El Center for Internet Security (CIS) lanzó oficialmente CIS Controls v8, que se mejoró para mantenerse al día con la tecnología, las amenazas en evolución e incluso el lugar de trabajo en evolución. La pandemia cambió muchas cosas y también provocó cambios en los controles CIS. La versión más reciente de los controles ahora incluye tecnologías móviles y en la nube. Incluso hay un nuevo CIS Control: "Service Provider Management", que brinda orientación sobre cómo las empresas pueden administrar sus servicios en la nube.

Enfoque basado en tareas independientemente de quién ejecute el control

Dado que las redes básicamente no tienen fronteras, lo que significa que ya no hay una red cerrada y centralizada donde residen todos los puntos finales, los controles ahora están organizados por actividad frente a cómo se administran las cosas.

Los esfuerzos para simplificar los controles y organizarlos por actividad dieron como resultado menos controles y menos salvaguardas (anteriormente subcontroles). Ahora hay 18 controles de nivel superior y 153 salvaguardas, distribuidos entre los tres Grupos de Implementación (GI).

IG1 = Higiene cibernética básica

CIS Controls v8 define oficialmente IG1 como Higiene Cibernética Básica y representa un estándar mínimo emergente de seguridad de la información para todas las empresas. IG1 (56 salvaguardas) es un conjunto fundamental de salvaguardas de ciberdefensa que toda empresa debe aplicar para protegerse contra los ataques más frecuentes. 

El IG2 (74 salvaguardas adicionales) y el IG3 (23 salvaguardas) se basan en IG anteriores, siendo el IG1 la vía de acceso a los controles y el IG3 que incluye todas las salvaguardas para un total de 153.

El Informe de Investigaciones de Violación de Datos de Verizon (DBIR) de 2021 publicado recientemente ya menciona a CIS Controls v8 y los nuevos grupos de implementación. Verizon identificó un conjunto básico de controles que toda empresa debería implementar independientemente de su tamaño y presupuesto:

• Control 4: Configuración segura de activos y software empresariales
• Control 5: Gestión de cuentas
• Control 6: Gestión del control de acceso
• Control 14: Concientización sobre seguridad y capacitación en habilidades

El ecosistema de controles CIS: no se trata de la lista

La versión v8 no es solo una actualización de los controles; todo el ecosistema que rodea a los controles también se ha actualizado (o pronto se actualizará). Esto incluye:

• Herramienta de autoevaluación de controles CIS CSAT (alojada y profesional): una forma para que las empresas realicen, rastreen y evalúen su implementación de los controles CIS a lo largo del tiempo y midan la implementación en comparación con sus pares de la industria; CIS CSAT alojado es gratuito para su uso en una capacidad no comercial
• Modelo de defensa comunitaria (CDM): enfoque riguroso, transparente y basado en datos que ayuda a priorizar los controles en función de la amenaza en evolución; CDM v1.0 utilizó el Informe de Investigaciones de Violación de Datos (DBIR) de Verizon 2019 para determinar los principales ataques y el Marco MITRE ATT&CK (Tácticas Adversarias, Técnicas y Conocimiento Común) v6.3
• Método de evaluación de riesgos CIS CIS RAM: ayuda a una empresa a justificar las inversiones para la implementación razonable de los controles CIS, definir su nivel aceptable de riesgo, priorizar e implementar los controles CIS de manera razonable y ayudar a demostrar el "debido cuidado" CIS RAM 2.0: incluye una hoja de trabajo CIS RAM simplificada para IG1 y módulos adicionales diseñados para desarrollar indicadores clave de riesgo mediante análisis cuantitativo
• CIS Controls Mobile Companion Guide: ayuda a las empresas a implementar las mejores prácticas desarrolladas por consenso utilizando CIS Controls v8 para teléfonos, tabletas y aplicaciones móviles.
• Guía complementaria de CIS Controls Cloud: orientación sobre cómo aplicar las mejores prácticas de seguridad que se encuentran en CIS Controls v8 a cualquier entorno de nube desde la perspectiva del consumidor / cliente
• CIS Control Navigator
• Asignaciones a otros marcos regulatorios: las empresas que implementan los controles CIS pueden demostrar el cumplimiento de otros marcos. A medida que se actualicen recursos adicionales, se agregarán a la página v8, así que asegúrese de ver ese espacio.

CIS Controls v8 Mappings

• NIST CSF
• NIST Special Publication 800-53 Rev.5
• NIST Special Publication 800-171 Rev.2
• CIS Controls Cybersecurity Maturity Model Certification Mapping
• CIS Controls Cloud Security Alliance Mapping

Así como la tecnología y el panorama de amenazas evolucionaron, también lo hicieron los controles CIS v8.

Fuente: CIS