ejecución de aplicaciones, código o scripts maliciosos en activos empresariales.

IG1IG2IG3
  • Desplegar software anti-malware
  • Configurar actualizaciones automáticas anti-malware
  • Habilitar funciones anti-explotación
  • Deshabilitar autoejecución y reproducción automática

Control 11

Recuperación de datos

Establecer y mantener prácticas de recuperación de datos suficientes para restaurar activos empresariales en ámbito a un estado previo al incidente y confiable.

IG1IG2IG3
  • Establecer proceso de recuperación de datos
  • Realizar copias de seguridad automatizadas
  • Proteger datos de recuperación
  • Probar recuperación de datos regularmente

Control 12

Gestión de infraestructura de red

Establecer, implementar y gestionar activamente la configuración de seguridad de la infraestructura de red, incluyendo controles de seguridad de red.

IG2IG3
  • Asegurar que la infraestructura de red esté actualizada
  • Establecer y mantener arquitectura de red segura
  • Gestionar la infraestructura de red de forma segura
  • Desplegar IDS basado en red

Control 13

Monitoreo y defensa de red

Operar procesos y herramientas para establecer y mantener monitoreo integral de red y defensa contra amenazas de seguridad.

IG2IG3
  • Centralizar alertas de eventos de seguridad
  • Desplegar IDS basado en host
  • Realizar filtrado de tráfico entre segmentos de red
  • Gestionar control de acceso para activos remotos

Control 14

Capacitación y habilidades de conciencia de seguridad

Establecer y mantener un programa de conciencia de seguridad para influir en el comportamiento de la fuerza laboral para que sea consciente de la seguridad.

IG1IG2IG3
  • Establecer programa de conciencia de seguridad
  • Capacitar a la fuerza laboral en autenticación segura
  • Capacitar a la fuerza laboral en manejo de datos
  • Capacitar a los miembros en identificación de ataques de ingeniería social

Control 15

Gestión de proveedores de servicios

Desarrollar un proceso para evaluar proveedores de servicios que manejan datos sensibles o son responsables de plataformas de TI críticas de una empresa.

IG2IG3
  • Establecer proceso de gestión de proveedores de servicios
  • Mantener inventario de proveedores de servicios
  • Clasificar proveedores de servicios
  • Revisar y actualizar contratos de proveedores

Control 16

Seguridad de software de aplicaciones

Gestionar el ciclo de vida de seguridad del software desarrollado internamente, alojado o adquirido para prevenir, detectar y remediar debilidades de seguridad.

IG2IG3
  • Establecer programa de seguridad de software de aplicaciones
  • Establecer prácticas de codificación segura
  • Realizar análisis de causa raíz
  • Separar sistemas de producción y no producción

Control 17

Gestión de respuesta a incidentes

Establecer un programa para desarrollar y mantener una capacidad de respuesta a incidentes para descubrir, contener y recuperarse de ataques.

IG1IG2IG3
  • Designar personal para gestionar incidentes
  • Establecer proceso de respuesta a incidentes
  • Realizar ejercicios rutinarios de respuesta a incidentes
  • Establecer y mantener información de contacto para reportar incidentes

Control 18

Pruebas de penetración

Probar la efectividad y resiliencia de los activos empresariales identificando y explotando debilidades en los controles.

IG3
  • Establecer programa de pruebas de penetración
  • Realizar pruebas de penetración externas periódicas
  • Remediar hallazgos de pruebas de penetración
  • Validar controles de seguridad

Grupos de Implementación explicados

Elija las salvaguardas adecuadas para los recursos y perfil de riesgo de su organización

Grupo de Implementación 1 (IG1)

56 salvaguardas

Higiene cibernética esencial para todas las organizaciones

Audiencia objetivo

Organizaciones pequeñas a medianas con experiencia y recursos limitados de ciberseguridad

Características

  • Recursos limitados de TI y seguridad
  • Controles de seguridad base
  • Medidas de protección esenciales
  • Base para madurez de seguridad

Incluye

Controles 1-11, 14, 17

Grupo de Implementación 2 (IG2)

131 salvaguardas

Organizaciones con personal y recursos de TI

Audiencia objetivo

Organizaciones que gestionan múltiples departamentos, sistemas o ubicaciones con recursos de TI dedicados

Características

  • Personal de TI dedicado
  • Complejidad de seguridad moderada
  • Capacidades de monitoreo mejoradas
  • Enfoque basado en riesgos

Incluye

Todos los controles IG1 + Controles 12, 13, 15, 16

Grupo de Implementación 3 (IG3)

153 salvaguardas

Organizaciones con equipos de seguridad dedicados

Audiencia objetivo

Organizaciones con experiencia significativa en ciberseguridad, protegiendo datos sensibles o infraestructura crítica

Características

  • Equipo de seguridad dedicado
  • Protección avanzada contra amenazas
  • Programa de seguridad integral
  • Enfoque en cumplimiento regulatorio

