El pasado 18 de Mayo se ha publicado una nueva versión de los CIS Controls, el estándar técnico de referencia y ampliamente utilizado.
Esta versión representa un cambio muy importante producto de la retroalimentación que ha tenido de la comunidad de profesionales, proveedores y voluntarios. Es sin dudas un gran salto respecto a versiones anteriores y a continuación compartimos los que consideramos los temas más importantes 💡:
A partir de la versión 8 los controles se dividen en 18 secciones.
Blog | 18 is the New 20: CIS Controls v8 is Here!
A diferencia de versiones anteriores, ya no se habla de controles "Basic" o "Foundational" sino que todo se representa a través de "Grupos de Implementación":
CIS Controls Implementation Groups - CIS
Grupos de Implementación.
<aside> 💡 Es muy importante este enfoque ya que los controles del IG1 son considerados como los principales y que están relacionados con el concepto de "Cyber Hygiene". En pocas palabras, lo primero que habría que implementar.
</aside>
Controles por Grupo de Implementación
<aside> ⚠️ Tal como se puede observar los grupos de implementación son incrementales y cada uno contiene al predecesor. Por lo tanto, quien implemente el IG3 estará implementando el 100% de los controles que forman parte del estándar. Mientras que aquellos que pongan foco en lo que se considera "Cyber Hygiene" deberán implementar sólo los primeros 56. Cabe destacar que ya no existe un orden numérico para aplicar la priorización (antes eran los primeros 6).
</aside>
CIS Controls Implementation Group 1 - CIS
Grupo de Implementación 1: Cyber Hygiene.
Exportación de los controles del Grupo de Implementación 1.
Exportación de los controles del Grupo de Implementación 1.
Por otro lado, se han incorporado controles y otros se han reordenado, esto es muy importante ya que si veníamos trabajando en base a versiones anteriores, se podían ver controles similares en distintos capítulos. Un ejemplo claro se da en el Control 1 referido a inventario, reúne controles que antes estaban en varios capítulos, pero que persiguen un mismo objetivo: Saber qué tenemos!.
Ejemplo de controles reordenados entre la versión 7.1 y la versión 8.
Descripción de los Grupos de Implementación disponible en CIS Controls v8.
Se han incorporado 53 nuevos controles, algunos de ellos como por ejemplo que exista un plan de acción para los hallazgos de un test de intrusión, que era un reclamo de la comunidad de InfoSec. Además, otros corresponden a nuevas amenazas y tendencias de la tecnología disponible. Por otro lado, se han depreciado 14 controles de la versión 7.1, los cuales se muestran a continuación:
Controles que se han depreciado desde la versión 7.1.
Como se viene haciendo desde versiones anteriores se han liberado las guías complementarias, que son de mucho valor para interpretar los controles en distintas tecnologías o ámbitos, por ejemplo: Cloud, IoT, etc.
Por último, una herramienta muy valiosa que también ya se encuentra implementada es "Control Navigator" que permite visualizar todos los controles por grupo de implementación tanto de la versión 8 como de la versión 7.1:
Sin dudas la versión 8 de los CIS Controls es un salto de calidad y contenido, para seguir ayudando a las organizaciones a implementar los controles más eficientes y modernos. Sin embargo, nunca hay que olvidarse que quien mejor conoce a la organización es su propia gente y los equipos de trabajo con un enfoque basado en riesgo y conociendo el entorno a proteger, son aquellos que seguramente obtendrán los mejores resultados.
Desde SECURETECH⚡️#HacerLasCosasBien recomendamos la utilización de los CIS Controls como parte de un "Programa de Ciberseguridad" ya que al igual que nosotros, se mantienen independientes de cualquier tipo de producto y son aplicables a cualquier tipo de Organización.
<aside> ☕ Si lo que compartimos en el blog te sirve, aceptamos un cafecito.
</aside>