Chequeo de Seguridad

Cis Controls

  • El Center for Internet Security Critical Security Controls for Effective Cyber ​​Defense es una publicación de pautas de mejores prácticas para la seguridad informática. El proyecto se inició a principios de 2008 en respuesta a las pérdidas extremas de datos que experimentaron las organizaciones en la base industrial de defensa de Estados Unidos.
  • La publicación fue desarrollada inicialmente por el Instituto SANS. Luego, la propiedad se transfirió al Council on Cyber ​​Security (CCS) en 2013 y luego al Center for Internet Security (CIS) en 2015.

Metas

Las pautas constan de 18 acciones clave, denominadas controles de seguridad críticos (CSC), que las organizaciones deben implementar para bloquear o mitigar ataques conocidos.

  • Los objetivos de las directrices de auditoría de consenso incluyen aprovechamiento de la ofensiva cibernética para informar la defensa cibernética, enfocándose en áreas de alta rentabilidad
  • Garantizar que las inversiones en seguridad se centren en contrarrestar las mayores amenazas
  • Maximizar el uso de la automatización para hacer cumplir los controles de seguridad, negando así los errores humanos
  • Uso del proceso de consenso para recopilar las mejores ideas

 

Porque Cis Controls?

Los CISO, los expertos en seguridad de TI, los auditores de cumplimiento y más utilizan los controles CIS para:

    • Aprovechar la experiencia probada en la batalla de la comunidad de TI global para defenderse de los ataques cibernéticos
    • Centrar los recursos de seguridad en función de las mejores prácticas comprobadas, no en la solución de ningún proveedor.
    • Organizar un programa de ciberseguridad eficaz de acuerdo con los Grupos de Implementación:

CIS CONTOLS V8

1. Inventario y control de los activos empresariales

2. Inventario y control de activos de software

3. Protección de datos

4. Configuración segura de activos y software

5. Gestión de cuentas

6. Gestión del control de acceso

7. Gestión continua de vulnerabilidades

8. Protecciones de correo electrónico y navegador web

9. Protecciones de correo electrónico y navegador web

10. Defensas contra el malware

11. Recuperación de datos

12. Gestión de la infraestructura de red

13. Supervisión y defensa de la red

14. Concientización y capacitación en materia de seguridad

15. Gestión de proveedores de servicios

16. Seguridad del software de aplicación

17. Gestión de respuesta a incidentes

18. Pruebas de penetración