Incluye

Todos los controles IG1 + IG2 + Control 18

CIS Controls v8 vs v7.1

Mejoras clave y cambios en la última versión

Aspectov7.1v8Cambio
Total de controles
20 Controles18 Controles (consolidados)Simplificado
Salvaguardas
171 Sub-Controles153 SalvaguardasRefinado y priorizado
Grupos de Implementación
3 IGs (IG1, IG2, IG3)3 IGs mantenidosOrientación clarificada
Tipos de activos
Enfoque en TI tradicionalIncluye nube, móvil, IoTCobertura modernizada
Protección de datos
Control 13Control 3 (prioridad elevada)Mayor énfasis
Cadena de suministro
Orientación limitadaControl 15 (mejorado)Alcance ampliado
Enfoque de amenazas
Amenazas generalesRansomware y ataques modernosPrioridades actualizadas
Métricas
Medición básicaOrientación de medición mejoradaSeguimiento mejorado

Consejo de migración: Las organizaciones en v7.1 deben priorizar controles actualizados como el Control 3 (Protección de Datos), Control 15 (Gestión de Proveedores de Servicios) e inventario de activos modernizado para entornos de nube y móviles.

Ver guía completa de migración v8

Hoja de ruta de implementación de 36 semanas

Un camino práctico hacia la adopción de los Controles CIS con hitos claros

Fase 1Semanas 1-6

Base

  • Determinar el Grupo de Implementación apropiado (IG1, IG2 o IG3)
  • Establecer inventario de activos para hardware y software
  • Definir configuraciones y estándares seguros
  • Implementar políticas básicas de control de acceso
Fase 2Semanas 7-16

Controles principales

  • Desplegar escaneo de vulnerabilidades y gestión de parches
  • Implementar registro de auditorías y monitoreo
  • Establecer protección y cifrado de datos
  • Configurar protecciones de correo electrónico y navegador web
Fase 3Semanas 17-26

Protección avanzada

  • Desplegar segmentación y monitoreo de red
  • Implementar procedimientos de respuesta a incidentes
  • Establecer programa de capacitación de conciencia de seguridad
  • Configurar defensas contra malware y sistemas de respaldo
Fase 4Semanas 27-36

Madurez y optimización

  • Realizar pruebas de penetración (IG3)
  • Revisar y optimizar gestión de proveedores de servicios
  • Mejorar prácticas de seguridad de aplicaciones
  • Establecer ciclo de mejora continua

Integración de CIS Benchmarks

Complemente los Controles CIS con orientación de configuración específica para su stack tecnológico

Mientras que los Controles CIS definen qué proteger (18 controles de seguridad), los CIS Benchmarks proporcionan guías de configuración detalladas sobre cómo asegurar sistemas específicos. Juntos, entregan cobertura integral de ciberseguridad desde la estrategia hasta la implementación.

Controles CIS

Mejores prácticas y salvaguardas de seguridad de alto nivel

CIS Benchmarks

Configuraciones detalladas para tecnologías específicas

Sistemas operativos

Benchmarks de configuración segura para sistemas Windows, Linux, macOS y Unix

Ejemplos

  • Windows Server
  • Ubuntu Linux
  • macOS
  • Red Hat Enterprise Linux

Plataformas en la nube

Directrices de configuración de seguridad para los principales proveedores de servicios en la nube

Ejemplos

  • AWS Foundations
  • Microsoft Azure
  • Google Cloud Platform
  • Oracle Cloud

Dispositivos de red

Estándares de hardening para componentes de infraestructura de red

Ejemplos

  • Cisco IOS
  • Palo Alto Networks
  • Fortinet FortiGate
  • Juniper Networks

Bases de datos

Benchmarks de seguridad para sistemas de gestión de bases de datos

Ejemplos

  • Microsoft SQL Server
  • Oracle Database
  • MySQL
  • PostgreSQL

Aplicaciones

Estándares de configuración para aplicaciones empresariales

Ejemplos

  • Microsoft 365
  • Google Workspace
  • Docker
  • Kubernetes

Dispositivos móviles

Líneas base de seguridad para sistemas operativos móviles

Ejemplos

  • Apple iOS
  • Google Android
  • Mobile Device Management
Explorar CIS Benchmarks
Plantillas de políticas

Repositorio completo de políticas de seguridad

Acceda a plantillas de políticas de seguridad listas para usar alineadas con los Controles CIS, NIST CSF y requisitos de ISO 27001

Gestión de activos

  • • Política de inventario de activos
  • • Gestión de activos de hardware
  • • Gestión de activos de software
  • • Política de clasificación de datos
  • • Estándares de configuración segura
  • • Política de gestión de cambios
  • + 4 políticas más

Acceso y protección

  • • Política de gestión de cuentas
  • • Política de control de acceso
  • • Autenticación multifactor
  • • Política de protección de datos
  • • Estándares de cifrado
  • • Gestión de vulnerabilidades
  • + 5 políticas más

Monitoreo y respuesta

  • • Gestión de registros de auditoría
  • • Política de monitoreo de seguridad
  • • Plan de respuesta a incidentes
  • • Política de defensa contra malware
  • • Respaldo y recuperación de datos
  • • Capacitación de conciencia de seguridad
  • + 3 políticas más
Explorar todas las plantillas de políticas

Preguntas frecuentes

Preguntas comunes sobre la implementación de los Controles CIS

Los Controles CIS son mejores prácticas voluntarias, pero son ampliamente adoptados como estándar de seguridad. Muchos proveedores de seguros cibernéticos requieren la implementación de Controles CIS, y están referenciados en marcos regulatorios como NIST CSF y PCI DSS. Consulte la página oficial de CIS Controls v8 para el marco completo.
Seleccione IG1 (56 salvaguardas) si es una organización pequeña con recursos de TI limitados. Elija IG2 (131 salvaguardas) si tiene personal de TI dedicado y complejidad moderada. Implemente IG3 (153 salvaguardas) si tiene un equipo de seguridad dedicado o protege datos altamente sensibles. La mayoría de las organizaciones comienzan con IG1 y progresan a medida que crece su madurez de seguridad.
Los Controles CIS proporcionan salvaguardas específicas y accionables mientras que NIST CSF ofrece un marco de nivel superior para organizar actividades de ciberseguridad. Los dos se complementan: NIST CSF proporciona estructura estratégica (Identificar, Proteger, Detectar, Responder, Recuperar) mientras que los Controles CIS ofrecen pasos de implementación tácticos. Muchas organizaciones usan ambos juntos.
Los Controles CIS son mejores prácticas de seguridad de alto nivel sobre qué proteger (18 controles). Los CIS Benchmarks son guías de configuración detalladas sobre cómo asegurar sistemas específicos (Windows, AWS, Docker, etc.). Use los Controles CIS para guiar su programa general de seguridad y los CIS Benchmarks para implementar configuraciones seguras para tecnologías individuales.
CIS Controls v8 consolidó 20 controles en 18, refinó 171 sub-controles en 153 salvaguardas, elevó la protección de datos (ahora Control 3), mejoró la gestión de riesgos de la cadena de suministro (Control 15) y actualizó la orientación para entornos de nube, móviles e IoT. La estructura de Grupos de Implementación se mantuvo pero con orientación más clara.
El cronograma varía según el Grupo de Implementación. IG1 típicamente toma de 3 a 6 meses para implementación básica, IG2 requiere de 6 a 12 meses con recursos de TI dedicados, e IG3 puede tomar de 12 a 18 meses para despliegue integral. Comience con los esenciales de IG1 y construya incrementalmente en lugar de intentar la implementación completa de una vez.
Sí, muchos proveedores de seguros cibernéticos requieren o recomiendan fuertemente la implementación de Controles CIS. Las aseguradoras a menudo hacen preguntas específicas sobre controles como autenticación multifactor (Control 6), respaldo de datos (Control 11), respuesta a incidentes (Control 17) y gestión de vulnerabilidades (Control 7). El cumplimiento documentado de Controles CIS puede reducir primas y mejorar la cobertura.
Absolutamente. CIS Controls v8 diseñó específicamente IG1 (56 salvaguardas) para organizaciones pequeñas con recursos de TI limitados. IG1 se enfoca en higiene cibernética esencial como inventario de activos, configuraciones seguras, control de acceso y monitoreo básico. Estos controles fundamentales proporcionan mejoras de seguridad significativas sin requerir grandes equipos de seguridad o presupuestos.
CIS Controls v8 incluye orientación específica para ransomware en múltiples controles: Control 11 (respaldo y recuperación de datos), Control 10 (defensas contra malware), Control 7 (gestión de vulnerabilidades), Control 9 (protecciones de correo electrónico) y Control 17 (respuesta a incidentes). Juntos, estos controles establecen defensa en profundidad contra ataques de ransomware y aseguran capacidades de recuperación.
Mantenga inventarios de activos (Controles 1-2), políticas y procedimientos de seguridad (Control 1), estándares de configuración (Control 4), registros de control de acceso (Controles 5-6), resultados de escaneo de vulnerabilidades (Control 7), registros de auditoría (Control 8), verificación de respaldos (Control 11) y planes de respuesta a incidentes (Control 17). La documentación demuestra la implementación de controles para auditorías y revisiones de seguros.
CIS Controls v8 actualizó múltiples controles para la adopción de la nube. El Control 1 incluye activos en la nube, el Control 3 aborda la protección de datos en la nube, el Control 15 cubre proveedores de servicios en la nube, y salvaguardas específicas abordan configuración de la nube, gestión de acceso y monitoreo. Use los CIS Cloud Benchmarks (AWS, Azure, GCP) junto con los Controles CIS para seguridad integral en la nube.
Sí, VerifyWise mapea sus controles de gobernanza a los requisitos de Controles CIS. Nuestra plataforma le ayuda a rastrear inventarios de activos, realizar evaluaciones de vulnerabilidades, gestionar controles de acceso, mantener registros de auditoría y generar informes de cumplimiento. Proporcionamos orientación de implementación para cada salvaguarda y apoyamos correlaciones con otros marcos como NIST CSF e ISO 27001.

¿Listo para implementar los Controles CIS?

Inicie su camino de ciberseguridad con nuestra evaluación guiada y herramientas de implementación.

Iniciar evaluación de seguridadProgramar consulta
CIS Controls v8: all 18 controls, 153 safeguards, and IG1-IG3 explained